r/PowerShell – чи можна заблокувати PSRemoting за допомогою WinRM список довірених хостів. Мій менеджер попросив обмежити PSremoting лише надходженням із «серверів Mngmt», які є групою приблизно з 4 серверів. Віддалене від будь-якого іншого сервера до іншого svr у домені, який не є одним із «керуючих» svr, має бути заблокованим

= Чи можна заблокувати PSRemoting за допомогою списку довірених хостів WinRM. Мій менеджер попросив обмежити PSremoting лише надходженням із «серверів Mngmt», що є групою з приблизно 4 серверів Віддалене з будь-якого іншого сервера на інший svr на домені, який не є одним із "управлінських"svr, слід заблокувати =


Ви не використовуєте довірені хости, тобто лише для вихідних з’єднань

~~У gpo «Дозволити керування віддаленим сервером через winrm» ви можете встановити IP-адреси або діапазони IP-адрес, з яких комп’ютери прийматимуть підключення. Встановіть це так, щоб охоплювати лише підмережі керування. Gpupdate має бути достатньо для оновлення налаштувань на комп’ютерах. e: замість цього використовуйте брандмауери!
яку конфігурацію брандмауера я буду використовувати. Усе, що я прочитав, говорить мені відкрити дистанційне керування та використовувати IP-прослуховувач у WinRM. Раніше я намагався налаштувати список прийнятих на рівні брандмауера, але, здається, ніколи не спрацював. «Спроба додати Host_names до списку авторизованих комп’ютерів».
Це відповідь. Просто заблокуйте доступ до портів WinRM на мережевому рівні за допомогою групової політики брандмауера Windows

Потрібно обмежити адміністраторів і користувачів віддаленого керування. І заблокуйте віддалене керування Windows у брандмауері хоста, дозволяючи лише авторизовані хости керування

Брандмауер хоста є ключовим

Ми використовували брандмауери, щоб впоратися з цим, це величезний біль у порівнянні з перебуванням у домені

GPO буде найпростішим залежно від розміру мережі

Ви також можете розмістити ACL на інтерфейсі маршрутизації (якщо їх лише кілька), щоб дозволити IP-адресам сервера керування на портах WinRM отримати доступ до цих пристроїв

Вам знадобляться два правила

Дозвольте IP-адреси керування на цих портах
Заблокуйте всі інші IP-адреси на цих портах

Це залежить лише від того, як ви хочете керувати доступом і як ви хочете, щоб цей доступ був задокументований

Отримання різних результатів на різних машинах в одному тестовому GPO. Коли я додаю та видаляю IP-адресу сервера A з поля прослуховування IP4, це вмикає прослуховування на портах 5985& 5986 вимкнено, але коли я роблю те саме з сервером B, різниці немає. Він може підключатися незалежно від того.. не впевнений, що це налаштування gpo..

Як додати окрему IP-адресу до фільтра IPV4? Я завжди бачу лише обговорення діапазонів

== Про спільноту ==
Члени
Онлайн