Elenco di controllo per la configurazione delle impostazioni di sicurezza di WinRM sui server

4

WinRM ha un'interfaccia a riga di comando molto difficile da usare e questo mi porta a credere che alcune impostazioni saranno facilmente riconfigurate, ignorate e infine sfruttate.

In altre parole, insicurezza sebbene oscurità.

Quali impostazioni di sicurezza dovrei prestare attenzione quando si configura WinRM su un server?

    
posta random65537 12.02.2012 - 02:10
fonte

1 risposta

3

Ecco un elenco incompleto di elementi relativi alla sicurezza che ho scoperto:

Attendi alle nuove impostazioni predefinite

WinRM funzionava sulle porte 80/443 in Vista e Longhorn. Ciò è cambiato nella porta "5985" e "5986" riconosciuta da IANA come nuove porte di gestione (maggiori informazioni parte inferiore di questa pagina )

Comandi utili

  • Il comando winrm g winrm/config elenca la maggior parte delle impostazioni di configurazione di WinRM
  • Gli ascoltatori in entrata sono mostrati qui: winrm e winrm/config/listener

Configurazione

  • Molti documenti di supporto MSFT consigliano di eseguire il comando Winrm quickconfig , che crea un listener http. Una possibile vulnerabilità è che il token viene inviato non crittografato sulla porta 5985. L'alternativa è eseguire: winrm quickconfig -transport:https .

  • Verifica che "EnableCompatibilityHttpListener" e la sua controparte HTTPS siano impostati su false su tutti i server, in particolare sui server Web pubblici.

  • Per le macchine nella DMZ, o macchine multi-homed, potresti voler impedire un listener su determinate interfacce e non su altre. Vedi winrm help config per ulteriori informazioni

Todo / ricerca

  • Il testo di questa pagina MSFT indica che il client o il server potrebbero negoziare in modo discendente il traffico non crittografato all'interno del trasporto HTTP. Questo crea spazio per un MITM per accedere alle credenziali. Sto cercando dei modi per garantire che il client utilizzi sempre la crittografia SOAP indipendentemente dal trasporto utilizzato.
risposta data 12.02.2012 - 02:21
fonte

Leggi altre domande sui tag