WinRM ha un'interfaccia a riga di comando molto difficile da usare e questo mi porta a credere che alcune impostazioni saranno facilmente riconfigurate, ignorate e infine sfruttate.
In altre parole, insicurezza sebbene oscurità.
Quali impostazioni di sicurezza dovrei prestare attenzione quando si configura WinRM su un server?
Ecco un elenco incompleto di elementi relativi alla sicurezza che ho scoperto:
Attendi alle nuove impostazioni predefinite
WinRM funzionava sulle porte 80/443 in Vista e Longhorn. Ciò è cambiato nella porta "5985" e "5986" riconosciuta da IANA come nuove porte di gestione (maggiori informazioni parte inferiore di questa pagina )
Comandi utili
winrm g winrm/config elenca la maggior parte delle impostazioni di configurazione di WinRM winrm e winrm/config/listener
Configurazione
Molti documenti di supporto MSFT consigliano di eseguire il comando Winrm quickconfig , che crea un listener http. Una possibile vulnerabilità è che il token viene inviato non crittografato sulla porta 5985. L'alternativa è eseguire: winrm quickconfig -transport:https .
Verifica che "EnableCompatibilityHttpListener" e la sua controparte HTTPS siano impostati su false su tutti i server, in particolare sui server Web pubblici.
Per le macchine nella DMZ, o macchine multi-homed, potresti voler impedire un listener su determinate interfacce e non su altre. Vedi winrm help config per ulteriori informazioni
Todo / ricerca
Leggi altre domande sui tag windows powershell remote-server