WinRM が一般公開されました

Question 1

私は、VPN などを使用せずにメトリックを公開するために WinRM を何度か使用しました。ただし、セキュリティ上の考慮事項がいくつかあります。

実行してみwinrm get winrm/configて、現在の構成を確認してください。
WinRMがHTTPS用に証明書をインストールしていることを確認してください。これは（はい、奇妙な命名法ですが）Personalストアに入力する必要があります。Local Computer
HTTPSを有効にするにはwinrm quickconfig -transport:https

トランスポートが保護されたら、クライアント証明書認証を有効にし、その他すべてを無効にする必要があります。

無効化は次のように行いますwinrm set winrm/config/client/auth @{Digest="false"}。
Kerberos、Digest、その他すべてを無効にします。
証明書認証を有効にするには、winrm set winrm/config/client/auth @{Certificate="true"}
winrm set winrm/config/client/auth '@{CredSSP="true"}動作するために必要なのかどうかはよく覚えていませんが、資格情報の委任に必要になるかもしれません。

これはうまく機能し、Windows HTTP トランスポートと Windows PKI インフラストラクチャを信頼し、明らかに悪質なものをフィルタリングできるファイアウォールが設置されている場合は、問題なく機能するオプションです。プログラムで情報を収集する必要がある場合は、非常に便利です。

さて、もう 1 つ、WinRM 経由で必要な情報をすべて取得できるかどうかという点です。これは簡単に答えられるものではありません。思っているよりも取得が難しいことが数多くあると思います。RAID コントローラーなどのステータスを取得したいのですが、これは難しいです。RDP over SSH を使用する (念のため) のが、汎用性が高まるため、今でも私のお気に入りの方法です。

結論としては、はい、VPN などがなくても WinRM を使用できますが、最終的にそれが目的の結果を得られるかどうかを検討する必要があります。

編集：WinRM と SSH の使用を比較することは、少なくとも機能パッケージの観点からは、おそらく完全には役に立ちません。SSH を使用すると、必要な情報を収集するものを作成する準備ができていれば、何でも取得できます。その意味では、WinRM は汎用性が低くなります。ただし、セキュリティの点では、適切にロックダウンすれば、どちらも問題ないと思います。これは完全に可能です。

Answer

私は、VPN などを使用せずにメトリックを公開するために WinRM を何度か使用しました。ただし、セキュリティ上の考慮事項がいくつかあります。

実行してみwinrm get winrm/configて、現在の構成を確認してください。
WinRMがHTTPS用に証明書をインストールしていることを確認してください。これは（はい、奇妙な命名法ですが）Personalストアに入力する必要があります。Local Computer
HTTPSを有効にするにはwinrm quickconfig -transport:https

トランスポートが保護されたら、クライアント証明書認証を有効にし、その他すべてを無効にする必要があります。

無効化は次のように行いますwinrm set winrm/config/client/auth @{Digest="false"}。
Kerberos、Digest、その他すべてを無効にします。
証明書認証を有効にするには、winrm set winrm/config/client/auth @{Certificate="true"}
winrm set winrm/config/client/auth '@{CredSSP="true"}動作するために必要なのかどうかはよく覚えていませんが、資格情報の委任に必要になるかもしれません。

これはうまく機能し、Windows HTTP トランスポートと Windows PKI インフラストラクチャを信頼し、明らかに悪質なものをフィルタリングできるファイアウォールが設置されている場合は、問題なく機能するオプションです。プログラムで情報を収集する必要がある場合は、非常に便利です。

さて、もう 1 つ、WinRM 経由で必要な情報をすべて取得できるかどうかという点です。これは簡単に答えられるものではありません。思っているよりも取得が難しいことが数多くあると思います。RAID コントローラーなどのステータスを取得したいのですが、これは難しいです。RDP over SSH を使用する (念のため) のが、汎用性が高まるため、今でも私のお気に入りの方法です。

結論としては、はい、VPN などがなくても WinRM を使用できますが、最終的にそれが目的の結果を得られるかどうかを検討する必要があります。

編集：WinRM と SSH の使用を比較することは、少なくとも機能パッケージの観点からは、おそらく完全には役に立ちません。SSH を使用すると、必要な情報を収集するものを作成する準備ができていれば、何でも取得できます。その意味では、WinRM は汎用性が低くなります。ただし、セキュリティの点では、適切にロックダウンすれば、どちらも問題ないと思います。これは完全に可能です。

Question 2

私は Windows ユーザーではないので、WinRM の詳細についてはあまり詳しく話せません。

しかし、結局のところ、ssh や winrm のようなリモートアクセスサービスにはリスクとメリットがあります。私の知る限り、これらはほぼ同様の機能を提供します。これらが同様のレベルの AAA を提供する場合は、セキュリティ体制でも同様に扱うことができます。たとえば、WinRM が認証に https 証明書を使用するが、openssh がネットワーク経由でのパスワードの送信を許可する場合 (1 つの可能な構成)、WinRM の AAA の方がおそらく優れています。

各サービスの権限は制限されていますか? たとえば、Linux では、着信 ssh 接続で特定の操作のみを実行できるように selinux を実行する場合があります。

また、さまざまなベンダー/実装をどの程度信頼するかも考慮する必要があります。openssh と *nix では、リモートから悪用可能なバグが Windows よりも多く発生すると思いますか、それとも少なく発生すると思いますか? 荒らしにならないように言い換えると、明らかに意味の込められた質問です。しかし、この問題は非常に現実的です。

セキュリティ体制が具体的にどうあるべきかについては、ポート 22 で ssh を公開する人もいれば、接続する前に VPN を要求する人もいます。また、セキュリティを隠蔽してポート 22 ではなくポート 222 で ssh を使用する人もいます。

接続が許可される IP のホワイトリストを持つものもあります。sshd または iptables でホワイトリストを作成することもできます。Windows の場合は、Windows ファイアウォール、または winrm 自体でしょうか? 可能性はたくさんあります。

Answer