WinRM öffentlich verfügbar

Question 1

Ich habe WinRM bei einigen Gelegenheiten verwendet, um Metriken offenzulegen – ohne VPNs und dergleichen zu verwenden. Es gibt jedoch einige Sicherheitsüberlegungen:

Versuchen Sie es mit der Ausführung, winrm get winrm/configum zu sehen, wie die Dinge derzeit konfiguriert sind.
Stellen Sie sicher, dass WinRM ein Zertifikat für HTTPS-Zwecke installiert hat. Dieses muss in den PersonalStore auf Local Computer(ja, seltsame Nomenklatur)
Aktivieren Sie HTTPS, indem Siewinrm quickconfig -transport:https

Sobald der Transport gesichert ist, müssen Sie die Client-Zertifikatauthentifizierung aktivieren und alles andere deaktivieren:

Das Deaktivieren von Inhalten erfolgt folgendermaßen winrm set winrm/config/client/auth @{Digest="false"}:
Deaktivieren Sie Kerberos, Digest und alles andere, was verfügbar ist.
Aktivieren Sie die Zertifikatsauthentifizierung wie folgt:winrm set winrm/config/client/auth @{Certificate="true"}
Ich kann mich nicht mehr genau erinnern, ob Sie es brauchen, winrm set winrm/config/client/auth '@{CredSSP="true"}damit alles funktioniert – es wird möglicherweise für die Delegierung von Anmeldeinformationen benötigt.

Das funktioniert gut und wenn Sie dem Windows-HTTP-Transport und der Windows-PKI-Infrastruktur vertrauen und eine Firewall installiert haben, mit der Sie offensichtliche unerwünschte Elemente herausfiltern können, ist dies eine Option, die gut funktioniert. Es ist ganz praktisch, wenn Sie Dinge programmgesteuert sammeln müssen.

Die andere Frage ist nun: Können Sie alle gewünschten Informationen über WinRM abrufen? Das ist nicht so einfach zu beantworten. Ich finde, dass viele Dinge schwieriger zu erreichen sind, als Sie vielleicht denken. Ich möchte den Status von RAID-Controllern und dergleichen, aber das ist bestenfalls schwierig. Die Verwendung von RDP über SSH (nur um sicherzugehen) ist aufgrund der zusätzlichen Vielseitigkeit, die Sie dadurch erhalten, immer noch meine bevorzugte Methode.

Zusammenfassend lässt sich sagen: Ja, Sie können WinRM ohne VPNs und dergleichen verwenden, Sie sollten jedoch überlegen, ob Sie damit letztendlich das erreichen, was Sie möchten.

BEARBEITEN:Ein Vergleich der Verwendung von WinRM mit SSH ist vielleicht nicht ganz sinnvoll – zumindest aus Sicht des Funktionspakets. Mit SSH können Sie alles erreichen, wenn Sie bereit sind, etwas zu schreiben, das die gewünschten Informationen sammelt. WinRM ist in dieser Hinsicht weniger vielseitig. In puncto Sicherheit sind jedoch meiner Meinung nach beide gut, wenn Sie die Dinge richtig sperren, was durchaus möglich ist.

Answer

Ich habe WinRM bei einigen Gelegenheiten verwendet, um Metriken offenzulegen – ohne VPNs und dergleichen zu verwenden. Es gibt jedoch einige Sicherheitsüberlegungen:

Versuchen Sie es mit der Ausführung, winrm get winrm/configum zu sehen, wie die Dinge derzeit konfiguriert sind.
Stellen Sie sicher, dass WinRM ein Zertifikat für HTTPS-Zwecke installiert hat. Dieses muss in den PersonalStore auf Local Computer(ja, seltsame Nomenklatur)
Aktivieren Sie HTTPS, indem Siewinrm quickconfig -transport:https

Sobald der Transport gesichert ist, müssen Sie die Client-Zertifikatauthentifizierung aktivieren und alles andere deaktivieren:

Das Deaktivieren von Inhalten erfolgt folgendermaßen winrm set winrm/config/client/auth @{Digest="false"}:
Deaktivieren Sie Kerberos, Digest und alles andere, was verfügbar ist.
Aktivieren Sie die Zertifikatsauthentifizierung wie folgt:winrm set winrm/config/client/auth @{Certificate="true"}
Ich kann mich nicht mehr genau erinnern, ob Sie es brauchen, winrm set winrm/config/client/auth '@{CredSSP="true"}damit alles funktioniert – es wird möglicherweise für die Delegierung von Anmeldeinformationen benötigt.

Das funktioniert gut und wenn Sie dem Windows-HTTP-Transport und der Windows-PKI-Infrastruktur vertrauen und eine Firewall installiert haben, mit der Sie offensichtliche unerwünschte Elemente herausfiltern können, ist dies eine Option, die gut funktioniert. Es ist ganz praktisch, wenn Sie Dinge programmgesteuert sammeln müssen.

Die andere Frage ist nun: Können Sie alle gewünschten Informationen über WinRM abrufen? Das ist nicht so einfach zu beantworten. Ich finde, dass viele Dinge schwieriger zu erreichen sind, als Sie vielleicht denken. Ich möchte den Status von RAID-Controllern und dergleichen, aber das ist bestenfalls schwierig. Die Verwendung von RDP über SSH (nur um sicherzugehen) ist aufgrund der zusätzlichen Vielseitigkeit, die Sie dadurch erhalten, immer noch meine bevorzugte Methode.

Zusammenfassend lässt sich sagen: Ja, Sie können WinRM ohne VPNs und dergleichen verwenden, Sie sollten jedoch überlegen, ob Sie damit letztendlich das erreichen, was Sie möchten.

BEARBEITEN:Ein Vergleich der Verwendung von WinRM mit SSH ist vielleicht nicht ganz sinnvoll – zumindest aus Sicht des Funktionspakets. Mit SSH können Sie alles erreichen, wenn Sie bereit sind, etwas zu schreiben, das die gewünschten Informationen sammelt. WinRM ist in dieser Hinsicht weniger vielseitig. In puncto Sicherheit sind jedoch meiner Meinung nach beide gut, wenn Sie die Dinge richtig sperren, was durchaus möglich ist.

Question 2

Ich bin kein Windows-Typ und kann daher nicht viel zu den Besonderheiten von WinRM sagen.

Unterm Strich ist jedoch klar, dass jeder Remote-Access-Dienst wie SSH oder WinRM Risiken und Vorteile birgt. Soweit ich das beurteilen kann, bieten sie ungefähr analoge Funktionen. Wenn sie ähnliche AAA-Level bieten, sollten Sie sie in Ihrer Sicherheitshaltung ähnlich behandeln. Wenn WinRM beispielsweise https-Zertifikate zur Authentifizierung verwendet, OpenSSH jedoch das Senden von Passwörtern über das Kabel zulässt (eine mögliche Konfiguration), ist WinRMs AAA wahrscheinlich besser.

Sind die Berechtigungen der einzelnen Dienste beschränkt? Unter Linux könnten Sie beispielsweise selinux ausführen, sodass eingehende SSH-Verbindungen nur bestimmte Vorgänge ausführen können.

Sie sollten auch überlegen, wie sehr Sie den verschiedenen Anbietern/Implementierungen vertrauen. Erwarten Sie, dass es in OpenSSH und *Nix mehr oder weniger aus der Ferne ausnutzbare Fehler gibt als in Windows? Ich versuche, dies so zu formulieren, dass ich nicht wie ein Troll wirke – es ist offensichtlich eine Fangfrage. Aber das Problem ist sehr real.

Was die konkrete Sicherheitslage betrifft: Manche Leute stellen SSH offen auf Port 22 bereit, andere verlangen ein VPN, bevor Sie eine Verbindung herstellen können. Manche nutzen Sicherheit durch Verschleierung und stellen SSH auf Port 222 statt auf Port 22 bereit.

Manche haben eine Whitelist der IPs, die eine Verbindung herstellen dürfen. Sie können die Whitelist in sshd oder in iptables erstellen. Unter Windows, in der Windows-Firewall oder möglicherweise in winrm selbst? Es gibt viele Möglichkeiten.

Answer

Ich bin kein Windows-Typ und kann daher nicht viel zu den Besonderheiten von WinRM sagen.

Unterm Strich ist jedoch klar, dass jeder Remote-Access-Dienst wie SSH oder WinRM Risiken und Vorteile birgt. Soweit ich das beurteilen kann, bieten sie ungefähr analoge Funktionen. Wenn sie ähnliche AAA-Level bieten, sollten Sie sie in Ihrer Sicherheitshaltung ähnlich behandeln. Wenn WinRM beispielsweise https-Zertifikate zur Authentifizierung verwendet, OpenSSH jedoch das Senden von Passwörtern über das Kabel zulässt (eine mögliche Konfiguration), ist WinRMs AAA wahrscheinlich besser.

Sind die Berechtigungen der einzelnen Dienste beschränkt? Unter Linux könnten Sie beispielsweise selinux ausführen, sodass eingehende SSH-Verbindungen nur bestimmte Vorgänge ausführen können.

Sie sollten auch überlegen, wie sehr Sie den verschiedenen Anbietern/Implementierungen vertrauen. Erwarten Sie, dass es in OpenSSH und *Nix mehr oder weniger aus der Ferne ausnutzbare Fehler gibt als in Windows? Ich versuche, dies so zu formulieren, dass ich nicht wie ein Troll wirke – es ist offensichtlich eine Fangfrage. Aber das Problem ist sehr real.

Was die konkrete Sicherheitslage betrifft: Manche Leute stellen SSH offen auf Port 22 bereit, andere verlangen ein VPN, bevor Sie eine Verbindung herstellen können. Manche nutzen Sicherheit durch Verschleierung und stellen SSH auf Port 222 statt auf Port 22 bereit.

Manche haben eine Whitelist der IPs, die eine Verbindung herstellen dürfen. Sie können die Whitelist in sshd oder in iptables erstellen. Unter Windows, in der Windows-Firewall oder möglicherweise in winrm selbst? Es gibt viele Möglichkeiten.

Question 3

WinRM kann HTTPS-Transport verwenden. Wenn sich Ihre Maschinen in der Domäne befinden undIhre Unternehmenszertifikate darauf habenschon, es sollte einfach funktionieren.

Answer

WinRM kann HTTPS-Transport verwenden. Wenn sich Ihre Maschinen in der Domäne befinden undIhre Unternehmenszertifikate darauf habenschon, es sollte einfach funktionieren.

WinRM öffentlich verfügbar

Antwort1

Antwort2

Antwort3

verwandte Informationen