WinRM disponible públicamente

He usado WinRM en algunas ocasiones para exponer métricas, sin usar VPN ni nada por el estilo. Pero hay algunas consideraciones de seguridad:

1. Intente ejecutar winrm get winrm/configpara ver cómo están configuradas las cosas actualmente.
2. Asegúrese de que los usos de WinRM tengan un certificado instalado para fines HTTPS. Esto tiene que ir a la Personaltienda en Local Computer(sí, nomenclatura impar)
3. Habilite HTTPS haciendowinrm quickconfig -transport:https

Una vez que el transporte esté asegurado, debe habilitar la autenticación del certificado del cliente y deshabilitar todo lo demás:

1. La desactivación de cosas se hace así winrm set winrm/config/client/auth @{Digest="false"}.
2. Deshabilite Kerberos, Digest y cualquier otra cosa que esté disponible.
3. Habilite la autenticación de certificado haciendowinrm set winrm/config/client/auth @{Certificate="true"}
4. No recuerdo muy bien si es necesario winrm set winrm/config/client/auth '@{CredSSP="true"}que todo funcione; puede que sea necesario para la delegación de credenciales.

Esto funciona bien y si confía en el transporte HTTP de Windows, la infraestructura PKI de Windows y tiene un firewall instalado que le permite filtrar elementos desagradables obvios, es una opción que funciona bien. Es bastante bueno si necesitas recopilar cosas mediante programación.

Ahora, la otra cosa es: ¿podrás obtener toda la información que quieras a través de WinRM? Esto no es tan fácil de responder. Encuentro que hay muchas cosas que son más difíciles de entender de lo que piensas. Quiero el estado de los controladores RAID y demás, pero esto es, en el mejor de los casos, difícil. Usar RDP sobre SSH (solo para estar seguro) sigue siendo mi forma favorita de hacerlo debido a la versatilidad adicional que obtienes.

En conclusión, sí, puedes usar WinRM sin VPN y demás, pero debes considerar si al final obtienes lo que deseas.

EDITAR:Comparar el uso de WinRM con SSH quizás no sea del todo útil, al menos desde la perspectiva del paquete de funciones. Usando SSH, puedes obtener cualquier cosa si estás preparado para escribir algo que recopile la información que deseas. WinRM es menos versátil en ese sentido. En cuanto a la seguridad, sin embargo, ambos están bien en mi humilde opinión si bloqueas las cosas correctamente, lo cual es completamente posible.

No soy un experto en Windows, por lo que no puedo hablar demasiado sobre los detalles específicos de WinRM.

Sin embargo, la conclusión es que cualquier servicio de acceso remoto como ssh o winrm tiene riesgos y beneficios. Por lo que puedo decir, proporcionan una funcionalidad más o menos análoga. Si proporcionan niveles similares de AAA, entonces podría tratarlos de manera similar en su postura de seguridad. Por ejemplo, si WinRM usa certificados https para la autenticación, pero openssh permite que las contraseñas se envíen por cable (una configuración posible), el AAA de WinRM probablemente sea mejor.

¿Son limitados los privilegios de cada servicio? Por ejemplo, en Linux puede ejecutar selinux para que las conexiones ssh entrantes solo puedan realizar ciertas operaciones.

También debe considerar cuánto confía en los diferentes proveedores/implementaciones. ¿Espera ver errores explotables de forma remota en openssh y *nix más o menos que en Windows? Tratar de redactar esto para no ser un troll: obviamente es una pregunta capciosa. Pero el problema es muy real.

En cuanto a cuál debería ser específicamente esa postura de seguridad... algunas personas ponen ssh al aire libre en el puerto 22, algunas personas requieren una VPN antes de poder conectarse. Algunos usan seguridad por oscuridad y colocan ssh en el puerto 222 en lugar del puerto 22.

Algunos tienen una lista blanca de qué IP pueden conectarse. Puede hacer la lista blanca en sshd o en iptables. ¿En Windows, en el firewall de Windows o posiblemente en el propio winrm? Hay muchas posibilidades.

WinRM es capaz de utilizar el transporte HTTPS y, si sus máquinas están en el dominio ytener sus certificados empresariales en ellosYa debería funcionar.