WinRM 공개적으로 사용 가능

Question 1

VPN 등을 사용하지 않고 메트릭을 노출하기 위해 WinRM을 사용하는 경우도 있었습니다. 그러나 몇 가지 보안 고려 사항이 있습니다.

winrm get winrm/config현재 상황이 어떻게 구성되어 있는지 확인하려면 실행해 보세요 .
WinRM이 HTTPS 목적으로 인증서를 설치했는지 확인하세요. 이것은 (예 - 이상한 명명법) Personal매장 에 들어가야 합니다 .Local Computer
다음을 수행하여 HTTPS를 활성화하십시오.winrm quickconfig -transport:https

전송이 보안되면 클라이언트 인증서 인증을 활성화하고 다른 모든 것을 비활성화해야 합니다.

비활성화하는 작업은 다음과 같이 수행됩니다 winrm set winrm/config/client/auth @{Digest="false"}.
Kerberos, Digest 및 주변의 모든 것을 비활성화합니다.
다음을 수행하여 인증서 인증을 활성화합니다.winrm set winrm/config/client/auth @{Certificate="true"}
winrm set winrm/config/client/auth '@{CredSSP="true"}작동하는 데 필요한지 잘 기억이 나지 않습니다 . 자격 증명 위임에 필요할 수 있습니다.

이는 잘 작동하며 Windows HTTP 전송, Windows PKI 인프라를 신뢰하고 명백한 불쾌한 항목을 필터링할 수 있는 방화벽이 있는 경우 제대로 작동하는 옵션입니다. 프로그래밍 방식으로 항목을 수집해야 하는 경우 매우 좋습니다.

이제 또 다른 문제는 WinRM을 통해 원하는 모든 정보를 얻을 수 있다는 것입니다. 이것은 대답하기가 쉽지 않습니다. 생각보다 어려운 일이 많다고 생각합니다. RAID 컨트롤러 등의 상태를 원하지만 이는 기껏해야 어렵습니다. SSH를 통해 RDP를 사용하는 것은 (확실히 말하자면) 추가된 다양성 때문에 여전히 제가 선호하는 방법입니다.

결론적으로 그렇습니다. VPN 등 없이 WinRM을 사용할 수 있지만 결국 원하는 결과를 얻을 수 있는지 고려해야 합니다.

편집하다:WinRM과 SSH의 사용을 비교하는 것은 적어도 기능 패키지 관점에서 보면 그다지 유용하지 않을 수 있습니다. SSH를 사용하면 원하는 정보를 수집하는 내용을 작성할 준비가 되어 있으면 무엇이든 얻을 수 있습니다. 그런 의미에서 WinRM은 다용도가 떨어집니다. 그러나 보안 측면에서는 완전히 가능한 일을 적절하게 잠그면 둘 다 괜찮습니다.

Answer

VPN 등을 사용하지 않고 메트릭을 노출하기 위해 WinRM을 사용하는 경우도 있었습니다. 그러나 몇 가지 보안 고려 사항이 있습니다.

winrm get winrm/config현재 상황이 어떻게 구성되어 있는지 확인하려면 실행해 보세요 .
WinRM이 HTTPS 목적으로 인증서를 설치했는지 확인하세요. 이것은 (예 - 이상한 명명법) Personal매장 에 들어가야 합니다 .Local Computer
다음을 수행하여 HTTPS를 활성화하십시오.winrm quickconfig -transport:https

전송이 보안되면 클라이언트 인증서 인증을 활성화하고 다른 모든 것을 비활성화해야 합니다.

비활성화하는 작업은 다음과 같이 수행됩니다 winrm set winrm/config/client/auth @{Digest="false"}.
Kerberos, Digest 및 주변의 모든 것을 비활성화합니다.
다음을 수행하여 인증서 인증을 활성화합니다.winrm set winrm/config/client/auth @{Certificate="true"}
winrm set winrm/config/client/auth '@{CredSSP="true"}작동하는 데 필요한지 잘 기억이 나지 않습니다 . 자격 증명 위임에 필요할 수 있습니다.

이는 잘 작동하며 Windows HTTP 전송, Windows PKI 인프라를 신뢰하고 명백한 불쾌한 항목을 필터링할 수 있는 방화벽이 있는 경우 제대로 작동하는 옵션입니다. 프로그래밍 방식으로 항목을 수집해야 하는 경우 매우 좋습니다.

이제 또 다른 문제는 WinRM을 통해 원하는 모든 정보를 얻을 수 있다는 것입니다. 이것은 대답하기가 쉽지 않습니다. 생각보다 어려운 일이 많다고 생각합니다. RAID 컨트롤러 등의 상태를 원하지만 이는 기껏해야 어렵습니다. SSH를 통해 RDP를 사용하는 것은 (확실히 말하자면) 추가된 다양성 때문에 여전히 제가 선호하는 방법입니다.

결론적으로 그렇습니다. VPN 등 없이 WinRM을 사용할 수 있지만 결국 원하는 결과를 얻을 수 있는지 고려해야 합니다.

편집하다:WinRM과 SSH의 사용을 비교하는 것은 적어도 기능 패키지 관점에서 보면 그다지 유용하지 않을 수 있습니다. SSH를 사용하면 원하는 정보를 수집하는 내용을 작성할 준비가 되어 있으면 무엇이든 얻을 수 있습니다. 그런 의미에서 WinRM은 다용도가 떨어집니다. 그러나 보안 측면에서는 완전히 가능한 일을 적절하게 잠그면 둘 다 괜찮습니다.

Question 2

저는 Windows 전문가가 아니기 때문에 WinRM 세부 사항에 대해서는 자세히 설명할 수 없습니다.

그러나 결론은 ssh 또는 winrm과 같은 모든 원격 액세스 서비스에는 위험과 이점이 있다는 것입니다. 내가 알 수 있듯이 그들은 대략 유사한 기능을 제공합니다. 유사한 수준의 AAA를 제공하는 경우 보안 상태에서 유사하게 취급할 수 있습니다. 예를 들어, WinRM이 인증을 위해 https 인증서를 사용하지만 openssh가 유선을 통해 전송된 암호를 허용하는 경우(하나의 구성 가능) WinRM의 AAA가 아마도 더 나을 것입니다.

각 서비스의 권한은 제한되어 있나요? 예를 들어 Linux에서는 인바운드 SSH 연결이 특정 작업만 수행할 수 있도록 selinux를 실행할 수 있습니다.

또한 다양한 공급업체/구현을 얼마나 신뢰하는지 고려해야 합니다. openssh 및 *nix에서 Windows보다 원격으로 악용 가능한 버그가 많거나 적을 것으로 예상하십니까? 트롤이 되지 않기 위해 이 말을 하려는 것은 분명히 부담스러운 질문입니다. 그러나 문제는 매우 현실적입니다.

보안 상태가 구체적으로 무엇인지에 관한 한... 어떤 사람들은 포트 22에서 SSH를 공개적으로 설정하고, 어떤 사람들은 연결하기 전에 VPN이 필요합니다. 일부는 모호함을 통해 보안을 사용하고 포트 22 대신 포트 222에 SSH를 배치합니다.

일부에는 연결이 허용되는 IP에 대한 화이트리스트가 있습니다. sshd 또는 iptables에서 화이트리스트를 작성할 수 있습니다. Windows에서, Windows 방화벽에서, 아니면 winrm 자체에서? 많은 가능성이 있습니다.

Answer