WinRM общедоступный

Я использовал WinRM в некоторых случаях для раскрытия метрик - без использования VPN и т. п. Но есть некоторые соображения безопасности:

1. Попробуйте запустить winrm get winrm/config, чтобы увидеть, как все настроено в данный момент.
2. Убедитесь, что WinRM использует установленный сертификат для целей HTTPS. Это должно быть в Personalхранилище на Local Computer(да - странная номенклатура)
3. Включите HTTPS, выполнив следующие действия:winrm quickconfig -transport:https

После того, как транспорт защищен, необходимо включить аутентификацию клиентского сертификата и отключить все остальное:

1. Отключение чего-либо делается следующим образом winrm set winrm/config/client/auth @{Digest="false"}.
2. Отключите Kerberos, Digest и все остальное.
3. Включите проверку подлинности сертификата, выполнив следующие действия:winrm set winrm/config/client/auth @{Certificate="true"}
4. Я не совсем помню, нужно ли это winrm set winrm/config/client/auth '@{CredSSP="true"}для работы — возможно, это нужно для делегирования учетных данных.

Это работает хорошо, и если вы доверяете HTTP-транспорту Windows, инфраструктуре Windows PKI и у вас есть брандмауэр, который позволяет вам отфильтровывать очевидные гадости, это вариант, который работает отлично. Это довольно неплохо, если вам нужно собирать вещи программно.

Теперь другой вопрос: сможете ли вы получить всю необходимую информацию через WinRM? На этот вопрос не так просто ответить. Я считаю, что некоторые вещи сложнее получить, чем вы могли бы подумать. Мне нужен статус RAID-контроллеров и т. п., но это в лучшем случае сложно. Использование RDP через SSH (просто для уверенности) по-прежнему остается моим любимым способом сделать это из-за дополнительной универсальности, которую вы получаете.

В заключение, да, вы можете использовать WinRM без VPN и подобных сервисов, но вам следует подумать, даст ли это вам в конечном итоге то, что вы хотите.

РЕДАКТИРОВАТЬ:Сравнение использования WinRM с SSH, возможно, не совсем полезно - по крайней мере, с точки зрения пакета функций. Используя SSH, вы можете получить что угодно, если вы готовы написать что-то, что собирает нужную вам информацию. WinRM менее универсален в этом смысле. Однако с точки зрения безопасности оба хороши, IMHO, если вы правильно все заблокируете, что вполне возможно.

Я не специалист по Windows, поэтому не могу много рассказать о специфике WinRM.

Суть в том, что любая служба удаленного доступа, например ssh или winrm, имеет свои риски и преимущества. Насколько я могу судить, они предоставляют примерно аналогичную функциональность. Если они предоставляют схожие уровни AAA, то вы можете относиться к ним аналогично в своей политике безопасности. Например, если WinRM использует https-сертификаты для аутентификации, но openssh позволяет отправлять пароли по сети (одна из возможных конфигураций), AAA WinRM, вероятно, лучше.

Ограничены ли привилегии каждой службы? Например, в Linux вы можете запустить selinux, чтобы входящие ssh-подключения могли выполнять только определенные операции.

Вам также следует подумать, насколько вы доверяете различным поставщикам/реализациям. Ожидаете ли вы увидеть больше или меньше удаленно эксплуатируемых ошибок в openssh и *nix, чем в windows? Попытаюсь сформулировать это так, чтобы не быть троллем - это, очевидно, провокационный вопрос. Но проблема вполне реальна.

Что касается того, какой именно должна быть эта позиция безопасности... некоторые люди выставляют ssh на открытый порт 22, некоторым требуется VPN, прежде чем вы сможете подключиться. Некоторые используют безопасность через неизвестность и выставляют ssh на порт 222 вместо порта 22.

У некоторых есть белый список IP-адресов, которым разрешено подключаться. Вы можете сделать белый список в sshd или в iptables. В Windows, в брандмауэре Windows или, возможно, в самом winrm? Существует множество возможностей.

WinRM может использовать транспорт HTTPS, и если ваши машины находятся в домене ииметь на них сертификаты вашего предприятияуже сейчас это должно просто работать.