WinRM 公開可用

我曾在某些情況下使用 WinRM 來公開指標 - 不使用 VPN 等。但有一些安全考慮：

1. 嘗試運行winrm get winrm/config以查看當前的配置。
2. 確保 WinRM 使用已安裝的用於 HTTPS 目的的憑證。這必須進入Personal商店Local Computer（是的 - 奇怪的命名法）
3. 透過執行下列操作啟用 HTTPSwinrm quickconfig -transport:https

一旦傳輸受到保護，您需要啟用客戶端憑證驗證並停用其他所有內容：

1. 禁用東西是這樣完成的winrm set winrm/config/client/auth @{Digest="false"}。
2. 停用 Kerberos、Digest 以及周圍的任何其他內容。
3. 透過執行以下操作啟用憑證驗證winrm set winrm/config/client/auth @{Certificate="true"}
4. 我不太記得您是否需要winrm set winrm/config/client/auth '@{CredSSP="true"}工作 - 可能需要憑證委派。

這種方法效果很好，如果您信任 Windows HTTP 傳輸、Windows PKI 基礎結構，並且您有適當的防火牆可以過濾掉明顯的惡意內容，那麼這是一個效果很好的選項。如果您需要以程式設計方式收集東西，這是非常好的。

現在，另一件事是：您能否透過 WinRM 獲得您想要的所有資訊？這並不容易回答。我發現很多事情比你想像的更難理解。我想要 RAID 控制器等的狀態，但這充其量也很困難。使用 RDP over SSH（只是為了確定）仍然是我最喜歡的方法，因為您可以獲得更多的多功能性。

總而言之，是的 - 您可以在沒有 VPN 等的情況下使用 WinRM，但您應該考慮它最終是否能滿足您的需求。

編輯：將 WinRM 與 SSH 的使用進行比較可能並不完全有用 - 至少從功能包的角度來看。使用 SSH，如果您準備編寫一些東西來收集您想要的信息，您就可以獲得任何東西。從這個意義上說，WinRM 的通用性較差。然而，從安全角度來看，如果你正確鎖定事物，兩者都很好，這是完全可能的。

不是 Windows 人員，所以我不能對 WinRM 的細節說太多。

但最重要的是，任何遠端存取服務（如 ssh 或 winrm）都有風險和好處。據我所知，它們提供了大致相似的功能。如果他們提供類似的 AAA 級別，那麼您可能會在安全態勢中以類似的方式對待他們。例如，如果 WinRM 使用 https 憑證進行驗證，但 openssh 允許透過線路傳送密碼（一種可能的設定），則 WinRM 的 AAA 可能會更好。

每項服務的權限是否受到限制？例如，在 Linux 上，您可以執行 selinux，以便入站 ssh 連線只能執行某些操作。

您還應該考慮您對不同供應商/實現的信任程度。您期望在 openssh 和 *nix 中看到的可遠端利用的錯誤比在 Windows 中多還是少？試圖用這樣的措辭來表達，以免成為一個巨魔——這顯然是一個沉重的問題。但這個問題是非常現實的。

至於具體的安全狀況應該是什麼…有些人將 ssh 開放在連接埠 22 上，有些人需要 VPN 才能連線。有些透過隱藏來使用安全性，並將 ssh 放在連接埠 222 而不是連接埠 22 上。

有些有允許連接的 IP 的白名單。您可以在 sshd 或 iptables 中進行白名單。在 Windows 上，在 Windows 防火牆中，或可能在 winrm 本身中？有很多可能性。

WinRM 能夠使用 HTTPS 傳輸，如果您的電腦位於網域中且上面有您的企業證書已經，它應該可以工作了。