Windows
WinRM 公開可用
我正在尋找有關 WinRM 的具體回饋。有 ::still:: 關於在沒有 VPN 的情況下公開 RDP 是否是一個好主意的爭論——沒有關於公開 SSH 是否是一個好主意的爭論,只要它已設置正確…
WinRM 在這一點上適合什麼:與 VPN 一起使用、無 VPN 等?
我曾在某些情況下使用 WinRM 來公開指標——不使用 VPN 等。但是有一些安全方面的考慮:
- 嘗試執行
winrm get winrm/config
以查看目前的配置情況。- 確保 WinRM 使用已安裝用於 HTTPS 的證書。這必須進入
Personal
商店Local Computer
(是的 - 奇怪的命名法)- 通過執行啟用 HTTPS
winrm quickconfig -transport:https
一旦傳輸安全,您需要啟用客戶端證書身份驗證並禁用其他所有內容:
- 禁用東西是這樣完成的
winrm set winrm/config/client/auth @{Digest="false"}
。- 禁用 Kerberos、Digest 和周圍的任何其他內容。
- 通過執行啟用證書身份驗證
winrm set winrm/config/client/auth @{Certificate="true"}
- 我不太記得您是否需要
winrm set winrm/config/client/auth '@{CredSSP="true"}
讓事情正常工作 - 憑證委託可能需要它。這很好用,如果您信任 Windows HTTP 傳輸、Windows PKI 基礎結構,並且您有一個防火牆可以讓您過濾掉明顯的討厭的東西,那麼這是一個很好的選擇。如果您需要以程式方式收集東西,那就太好了。
現在,另一件事是:您能否通過 WinRM 獲得所需的所有資訊?這並不容易回答。我發現有很多事情比你想像的更難做到。我想要 RAID 控制器等的狀態,但這充其量是困難的。在 SSH 上使用 RDP(只是為了確定)仍然是我最喜歡的方式,因為您可以獲得更多的多功能性。
總之,是的——你可以在沒有 VPN 等的情況下使用 WinRM,但你應該考慮它最終是否能得到你想要的。
**編輯:**將 WinRM 與 SSH 的使用進行比較可能並不完全有用——至少從功能包的角度來看。使用 SSH,如果您準備編寫一些東西來收集您想要的資訊,那麼您可以獲得任何東西。從這個意義上說,WinRM 的通用性較差。但是,在安全方面,恕我直言,如果您正確鎖定事物,這兩者都很好,這是完全可能的。