WinRM 公開可用

我正在尋找有關 WinRM 的具體回饋。有 ::still:: 關於在沒有 VPN 的情況下公開 RDP 是否是一個好主意的爭論——沒有關於公開 SSH 是否是一個好主意的爭論，只要它已設置正確…

WinRM 在這一點上適合什麼：與 VPN 一起使用、無 VPN 等？

我曾在某些情況下使用 WinRM 來公開指標——不使用 VPN 等。但是有一些安全方面的考慮：

1. 嘗試執行winrm get winrm/config以查看目前的配置情況。
2. 確保 WinRM 使用已安裝用於 HTTPS 的證書。這必須進入Personal商店Local Computer（是的 - 奇怪的命名法）
3. 通過執行啟用 HTTPSwinrm quickconfig -transport:https

一旦傳輸安全，您需要啟用客戶端證書身份驗證並禁用其他所有內容：

1. 禁用東西是這樣完成的winrm set winrm/config/client/auth @{Digest="false"}。
2. 禁用 Kerberos、Digest 和周圍的任何其他內容。
3. 通過執行啟用證書身份驗證winrm set winrm/config/client/auth @{Certificate="true"}
4. 我不太記得您是否需要winrm set winrm/config/client/auth '@{CredSSP="true"}讓事情正常工作 - 憑證委託可能需要它。

這很好用，如果您信任 Windows HTTP 傳輸、Windows PKI 基礎結構，並且您有一個防火牆可以讓您過濾掉明顯的討厭的東西，那麼這是一個很好的選擇。如果您需要以程式方式收集東西，那就太好了。

現在，另一件事是：您能否通過 WinRM 獲得所需的所有資訊？這並不容易回答。我發現有很多事情比你想像的更難做到。我想要 RAID 控制器等的狀態，但這充其量是困難的。在 SSH 上使用 RDP（只是為了確定）仍然是我最喜歡的方式，因為您可以獲得更多的多功能性。

總之，是的——你可以在沒有 VPN 等的情況下使用 WinRM，但你應該考慮它最終是否能得到你想要的。

**編輯：**將 WinRM 與 SSH 的使用進行比較可能並不完全有用——至少從功能包的角度來看。使用 SSH，如果您準備編寫一些東西來收集您想要的資訊，那麼您可以獲得任何東西。從這個意義上說，WinRM 的通用性較差。但是，在安全方面，恕我直言，如果您正確鎖定事物，這兩者都很好，這是完全可能的。

引用自：https://serverfault.com/questions/672224