Windows

WinRM 公開可用

  • March 10, 2015

我正在尋找有關 WinRM 的具體回饋。有 ::still:: 關於在沒有 VPN 的情況下公開 RDP 是否是一個好主意的爭論——沒有關於公開 SSH 是否是一個好主意的爭論,只要它已設置正確…

WinRM 在這一點上適合什麼:與 VPN 一起使用、無 VPN 等?

我曾在某些情況下使用 WinRM 來公開指標——不使用 VPN 等。但是有一些安全方面的考慮:

  1. 嘗試執行winrm get winrm/config以查看目前的配置情況。
  2. 確保 WinRM 使用已安裝用於 HTTPS 的證書。這必須進入Personal商店Local Computer(是的 - 奇怪的命名法)
  3. 通過執行啟用 HTTPSwinrm quickconfig -transport:https

一旦傳輸安全,您需要啟用客戶端證書身份驗證並禁用其他所有內容:

  1. 禁用東西是這樣完成的winrm set winrm/config/client/auth @{Digest="false"}
  2. 禁用 Kerberos、Digest 和周圍的任何其他內容。
  3. 通過執行啟用證書身份驗證winrm set winrm/config/client/auth @{Certificate="true"}
  4. 我不太記得您是否需要winrm set winrm/config/client/auth '@{CredSSP="true"}讓事情正常工作 - 憑證委託可能需要它。

這很好用,如果您信任 Windows HTTP 傳輸、Windows PKI 基礎結構,並且您有一個防火牆可以讓您過濾掉明顯的討厭的東西,那麼這是一個很好的選擇。如果您需要以程式方式收集東西,那就太好了。

現在,另一件事是:您能否通過 WinRM 獲得所需的所有資訊?這並不容易回答。我發現有很多事情比你想像的更難做到。我想要 RAID 控制器等的狀態,但這充其量是困難的。在 SSH 上使用 RDP(只是為了確定)仍然是我最喜歡的方式,因為您可以獲得更多的多功能性。

總之,是的——你可以在沒有 VPN 等的情況下使用 WinRM,但你應該考慮它最終是否能得到你想要的。

**編輯:**將 WinRM 與 SSH 的使用進行比較可能並不完全有用——至少從功能包的角度來看。使用 SSH,如果您準備編寫一些東西來收集您想要的資訊,那麼您可以獲得任何東西。從這個意義上說,WinRM 的通用性較差。但是,在安全方面,恕我直言,如果您正確鎖定事物,這兩者都很好,這是完全可能的。

引用自:https://serverfault.com/questions/672224