WinRMはコマンドラインインターフェイスを使用するのが非常に難しいため、一部の設定は簡単に再構成され、見落とされ、最終的には悪用されると思います。
言い換えれば、あいまいさにもかかわらず不安。
サーバーでWinRMを構成するときに注意すべきセキュリティ設定は何ですか?
ここに私が発見したセキュリティ関連のアイテムの不完全なリストがあります:
新しいデフォルトに注意してください
WinRMは、VistaおよびLonghornのポート80/443で実行されていました。これはポート「5985」と「5986」に変更され、IANAによって新しい管理ポートとして認識されます(詳細 このページの下部 )
役立つコマンド
winrm g winrm/config
は、ほとんどのWinRM構成設定を一覧表示しますwinrm e winrm/config/listener
構成
多くのMSFTサポートドキュメントでは、httpリスナーを作成するコマンドWinrm quickconfig
の実行を推奨しています。脆弱性として考えられるのは、トークンが暗号化されずにポート5985に送信されることです。代わりにwinrm quickconfig -transport:https
を実行することもできます。
「EnableCompatibilityHttpListener」とその対応するHTTPSがすべてのサーバー、特にパブリックウェブサーバーでfalseに設定されていることを確認します。
DMZ内のマシン、またはマルチホームマシンの場合、特定のインターフェースではリスナーを防止し、他のインターフェースではリスナーを防止したい場合があります。詳しくはwinrm help config
をご覧ください
Todo/research