サーバーでWinRMセキュリティ設定を構成するためのチェックリスト
WinRMはコマンドラインインターフェイスを使用するのが非常に難しいため、一部の設定は簡単に再構成され、見落とされ、最終的には悪用されると思います。
言い換えれば、あいまいさにもかかわらず不安。
サーバーでWinRMを構成するときに注意すべきセキュリティ設定は何ですか?
ここに私が発見したセキュリティ関連のアイテムの不完全なリストがあります:
新しいデフォルトに注意してください
WinRMは、VistaおよびLonghornのポート80/443で実行されていました。これはポート「5985」と「5986」に変更され、IANAによって新しい管理ポートとして認識されます(詳細 このページの下部 )
役立つコマンド
- コマンド
winrm g winrm/configは、ほとんどのWinRM構成設定を一覧表示します - 受信リスナーは次のとおりです:
winrm e winrm/config/listener
構成
多くのMSFTサポートドキュメントでは、httpリスナーを作成するコマンド
Winrm quickconfigの実行を推奨しています。脆弱性として考えられるのは、トークンが暗号化されずにポート5985に送信されることです。代わりにwinrm quickconfig -transport:httpsを実行することもできます。「EnableCompatibilityHttpListener」とその対応するHTTPSがすべてのサーバー、特にパブリックウェブサーバーでfalseに設定されていることを確認します。
DMZ内のマシン、またはマルチホームマシンの場合、特定のインターフェースではリスナーを防止し、他のインターフェースではリスナーを防止したい場合があります。詳しくは
winrm help configをご覧ください
Todo/research
- このMSFTページ という表現は、クライアントまたはサーバーがHTTPトランスポート内の暗号化されていないトラフィックにダウンレベルネゴシエートする可能性があることを示しています。これにより、MITMが資格情報にアクセスする余地が生まれます。使用するトランスポートに関係なく、クライアントが常にSOAP暗号化を使用するようにする方法を検討しています。