Можно ли ограничить вход в WMI определенными хостами / IP-адресами?

Контекст:

ИТ-среда предприятия
3000+ виртуальных машин под управлением различных выпусков Windows Server (клиент)
Приложение от производителя, которое использует WMI для запроса информации на серверах Windows, регистрируется на сервере и запускает сценарии PowerShell.
Само приложение представляет собой службу Windows, работающую на одной конкретной виртуальной машине (хост службы), работающий как пользователь домена с правами локального администратора в домене (учетная запись службы)

Требование безопасности:

Когда учетная запись службы используется для входа в систему клиент систем, авторизация должна производиться только в том случае, если запрос поступил от хост службы (по IP-адресу или другой идентификации)

то есть, если другой компьютер использовал то же имя пользователя и пароль, его следует либо отклонить, либо создать какое-либо предупреждение в журнале событий Windows, которое можно отслеживать.

Это вообще возможно?

В зависимости от того, как вы используете WMI в своей среде (является ли это приложение единственным, которое будет подключаться к удаленным системам через WMI? Или у вас есть другие?), Вы можете легко создавать, развертывать и управлять правилами брандмауэра Windows в этих системах, которые принимают только трафик на порт WMI, если он исходит с IP-адреса узла службы, то есть из учетной записи службы. Для этого есть способ назначить WMI конкретный порт:

https://docs.microsoft.com/en-us/windows/win32/wmisdk/setting-up-a-fixed-port-for-wmi

Скорее всего, это самый простой способ. Впоследствии правилами брандмауэра можно будет управлять через объекты групповой политики.