Когда я установил WSMan:\localhost\Client\TrustedHosts
на сервере он по-прежнему разрешает доступ с клиентских машин внутри домена. Вместо этого я хотел бы по умолчанию запретить использование членов домена. Вызывающий пользователь является администратором как на клиентских, так и на серверных машинах, но, чтобы уменьшить поверхность атаки для вредоносных программ, я хотел бы запретить доступ с каждой машины, кроме предполагаемого клиента.
Как описано в этой статье: Включение удаленного взаимодействия PowerShell только для указанного набора IP-адресов.
(для каждого клиента pc1 / pc2 / pc ...) вам необходимо:
enable-psremoting
далее: удалить прослушиватель winrm, созданный enable-psremoting
Remove-WSManInstance winrm/config/Listener -SelectorSet @{Address="*";Transport="http"}
теперь машина никого не слушает, поэтому вам нужно создать нового слушателя для админ-клиент
New-WSManInstance winrm/config/Listener -SelectorSet @{Address="IP:10.11.12.13";Transport="http"}
теперь перезапустите службу WinRM
spsv winrm -pass | sasv -pass |gsv #*
(вы должны запустить PowerShell от имени администратора)
\*
*spsv = stop-service // sasv = start-service // gsv = get-service // -pass = -passThrough*