Назад | Перейти на главную страницу

Как я могу разрешить удаленное взаимодействие Powershell только с одного компьютера?

Когда я установил WSMan:\localhost\Client\TrustedHosts на сервере он по-прежнему разрешает доступ с клиентских машин внутри домена. Вместо этого я хотел бы по умолчанию запретить использование членов домена. Вызывающий пользователь является администратором как на клиентских, так и на серверных машинах, но, чтобы уменьшить поверхность атаки для вредоносных программ, я хотел бы запретить доступ с каждой машины, кроме предполагаемого клиента.

Как описано в этой статье: Включение удаленного взаимодействия PowerShell только для указанного набора IP-адресов.

(для каждого клиента pc1 / pc2 / pc ...) вам необходимо:

enable-psremoting

далее: удалить прослушиватель winrm, созданный enable-psremoting

Remove-WSManInstance winrm/config/Listener -SelectorSet @{Address="*";Transport="http"}

теперь машина никого не слушает, поэтому вам нужно создать нового слушателя для админ-клиент

New-WSManInstance winrm/config/Listener -SelectorSet @{Address="IP:10.11.12.13";Transport="http"}

теперь перезапустите службу WinRM

spsv winrm -pass | sasv -pass |gsv   #*

(вы должны запустить PowerShell от имени администратора)

\*
*spsv = stop-service // sasv = start-service // gsv = get-service // -pass = -passThrough*