Назад | Перейти на главную страницу

Какие последствия для безопасности имеет WSMan «TrustedHosts»?

Я обнаружил, что WinRM требует, чтобы TrustedHosts (в WSMan: \ client) был настроен для выполнения удаленных команд PowerShell. Я не могу найти официальную документацию по разветвлениям безопасности и рискам доверия опасным хостам.

В моей ситуации у меня есть общий сервер RDP, подключенный к домену. Я хотел бы предоставить пользователям доступ для подключения удаленного PowerShell к потенциально скомпрометированным системам, которые не находятся на одном контроллере домена.

Сторона клиента TrustedHosts позволяет подключаться к удаленным машинам, чьи личности не могут быть проверены ни через членство в домене, ни SSL сертификация. Поскольку невозможно узнать, является ли конечная точка дружественной или враждебной, модель безопасности требует, чтобы вы поручились за нее, сделав явный шаг.

Ваш вопрос не был ясен относительно удаленного запуска команд, поэтому я коснусь нескольких тем.

Это мало связано с тем, можете ли вы запускать сценарии, размещенные на удаленном общем ресурсе - это политика выполнения.

Аналогичным образом, с известным хостом через домен или https вам не нужно устанавливать TrustedHosts для запуска команд в удаленном контексте.

TrustedHosts просто в первую очередь устанавливает связь.

Очень хорошо подумайте о вашей заявленной цели - разрешить удаленные подключения к скомпрометированным системам. Вы начинаете открываться, чтобы проходить атаки подражания. Если вы знаете, что система взломана, вам следует быть очень осторожными.

Дополнительная информация:

Управление недоменными компьютерами
Когда вы устанавливаете соединение, по умолчанию удаленное взаимодействие делегирует ваши учетные данные для входа на удаленный компьютер. Удаленный компьютер использует эти учетные данные, чтобы выдать себя за вас, выполняя команды от вашего имени. Как вы понимаете, делегирование учетных данных на удаленный сервер сопряжено с риском для безопасности. Например, если злоумышленник смог успешно выдать себя за известный удаленный компьютер, вы могли бы передать свои учетные данные этому самозванцу, который мог бы использовать их против вас и других людей в сети. http://resources.intenseschool.com/remote-management-with-powershell-part-2/