Я ищу конкретные отзывы о WinRM. Есть :: still :: дебаты о том, стоит ли делать общедоступный RDP без VPN - хорошей идеей - нет никаких дискуссий о том, является ли публично доступным SSH хорошей идеей, если он настроен. правильно...
Какое место занимает WinRM на данном этапе: использование с VPN, без VPN и т. Д.?
Не специалист по Windows, поэтому я не могу слишком много говорить о специфике WinRM.
Суть в том, что любая служба удаленного доступа, такая как ssh или winrm, имеет риски и преимущества. Насколько я могу судить, они предоставляют примерно аналогичную функциональность. Если они обеспечивают аналогичные уровни AAA, вы можете относиться к ним аналогичным образом в своей позиции безопасности. Например, если WinRM использует сертификаты https для аутентификации, но openssh позволяет отправлять пароли по сети (одна из возможных конфигураций), AAA WinRM, вероятно, лучше.
Ограничены ли привилегии каждой услуги? Например, в Linux вы можете запустить selinux, чтобы входящие ssh-соединения могли выполнять только определенные операции.
Вам также следует подумать о том, насколько вы доверяете различным поставщикам / реализациям. Ожидаете ли вы увидеть в openssh & * nix больше или меньше ошибок, которые можно использовать удаленно, чем в Windows? Пытаться сформулировать это так, чтобы не быть троллем - это, очевидно, наглый вопрос. Но вопрос вполне реальный.
Что касается того, какой должна быть эта позиция безопасности ... некоторые люди открывают ssh на порту 22, некоторым людям требуется VPN, прежде чем вы сможете подключиться. Некоторые используют скрытую безопасность и ставят ssh на порт 222 вместо порта 22.
У некоторых есть белый список разрешенных для подключения IP-адресов. Вы можете сделать белый список в sshd или iptables. В Windows, в брандмауэре Windows или, возможно, в самом WinRM? Есть много возможностей.
В некоторых случаях я использовал WinRM для отображения показателей - без использования VPN и тому подобного. Но есть некоторые соображения безопасности:
winrm get winrm/config чтобы увидеть, как все настроено в настоящее время.Personal хранить на Local Computer (да - нечетная номенклатура) winrm quickconfig -transport:httpsКак только транспорт будет защищен, вам нужно включить аутентификацию сертификата клиента и отключить все остальное:
winrm set
winrm/config/client/auth @{Digest="false"}. winrm set winrm/config/client/auth @{Certificate="true"}winrm set winrm/config/client/auth '@{CredSSP="true"} для работы - может понадобиться для делегирования учетных данных.Это работает хорошо, и если вы доверяете транспортному протоколу Windows HTTP, инфраструктуре PKI Windows и у вас есть брандмауэр, который позволяет вам отфильтровывать очевидные неприятности, это вариант, который отлично работает. Это неплохо, если нужно собирать вещи программно.
Теперь другой вопрос: сможете ли вы получить всю необходимую информацию через WinRM? На это не так просто ответить. Я считаю, что до некоторых вещей добраться труднее, чем вы думаете. Мне нужен статус RAID-контроллеров и тому подобного, но это в лучшем случае сложно. Использование RDP поверх SSH (на всякий случай) по-прежнему является моим любимым способом сделать это из-за дополнительной универсальности, которую вы получаете.
В заключение, да - вы можете использовать WinRM без VPN и т. Д., Но вы должны подумать, принесет ли он вам то, что вы хотите в конечном итоге.
РЕДАКТИРОВАТЬ: Сравнение использования WinRM с SSH, возможно, не совсем полезно - по крайней мере, с точки зрения пакета функций. Используя SSH, вы можете получить все, что угодно, если вы готовы написать что-то, что собирает нужную вам информацию. В этом смысле WinRM менее универсален. Однако с точки зрения безопасности оба варианта хороши, ИМХО, если вы правильно заблокируете все, что вполне возможно.
WinRM может использовать транспорт HTTPS, и если ваши машины находятся в домене и иметь на них сертификаты предприятия уже, это должно работать.