问服务器上配置WinRM安全设置的检查表

EN

以下是我发现的与安全有关的项目的不完整列表：

注意新的默认值

WinRM曾在Vista和Longhorn的端口80/443上运行。这已经改变为端口"5985“和"5986”，被IANA确认为新的管理端口(更多信息本页底部)。

有用命令

• 命令winrm g winrm/config列出了大多数WinRM配置设置
• 入站侦听器如下所示：winrm e winrm/config/listener

Configuration

• 许多MSFT文档建议运行命令Winrm quickconfig，该命令创建一个http侦听器。一个可能的漏洞是您的令牌在端口5985上未加密发送。另一种选择是运行：winrm quickconfig -transport:https。
• 确保"EnableCompatibilityHttpListener“及其对应的HTTPS在所有服务器上设置为false，特别是面向公共的web服务器。
• 对于DMZ中的机器，或者多主机，您可能希望阻止侦听器在某些接口上，而不是在其他接口上。有关更多信息，请参见winrm help config

Todo/research

• 此MSFT页面的措辞表明，客户端或服务器可能会在HTTP传输中与未加密的通信量进行底层协商。这为MITM访问凭据创造了空间。我正在研究确保客户端始终使用SOAP加密的方法，而不管所使用的传输是什么。