Lista de verificación para configurar WinRM Security settings en los servidores

4

WinRM tiene una interfaz de línea de comandos muy difícil de usar y eso me lleva a creer que algunas configuraciones se reconfigurarán, pasarán por alto y se explotarán con el tiempo.

En otras palabras, la inseguridad a través de la oscuridad.

¿A qué configuraciones de seguridad debo prestar atención al configurar WinRM en un servidor?

    
pregunta random65537 12.02.2012 - 02:10
fuente

1 respuesta

3

Aquí hay una lista incompleta de elementos relacionados con la seguridad que descubrí:

Tenga en cuenta los nuevos valores predeterminados

WinRM solía ejecutarse en los puertos 80/443 en Vista y Longhorn. Eso cambió al puerto "5985" y "5986" reconocido por IANA como los nuevos puertos de administración (más información parte inferior de esta página )

Comandos útiles

  • El comando winrm g winrm/config enumera la mayoría de las opciones de configuración de WinRM
  • Los oyentes entrantes se muestran aquí: winrm e winrm/config/listener

Configuración

  • Muchos documentos de soporte de MSFT recomiendan ejecutar el comando Winrm quickconfig , que crea una escucha http. Una posible vulnerabilidad es que su token se envíe sin cifrar en el puerto 5985. La alternativa es ejecutar: winrm quickconfig -transport:https .

  • Asegúrese de que "EnableCompatibilityHttpListener" y su contraparte HTTPS estén configurados en falso en todos los servidores, especialmente en los servidores web públicos.

  • Para máquinas en la DMZ, o máquinas de hogar múltiple, es posible que desee evitar la escucha en ciertas interfaces y no en otras. Ver winrm help config para más información

Todo/research

  • La redacción de esta página de MSFT indica que el cliente o el servidor pueden negociar en un nivel inferior para el tráfico no cifrado dentro del transporte HTTP. Esto crea espacio para un MITM para acceder a las credenciales. Estoy buscando formas de garantizar que el cliente siempre use el cifrado SOAP independientemente del transporte que se esté utilizando.
respondido por el random65537 12.02.2012 - 02:21
fuente

Lea otras preguntas en las etiquetas