Когда я устанавливаю WSMan: \ localhost \ Client \ TrustedHosts
на сервере, он по-прежнему разрешает доступ с клиентских машин внутри домена. Вместо этого я бы хотел по умолчанию запретить использование членов домена. Вызывающий пользователь является администратором как на клиентских, так и на серверных машинах, но, чтобы уменьшить поверхность атаки для вредоносных программ, я хотел бы запретить доступ с каждой машины, кроме предполагаемого клиента.
Как описано в этом статья: Включение удаленного взаимодействия PowerShell только для указанного набора IP-адресов .
(для каждого клиента pc1 / pc2 / pc ...) вам необходимо:
enable-psremoting
далее: удалите прослушиватель winrm, созданный с помощью enable-psremoting
Remove-WSManInstance winrm/config/Listener -SelectorSet @{Address="*";Transport="http"}
, теперь машина никого не слушает, поэтому вам нужно создать нового прослушивателя для admin -client
New-WSManInstance winrm/config/Listener -SelectorSet @{Address="IP:10.11.12.13";Transport="http"}
перезапустите службу winrm
spsv winrm -pass | sasv -pass |gsv #*
(вы должны запустить PowerShell от имени администратора)
\*
*spsv = stop-service // sasv = start-service // gsv = get-service // -pass = -passThrough*