我正在寻找在出现第二跳的情况下实施 WinRM 的最安全方法。具体来说,我想从任意但单一的管理机器运行脚本,并使用单个特定管理用户的传递凭据在所有工作站上启动远程会话。那里的那些远程会话需要能够第二跳到文件服务器上的特定共享,以访问适当的资源。我知道 CredSSD 很弱,所以我正在寻找更好的东西。Richard Siddaway在这里提到了“基于 AD 的委派” ,但我发现的关于委派的最佳信息来自 MS这里,并且所有委派选项都显示“不支持 WinRM 的第二个跃点”。那么,是否有一种安全的方法可以通过 Active Directory 为单个指定的用户或组启用 Second Hopping?理想情况下,我希望将第二跳限制为仅指定的第三个服务器/共享,并且仅适用于指定的用户或组。因此,任何使用不同凭据的远程会话都不能第二跳,正确的凭据也不能第二跳到其他资源。这甚至是远程可行的吗?
1 回答
很明显,您一直在研究这个问题,但是,您是否看过以下方法以确定它们是否可以让您实现目标?
PowerShell Remoting Kerberos 双跳安全解决
您是否面临 PowerShell 远程处理和凭据问题?你远程进入你的跳转框,但是任何超出那里的远程都会得到一个大红色的 ACCESS DENIED。也许您已经尝试过 CredSSP,但人们说这不安全。阅读今天的帖子,了解一种完全合法、安全、安全且简单的方法,可以为 PowerShell 远程处理启用 Kerberos 双跃点。
多跳 PowerShell 远程处理的另一种解决方案
我发现了另一种解决 PowerShell 远程处理中的两个跃点问题的解决方案,我在 Internet 上的搜索中没有看到任何地方。我相信有些人知道它,但它似乎并不广为人知。
更新您的上一条评论
这个...
实现 WinRM 的最安全方法
... 和这个...
我希望找到一个过度保护/偏执的 IT 经理仍然可以签署的解决方案。如果我的理解是错误的,我很想接受教育。
这真的是一个见仁见智的问题。意思是,对一个人来说足够安全的东西对另一个人来说是不够的。
因此,在您对任何选项说“yey”或“ney”之前,必须先充实这一点。
- 是否意味着结束源到目的地之间管道的风险管理/安全?(所以主机到主机相互身份验证、SSL、SDI 服务器和域隔离等)
- 是否意味着通过管道传输数据的安全性?在源端加密,在目标端解密,还是混淆代码?
有些,我会说 WinRM 本质上是不安全的,因为它默认为 HTTP。大多数网络没有在内部利用相互身份验证、针对特定功能/操作/连接的 RBAC、SDI等。 有很多关于 WinRM 安全的文章以及关于解决它的选项的文章。
保护 WinRM
WinRMSecurity - PowerShell | 微软文档
然后就是JEA的使用
风险管理/安全都是关于层和权衡的。所述部署的成本、状态与可用性、DR 和维护。