---------【winrm的“四级”安全】---------

四级安全,就是最不安全的。

winrm默认使用http+5985端口,密码传输加密,数据、命令传输明文。
有被人窃取机密,和插入攻击命令的风险,也就是所谓的中间人攻击。不过呢,其实问题不大。
解决的话,启用https版的winrm,或者在http外面套上vpn即可。
强调一遍:win2012r2,win2016,win2019默认开启这种http的5985端口。
 

---------【winrm的“三级”安全】---------

 
三级安全,是指给http套上ssl外衣。
给http套上ssl外衣后,传输内容加密了,连接过程还是需要认证用户名和密码。
这就是我说的【赖法,强制启动,https版的winrm】,也就是说winrm客户端连接winrm服务器使用ssl,但跳过自签名证书,跳过域名绑定,我觉得这样足够了。
 
跳过证书,跳过域名绑定,的赖法,靠这两个法宝。
-SkipCACheck #跳过证书
-SkipCNCheck #跳过服务器,机器名
 

winrm服务器:

#用管理员powershell:

Get-childitem WSMan:\Localhost\listener\

Remove-Item -Path WSMan:\Localhost\listener\listener* -Recurse

$winrm证书 = New-SelfSignedCertificate -CertstoreLocation Cert:\LocalMachine\My -DnsName 'powershell交流群183173532'

Get-childitem WSMan:\Localhost\listener\

New-Item -Path WSMan:\LocalHost\Listener -Transport HTTPS -Address *  -Force -CertificateThumbPrint $winrm证书.Thumbprint

Get-ChildItem Cert:\LocalMachine\My |Where-Object Thumbprint -eq $winrm证书.Thumbprint |Remove-Item  -Force

#防火墙添加5986端口

New-NetFirewallRule -DisplayName "ps传教士winrm的https in" -Name "Windows Remote Management (HTTPS-In)" -Profile Any -LocalPort 5986 -RemoteAddress Any -Protocol TCP
 

winrm客户机:

#此命令要求输入,winrm服务器上的账户密码

Invoke-Command -ComputerName $winrm服务器ip -Port 5986 -Credential (Get-Credential) `

-UseSSL -SessionOption (New-PSSessionOption -SkipCACheck -SkipCNCheck) `

-ScriptBlock { dir c:\ }

---------【winrm的“二级”安全】---------

 
二级安全,是指在赖法的基础上。winrm服务器/winrm客户机连接,使用https自签名证书。
 
需要在winrm服务器上,建立一对秘钥,放在【Cert:\LocalMachine\my】里。没错,服务器上必须有公钥+私钥。
winrm客户机上只需要公钥。把公钥导入,放到客户机的【Cert:\LocalMachine\root】里。
 
连接时,winrm客户机用公钥,winrm服务器上用私钥,这一点和ssh相反。winrm客户机公钥泄露问题不大,因为同时还必须要有winrm服务器的账户和密码才能登陆。
 
winrm证书要求:
设置证书增强型密钥使用 (EKU)“服务器身份验证”(OID=1.3.6.1.5.5.7.3.1)。
将“证书主题”设置为“CN=HOSTNAME”。
 
winrm服务器:
#管理员权限powershell,在winrm服务器上,在【证书-本地计算机-》个人-》证书】中,建立证书:
 
$winrm证书参数 = @{

CertStoreLocation = "Cert:\LocalMachine\My"

KeyAlgorithm = 'RSA'

HashAlgorithm = 'sha256'

KeyLength = 4096

Subject = "CN=powershell交流群183173532"

NotBefore = (get-date) - [timespan]::FromDays(365)

NotAfter = (get-date) + [timespan]::FromDays(3650)

}

$winrm证书 = New-SelfSignedCertificate @winrm证书参数

#在winrm客户机,只导出证书公钥:

Export-Certificate -Cert $winrm证书 -FilePath 'd:\winrm证书公钥.cer'

#让winrm监听6516端口:默认端口=5985(http),不监听5986(https)

Get-childitem WSMan:\Localhost\listener\

Remove-Item -Path WSMan:\Localhost\listener\listener* -Recurse

Get-childitem WSMan:\Localhost\listener\

New-Item -Path WSMan:\LocalHost\Listener -Transport HTTPS -Address *  -Force -CertificateThumbPrint $winrm证书.Thumbprint

防火墙开启,winrm服务器6516端口:

New-NetFirewallRule -DisplayName "ps传教士winrm的https in" -Name "Windows Remote Management (HTTPS-In)" -Profile Any -LocalPort 5986 -RemoteAddress Any -Protocol TCP

winrm客户机:

复制公钥文件'd:\winrm证书公钥.cer',到客户机上。
到winrm客户机上,导入公钥到【受信任证书颁发机构-》证书】:
管理员powershell:
Import-Certificate -Filepath 'd:\winrm证书公钥.cer' -CertStoreLocation "Cert:\LocalMachine\root"
然后从winrm客户机,连接winrm服务器,就不能跳过ca了。
请看代码:
#在winrm客户机上运行:此命令要求输入,winrm服务器上的账户密码

Invoke-Command -ComputerName $winrm服务器ip -Port 5986 -Credential (Get-Credential) `

-UseSSL -SessionOption (New-PSSessionOption -SkipCNCheck) `

-ScriptBlock { dir c:\ }

---------【winrm的“一级”安全】---------

一级安全,是指在二级的基础上,从winrm客户端,校验winrm服务端证书的cn。这里的cn名,类似于域名。它是服务器的计算机名【$env:COMPUTERNAME】
 

winrm服务器:

$winrm证书参数 = @{

CertStoreLocation = "Cert:\LocalMachine\My"

KeyAlgorithm = 'RSA'

HashAlgorithm = 'sha256'

KeyLength = 4096

Subject = "CN=$env:COMPUTERNAME"

NotBefore = (get-date) - [timespan]::FromDays(365)

NotAfter = (get-date) + [timespan]::FromDays(3650)

}

$winrm证书 = New-SelfSignedCertificate @winrm证书参数

#在winrm客户机,只导出证书公钥:

Export-Certificate -Cert $winrm证书 -FilePath 'd:\winrm证书公钥.cer'

#让winrm监听6516端口:默认端口=5985(http),不监听5986(https)

Get-childitem WSMan:\Localhost\listener\

Remove-Item -Path WSMan:\Localhost\listener\listener* -Recurse

Get-childitem WSMan:\Localhost\listener\

New-Item -Path WSMan:\LocalHost\Listener -Transport HTTPS -Address *  -Force -CertificateThumbPrint $winrm证书.Thumbprint

#防火墙开启,winrm服务器6516端口:

New-NetFirewallRule -DisplayName "ps传教士winrm的https in" -Name "Windows Remote Management (HTTPS-In)" -Profile Any -LocalPort 5986 -RemoteAddress Any -Protocol TCP

winrm客户机:

复制公钥文件'd:\winrm证书公钥.cer',到客户机上。

到winrm客户机上,导入公钥到【受信任证书颁发机构-》证书】:
管理员powershell:

Import-Certificate -Filepath 'd:\winrm证书公钥.cer' -CertStoreLocation "Cert:\LocalMachine\root"
然后从winrm客户机,连接winrm服务器,就不能跳过ca,也不能跳过cn了。请看代码:
 
$PSRemoting服务器ip = 'DESKTOP-XXXX' #若ping DESKTOP-XXXX返回的ip不对,则要在host中添加ip 计算机名的映射。

$PSRemoting服务器用户名 = 'abcd'

$用户名 = "$PSRemoting服务器ip\$PSRemoting服务器用户名"

$密码明文 = '1234'

$密码密文 = ConvertTo-SecureString $密码明文 -AsPlainText -Force

$用户名和密码捆绑后的授权信息 = New-Object System.Management.Automation.PSCredential ($用户名,$密码密文)

$连接1 = New-PSSession -ComputerName $PSRemoting服务器ip -Port 5986 -Credential $用户名和密码捆绑后的授权信息 -UseSSL

Invoke-Command -session $连接1 -ScriptBlock {dir d:\}

---------【winrm的“最”安全】---------

最安全当然是,不用自签名证书,购买证书了。
或者加入win的域控,成为域内机子。
从win中的powershell,连接到linux版powershell,使用ssh非对称秘钥,也很安全。它是服务器,客户机双向验证。
 

---------【后记】---------

我写这篇帖子的目的是,给winrm启用https。因为winrm+https也可以做ps+web的后端,比如最微软著名的web运维框架“火奴撸撸”。
谢谢观看
 

赖法,强制启动,https版的winrm ---powershell远程连接(winrm)的4个安全级别,详解的更多相关文章

  1. 全网最详细的zkfc启动以后,几秒钟以后自动关闭问题的解决办法(图文详解)

    不多说,直接上干货! 问题详情 情况描述如题所示,zkfc启动以后,几秒钟以后自动关闭. 解决办法: 1.检查下每台机器的时间是否同步: 2.检查下每台机器的防火墙是否关闭: 3.查看zkfc的日志路 ...

  2. 全网最详细的HBase启动以后,HMaster进程启动了,几秒钟以后自动关闭问题的解决办法(图文详解)

    不多说,直接上干货! 问题详情 情况描述如题所示,hbase启动以后,HMaster进程启动了,几秒钟以后自动关闭,但是HRegionServer进程正常运行: 解决办法: 1.检查下每台机器的时间是 ...

  3. 配置ORACLE 11g绿色版客户端和PLSQL远程连接环境

    配置ORACLE 11g绿色版客户端和PLSQL环境   本方法是通过使用ORACLE官方提供的精简版客户端,即绿色免安装的客户端.   Instant client的版本很多:主要是Basic和Ba ...

  4. 横版动作MOBA《超宇宙》首测试玩曝光 详解游戏特色(转)

    http://play.163.com/15/0911/11/B37RHHO100314J6L.html

  5. 苹果强制使用HTTPS传输了怎么办?——关于HTTPS,APP开发者必须知道的事

    WeTest 导读 2017年1月1日起,苹果公司将强制使用HTTPS协议传输.本文通过对HTTPS基础原理和通信过程内容的讲解,介绍APP开发者在这个背景下的应对办法. 几周前,我们在<htt ...

  6. centos7安装tengine强制使用HTTPS访问

    操作系统:centos7.2 x64tengine:Tengine/2.2.0主机IP: 10.0.0.12 一.安装tengine 1.1 下载源码安装包 1.1.1 源码包pcre-8.40   ...

  7. WebAPi之SelfHost自创建证书启动Https疑难解惑及无法正确返回结果

    前言 话说又来需求了,之前对于在SelfHost中需要嵌套页面并操作为非正常需求,这回来正常需求了,客户端现在加了https,老大过来说WebAPi访问不了了,这是什么情况,我去试了试,还真是这个情况 ...

  8. 2017年iOS应用将强制使用HTTPS安全加密-b

    6月14日,WWDC 2016苹果开发者大会上,苹果在讲解全新的iOS10中提到了数据安全这一方面,并且苹果宣布iOS应用将从2017年1月起启用名为App Transport Security的安全 ...

  9. 禁止将http请求强制转换为https请求

    近期遇到一个问题,在谷歌浏览器里发起的http请求都会被转化为https请求,但在safari里面不会被转化,所以暂时只能用Safari浏览器进行调试,后来还查看了为什么http被强制转化为https ...

随机推荐

  1. 如何通过 subprocess 持续获取输出内容

    在实际应用中会用到subprocess的Popen方法执行一些命令,而我们需要通过执行这个命令的来获取输出进行一些信息记录或者分析使用,如果是很快就可以执行完的那还好,有时需要持续跟踪内容的输出,比如 ...

  2. TopCoder12808 「SRM594Medium」FoxAndGo3 二分图最大独立集

    问题描述 一个 \(N \times N\) 围棋棋盘,任意两个白子不相邻,你要加入若干个黑子并提出白子,最大化空格数目. submit 题解 显然最终棋盘的局面不能够一个白子和它周围的空格都是空的, ...

  3. FreeRTOS操作系统教程发布,支持F103,F407和F429,配套145个例子,1200页教程

    前言说明:1. 首先感谢大家对我们安富莱电子的支持. 2. FreeRTOS最大的优势就是开源免费,商业使用的话不需要用户公开源代码,也不存在任何版权问题,是当前小型嵌入式操作系统   市场使用率最高 ...

  4. MySql索引背后的数据结构及算法

    本文以MySQL数据库为研究对象,讨论与数据库索引相关的一些话题.特别需要说明的是,MySQL支持诸多存储引擎,而各种存储引擎对索引的支持也各不相同,因此MySQL数据库支持多种索引类型,如BTree ...

  5. IT兄弟连 HTML5教程 CSS3揭秘 CSS选择器2

    4  结构性伪类选择器 在学习结构性伪类选择器之前,先了解两个概念:伪类选择器和伪元素选择器.伪类选择器是CSS中已经定义好的选择器,不能随便命名.常用的伪类选择器是使用在a元素上的几种,如a:lin ...

  6. 递归找到多级文件夹中所有pdf文件的py程序

    因个人需要,写了一个可以递归找到多级文件夹中所有pdf的小程序,发布出来供有需要的人参考或使用. import os import re import shutil from os.path impo ...

  7. Glide缓存流程

    本文首发于 vivo互联网技术 微信公众号 链接:https://mp.weixin.qq.com/s/cPLkefpEb3w12-uoiqzTig作者:连凌能 Android上图片加载的解决方案有多 ...

  8. go语言面向对象之方法

    1.实现方法 package main import "fmt" //在面向对象编程中,一个对象其实就是一个简单的值或者一个变量,在这个 //对象中包含一些函数 //这种带有接受者 ...

  9. Django多数据库

    每个app使用不同的数据库 1. 配置数据库连接 # settings.py # DATABASES中必须要有default字段 DATABASES = { 'default': { 'ENGINE' ...

  10. [错误]Caused by: org.apache.spark.memory.SparkOutOfMemoryError: Unable to acquire 65536 bytes of memory, got 0

    今天,在运行Spark SQL代码的时候,遇到了以下错误: Caused by: org.apache.spark.SparkException: Job aborted due to stage f ...