Tags: Sicherheit, Server Core, Verschlüsselung
Verwendet man WinRM zur Remote-Administration, ist durch die Kerberos-Authentifizierung sichergestellt, dass Anmeldedaten wie Benutzername oder Password nicht im Klartext über die Leitung gehen. In manchen Fällen mag dies als Sicherheitslevel akzeptabel sein, doch in der Regel will man die gesamte Kommunikation verschlüsseln.
Nach der Methode per winrm quickconfig
läuft der Datenverkehr unverschlüsselt per HTTP über Port 5985 (Windows 7, sonst über den Standard-Port 80). Für verschlüsselten Datenverkehr in Microsoft-Netzen braucht es eine Zertifikatsinfrastruktur.
Zertifikat für Server-Authentifizierung installieren und HTTPS-Listener aktivieren
Ohne Zertifikat auf jedem beteiligten PC gibt es kein verschlüsseltes WinRM. Die Zertifikatsinfrastruktur ist zwingend wegen der letzten aus der folgenden Liste von Bedingungen nötig, die es jeweils erfüllen muss:
- CN stimmt mit Hostnamen überein,
- für Server-Authentifizierung ausgestellt,
- gültig, also weder widerrufen noch abgelaufen
- nicht selbst signiert.
Sofern auf dem PC nicht bereits ein Zertifikat existiert, lässt es sich im Regelfall per Browser von Zertifikat-Server über die URL https://‹Zertifikat-Server›/certsrv
anfordern.
Damit der Datenverkehr verschlüsselt wird, muss er über das Protokoll HTTPS laufen. Der Standard-Port hierfür ist 443, Windows 7 nutzt für WinRM Port 5986. Nach der Installation des Zertifikates schaltet man die HTTPS-Listener per
winrm quickconfig -transport:https
ein. Stimmt mit dem Zertifikat etwas nicht, erfährt man es hier per Fehlermeldung, wobei die Meldung nicht zwischen einem komplett fehlenden Zertifikat und unzureichenden Eigenschaften unterscheidet. Per
winrm enumerate winrm/config/listener
kann man sich vergewissern, dass der HTTPS-Listener verwendet wird. Die verwendeten Ports, gültigen Authentifizierungseinstellungen und sonstigen konfigurierten WinRM-Parameter eines PCs erfährt man per
winrm get winrm/config
Referenz: Microsoft KB2019527
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- AD-Zertifikatsdienste (AD CS) von SHA-1 auf SHA-2 migrieren: Gründe und Hindernisse
- Netlogon: Domänen-Controller verweigern Verbindung zu unsicheren Geräten
- Schritt-für-Schritt-Anleitung: vSphere Trust Authority konfigurieren
- vSphere Trust Authority: ESXi-Hosts über separaten Verwaltungs-Cluster absichern
- WannaCry: Tools für Entschlüsselung von Daten