WinRM-Remote-Verwaltung verschlüsseln

Verwendet man WinRM zur Remote-Administration, ist durch die Kerberos-Authenti­fizierung sichergestellt, dass Anmelde­daten wie Benutzername oder Password nicht im Klartext über die Leitung gehen. In manchen Fällen mag dies als Sicherheits­level akzeptabel sein, doch in der Regel will man die gesamte Kommunikation verschlüsseln.

Nach der Methode per winrm quickconfig läuft der Datenverkehr unverschlüsselt per HTTP über Port 5985 (Windows 7, sonst über den Standard-Port 80). Für verschlüsselten Datenverkehr in Microsoft-Netzen braucht es eine Zertifi­kats­infra­struk­tur.

Zertifikat für Server-Authentifizierung installieren und HTTPS-Listener aktivieren

Ohne Zertifikat auf jedem beteiligten PC gibt es kein verschlüsseltes WinRM. Die Zertifi­kats­infra­struk­tur ist zwingend wegen der letzten aus der folgenden Liste von Bedingungen nötig, die es jeweils erfüllen muss:

• CN stimmt mit Hostnamen überein,
• für Server-Authentifizierung ausgestellt,
• gültig, also weder widerrufen noch abgelaufen
• nicht selbst signiert.

Sofern auf dem PC nicht bereits ein Zertifikat existiert, lässt es sich im Regelfall per Browser von Zertifikat-Server über die URL https://‹Zertifikat-Server›/certsrv anfordern.

Damit der Datenverkehr verschlüsselt wird, muss er über das Protokoll HTTPS laufen. Der Standard-Port hierfür ist 443, Windows 7 nutzt für WinRM Port 5986. Nach der Installation des Zertifikates schaltet man die HTTPS-Listener per

winrm quickconfig -transport:https

ein. Stimmt mit dem Zertifikat etwas nicht, erfährt man es hier per Fehlermeldung, wobei die Meldung nicht zwischen einem komplett fehlenden Zertifikat und unzureichenden Eigenschaften unterscheidet. Per

winrm enumerate winrm/config/listener

kann man sich vergewissern, dass der HTTPS-Listener verwendet wird. Die verwendeten Ports, gültigen Authentifizierungs­einstellungen und sonstigen konfigurierten WinRM-Parameter eines PCs erfährt man per

winrm get winrm/config

Referenz: Microsoft KB2019527