WinRM über GPOs konfigurieren und Firewall-Ausnahmen einrichten

    Remote AdministrationRemote Sessions mit PowerShell, das Zusam­men­führen von Eventslogs und andere Dienste benötigen WinRM. Ab Windows Server 2012 ist es per Voreinstellung aktiviert, da­ge­gen muss man es bei älteren Server-Versionen und Clients erst konfigurieren und die nötigen Firewall-Ausnahmen schaffen. Dafür bieten sich GPOs an.

    Möchte man herausfinden, ob ein oder mehrere Remote-PCs über WinRM erreichbar sind, dann kann man dies mit Hilfe von PowerShell einfach herausfinden. Zuständig ist dafür das Cmdlet Test-WsMan, dem man den Namen des betreffenden Rechners übergibt. Es akzeptiert aber keine Liste mit mehreren Namen, so dass man in diesem Fall eine Schleife verwenden muss:

    "PC-1","PC-2" | foreach{$_; Test-WsMan $_}

    Befinden sich nur wenige Rechner im Netz oder sind sie nicht Mitglied in einer Domäne, dann kann man WinRM manuell aktivieren. Ansonsten empfiehlt es sich jedoch, dafür die Gruppenrichtlinien zu nutzen.

    Mit ihrer Hilfe muss man drei Aufgaben bewältigen: Die Verwaltung über WinRM zulassen, den WinRM-Dienst automatisch starten und die benötigte Firewall-Ausnahme einrichten.

    WinRM zulassen

    Das Freischalten von WinRM erfolgt über die Einstellung Remoteserververwaltung über WinRM zulassen unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Windows-Remoteverwaltung => WinRM-Dienst. Wenn man sie aktiviert, dann sollte man aus Sicherheitsgründen mit Hilfe der IP-Filter den Zugang auf die zulässigen Maschinen beschränken.

    Die Remote-Verwaltung von PCs sollte man mit IP-Filtern tunlichst auf bestimmte Quellsysteme einschränken.

    Zu diesem Zweck gibt man in das entsprechende Feld entweder einzelne IP-Adressen von Quellsystemen ein, die durch Kommata getrennt werden, oder man definiert einen Bereich nach dem Muster 192.168.50.50 - 192.168.50.60. Ein Stern dient als Wildcard und bewirkt, dass eine Verbindung von jeder Maschine aus aufgebaut werden kann. Er lässt sich aber nicht als Platzhalter für einzelne Oktetts innerhalb der IP-Adressen nutzen.

    WinRM-Dienst automatisch starten

    Im zweiten Schritt sorgt man dafür, dass der benötigte WinRM-Dienst auf den Zielsystemen automatisch gestartet wird und damit immer verfügbar ist. Dafür kann man wahlweise eine Richtlinie oder die Group Policy Preferences bemühen (siehe dazu meine Anleitung).

    Der WinRM-Service ist bei Windows 7/8 standardmäßig inaktiv und kann über GPOs aktiviert werden.

    In den meisten Fällen wird dafür die einfachere herkömmliche Richtlinie unter Computerkonfiguration => Richtlinien => Windows-Einstellungen =>Sicherheitseinstellungen => Systemdienste ausreichen.

    Firewall-Regel für WinRM einrichten

    Schließlich muss man noch sicherstellen, dass WinRM-Anfragen auf den Zielrechnern nicht von der Firewall abgewiesen werden. Dies erreicht man, indem man die vordefinierte eingehende Regel für WinRM aktiviert. Die dafür zuständige Einstellung nimmt man unter Computerkonfiguration => Richtlinien => Windows-Einstellungen => Sicherheitseinstellungen => Windows-Firewall mit erweiterter Sicherheit => Eingehende Regeln vor.

    Für WinRM existiert eine vordefinierte Regel für eingehende Anfragen, die man über GPOs aktivieren kann.

    Dort startet man aus dem Kontextmenü mit dem Befehl Neue Regel einen Assistenten und aktiviert anschließend die Option Vordefiniert. Nun wählt man im Pull-Down-Menü den Eintrag Windows-Remoteverwaltung und deaktiviert im folgenden Dialog die Regel für das öffentliche Firewall-Profil, um dem Missbrauch von WinRM vorzubeugen.

    Wenn möglich, sollte die Firewall-Regel aus Sicherheitsgründen nicht für das öffentliche Profil aktiviert werden.

    Zusätzlich empfiehlt es sich, nach dem Einrichten der Regel deren Eigenschaften zu öffnen und sie unter der Registerkarte Erweitert auch für das Profil Privat außer Kraft setzen. Damit lassen sich die betroffenen PCs nur mehr von Rechnern aus remote verwalten, die Mitglied in der Domäne sind.

    Wählt man zusätzlich das private Profil ab, dann ist die Verwaltung über WinRM auf PCs aus der Domäne beschränkt.

    Sobald das GPO auf die Zielsysteme angewandt wurde, sollte sich mit einem der genannten Mechanismen eine Remote-Session aufbauen lassen.

    Diese bleibt standardmäßig aber nur Konten mit administrativen Rechten vorbehalten. Möchte man jedoch Aufgaben wie das Management von Hyper-V an Standardbenutzer delegieren, dann muss man ihnen auf den Zielrechnern zusätzliche Rechte einräumen (siehe dazu: WinRM für Standardbenutzer zulassen).

    1 Kommentar

    Bild von Daniel Capilla
    Daniel Capilla sagt:
    8. August 2017 - 16:31

    Wie - keine Kommentare? Unglaublich! ;)
    Danke für diese sehr gute, kurze und präzise Beschreibung.

    Grüße
    Daniel