Detalhes sobre a configuração de porta segura WS-Management no Windows 7 e Windows Server 2008 R2

Este artigo fornece alguns detalhes importantes sobre a configuração de porta segura WS-Management no WinRM 2. 0, incluído no Windows 7 e Windows Server 2008 R2. O WinRM pode ser baixado separadamente como parte das Estrutura de gerenciamento do Windows para Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008.

Proteger os detalhes de configuração de porta

  1. Resumo
  2. Comportamento funcional
    1. Novos valores padrão
    2. Ouvintes de compatibilidade
    3. Migração de ouvinte
    4. Alterações específicas do PowerShell
    5. Alterações específicas do WinRM
    6. Trabalhando em ambientes mistos
    7. Regras de firewall
    8. Encaminhamento de eventos

Resumo

Servidores conectados à internet geralmente são configurados para permitir o tráfego de diferentes usuários que garantem a vários níveis de confiança. Expor uma interface de gerenciamento através de portas tradicionais potencialmente expõe os recursos de alteração de sistema importantes para usuários mal-intencionados. Por esse motivo, é mais seguro para expor uma interface de gerenciamento através de uma porta que tratam o tráfego da web.

Para fornecer a configuração padrão mais segura e para diminuir a probabilidade de que um usuário inadvertidamente irá criar um ouvinte de WS-Management nessas portas comuns, a configuração padrão foi alterada no WinRM 2. 0 para um conjunto diferente de portas. Ao atualizar para o WinRM 2. 0, qualquer ouvinte que existe na porta 80 ou 443 serão automaticamente migrado para novas portas de padrão de 5985 para HTTP e 5986 para HTTPS.

Comportamento funcional

Novos valores padrão

As portas padrão usadas ao criar novos ouvintes do WS-Management serão alteradas de 80 para HTTP e 443 para HTTPS para 5985 para HTTP e 5986 para HTTPS.  Todos os ouvintes criados manualmente sem especificar uma porta ou ouvintes criados usando a configuração rápida, irá escutar nessas portas novas. Da mesma forma, as portas padrão usadas ao emitir solicitações do cliente também serão alteradas para novas portas.  Quaisquer solicitações de clientes enviadas sem especificar que uma porta será enviada para essas portas novas.

Ee922665.Important(pt-br,WS.10).gif Importante
Se as portas do cliente padrão estão definidas como algo diferente de 80/443, elas não serão modificadas.

Ouvintes de compatibilidade

Para ajudar a interoperabilidade com computadores que não tenham sido atualizados, foram introduzidas novas definições de configuração para criar ouvintes de compatibilidade nas portas 80 e 443 para HTTP e HTTPS, respectivamente. Essas configurações podem ser ativadas diretamente por meio da chamada de linha de comando WinRM configuration console da seguinte maneira.

  • winrm set winrm/config/service @{EnableCompatibilityHttpListener="true"}
  • winrm set winrm/config/service @{EnableCompatibilityHttpsListener="true"}

Os ouvintes de compatibilidade também podem ser habilitados por meio da diretiva de grupo usando as novas configurações em computador administrativa de configuração/modelos/componentes/Windows gerenciamento remoto do Windows (WinRM) / serviço WinRM.

Esses ouvintes de compatibilidade não são diretamente endereçáveis, o que significa que eles não podem ser recuperados via get winrm e suas configurações não podem ser modificadas. Quando enumerados, esses ouvintes serão marcados com a seqüência de caracteres. Source=”Compatibility” para identificá-los, como no exemplo a seguir.

C:\Windows\system32>winrm e winrm/config/listenerListener    Address = *    Transport = HTTP    Port = 5985    Hostname    Enabled = true    URLPrefix = wsman    CertificateThumbprint    ListeningOn = 127.0.0.1, 157.59.85.27, ::1, 2001:4898:0:fff:200:5efe:157.59.85.27, 2001:4898:2b:3:594:e48f:e99a:de17, 2001:4898:2b:3:4c54:7d1e:a5f6:6ea, fe80::100:7f:fffe%11, fe80::200:5efe:157.59.85.27%13, fe80::4c54:7d1e:a5f6:6ea%12Listener [Source="Compatibility"]    Address = *    Transport = HTTP    Port = 80    Hostname    Enabled = true    URLPrefix = wsman    CertificateThumbprint    ListeningOn = 127.0.0.1, 157.59.85.27, ::1, 2001:4898:0:fff:200:5efe:157.59.85.27, 2001:4898:2b:3:594:e48f:e99a:de17, 2001:4898:2b:3:4c54:7d1e:a5f6:6ea, fe80::100:7f:fffe%11, fe80::200:5efe:157.59.85.27%13, fe80::4c54:7d1e:a5f6:6ea%12

Por padrão, essas configurações são definidas como Enabled = False para novas instalações do WinRM 2. 0. Para atualizações, os valores de configuração dependerá da configuração existente. Consulte a seção a seguir para obter mais detalhes.

Migração de ouvinte

A tabela a seguir define as configurações de ouvinte que existem após a atualização para o WinRM 2. 0.

Ouvinte existente Configurações após atualização
Transporte = HTTP

Porta = 80

Novo ouvinte com configurações mesmos criado na porta 5985

o WinRM/config/service/EnableCompatibilityHttpListener = True

“Ativar na compatibilidade ouvinte HTTP” de configuração de diretiva de grupo = ativada

Transporte = HTTP

Porta não está definida para 80

Ouvinte permanecerá inalterado

o WinRM/config/service/EnableCompatibilityHttpListener = False

“Ativar na compatibilidade ouvinte HTTP” de configuração de diretiva de grupo = não configurado

Transporte = HTTPS

Porta = 443

Novo ouvinte com configurações mesmos criado na porta 5986

o WinRM/config/service/EnableCompatibilityHttpsListener = True

“Ativar na compatibilidade Ouvinte HTTPS” de configuração de diretiva de grupo = ativada

Transporte = HTTPS

Porta não definida como 443

Ouvinte permanecerá inalterado

o WinRM/config/service/EnableCompatibilityHttpsListener = False

“Ativar na compatibilidade Ouvinte HTTPS” de configuração de diretiva de grupo = não configurado

Ee922665.Important(pt-br,WS.10).gif Importante
Se as configurações de diretiva de grupo forem habilitadas através de migração/upgrade, em seguida, as reservas de HTTP. sys e certificados SSL são definidos automaticamente. Se um administrador permite que as configurações de diretiva de grupo diretamente essas configurações adicionais também devem ser configuradas por meio da diretiva de grupo.

Alterações específicas do PowerShell

PSSession novo PSSession novo PowerShell cmdlet foi modificado para fazer essas alterações em consideração.  Novo PsSession agora assume dois conjuntos de parâmetros diferentes: ComputerName e ConnectionURI.

  • Quando o parâmetro nome_do_computador definido for especificado, então a configuração de porta do cliente padrão é usada na configuração do WinRM 2. 0, a menos que uma porta for especificada explicitamente.
  • Quando o parâmetro ConnectionUri é passado, em seguida, a seqüência de caracteres será interpretada usando as portas 80 para HTTP e 443 para HTTPS por padrão.

Os cmdlets a seguir WSMan passaram a mesma alteração conforme descrito acima para PSSession de novo.

  • Conectar-se de WSMan
  • Get-WSManInstance
  • Invocar-WSManAction
  • Novo WSManInstance
  • Remover WSManInstance
  • Conjunto de WSManInstance

Alterações específicas do WinRM

A ferramenta de linha de comando WinRM compartilharão o comportamento do cmdlet New-pssession nas seguintes situações.

  • Se um usuário passa o nome de um computador com o winrm cmd linha usando o –r:<Computername> o comutador e WinRM 2. 0 usam o porta HTTP do cliente padrão, 5985 de porta.
  • Se um usuário passa o nome de um computador com o winrm cmd linha usando o –r:<Computername> Alternar e o –UseSSL sinalizador é transmitido, em seguida, o WinRM 2. 0 usará o padrão 5985 de porta a porta HTTPS, do cliente.
  • Se um usuário passa o nome de um computador com o winrm cmd linha usando o –r:<Computername> Alternar e se uma porta é especificada, o WinRM 2. 0 usará a porta especificada.
  • Se um usuário passa a URI de conexão para a linha de comando winrm, como no exemplo –r:http://Mycomputer/wsman , e em seguida, o WinRM 2. 0 irá interpretar o URI usando as portas 80 para HTTP e 443 para HTTPS, por padrão.

Trabalhando em ambientes mistos

Se você tiver um ambiente misto de computadores, onde um número deles têm WinRM 2. 0 instalado e do número não, há algumas situações que exigem ação administrativa para manter a funcionalidade adequada.

  • Se o cliente é atualizado para que as portas padrão são 5985/5986, mas o servidor permanece inalterada e é por ainda escutando as portas 80/443, o cliente deve ser explicitamente especifica portas 80/443 na conexão ou especificar a máquina remota usando um ConnectionUri.
  • Se o sistema operacional cliente tem uma nova instalação do Windows 7 e as portas padrão são 5985 para HTTP e 5986 para HTTPS, mas o servidor não é alterado para que ele ainda está escutando 80/443, a situação é a mesma. O cliente deve especificar explicitamente as portas 80/443 na conexão ou Especifica o servidor remoto usando um ConnectionUri.
  • Se o sistema operacional do servidor tem uma nova instalação do Windows 7 e ele está escutando nas portas 5985 para HTTP e 5986 HTTPS, mas o cliente não é alterado para que suas portas padrão ainda são 80/443, o administrador deve criar explicitamente ouvintes nas portas 80/443.

Regras de firewall

Há duas regras de firewall dentro do mesmo grupo: um para a porta 80 e outra para porta 5985. A tabela a seguir define o status dessas duas regras em vários cenários de atualização.

Regra de firewall da porta 80 Regra de porta 5985
Atualização: regra de porta 80 ativada Habilitado Habilitado
Upgrade: desativado porta 80 regra Desativado Desativado
Nova instalação do WinRM 2. 0 Desativado Desativado
Ee922665.note(pt-br,WS.10).gif Observação
Quando o ouvinte de compatibilidade é ativado, a regra de firewall para a porta 80 será habilitada.

Encaminhamento de eventos

As tabelas a seguir dispor em várias situações que podem ocorrer com o encaminhamento de eventos e as etapas que precisam ser tomada para corrigir problemas em potencial.

Iniciada pelo coletor inscrições de envio/RECEPÇÃO.

Coletores Fonte Inscrições existentes Novas assinaturas
Nova instalação do Windows 7 Nova instalação do Windows 7 Não aplicável O encaminhamento de eventos funciona corretamente.
Nova instalação do Windows 7 O WinRM 1. 1 instalado Não aplicável É necessário especificar a porta 80 para HTTP explicitamente.
Nova instalação do Windows 7 Atualizado para o WinRM 2. 0 Não aplicável O encaminhamento de eventos funciona corretamente.
O WinRM 1. 1 instalado Nova instalação do Windows 7 Atualize inscrições no coletor para adicionar a porta 5985 para HTTPS. É necessário especificar a porta 5985 explicitamente.
O WinRM 1. 1 instalado O WinRM 1. 1 instalado O encaminhamento de eventos funciona corretamente. O encaminhamento de eventos funciona corretamente.
O WinRM 1. 1 instalado Atualizado para o WinRM 2. 0 O encaminhamento de eventos funciona corretamente. O encaminhamento de eventos funciona corretamente.
Atualizado para o WinRM 2. 0 Nova instalação do Windows 7 Atualize inscrições no coletor para adicionar a porta 5985 para HTTPS. O encaminhamento de eventos funciona corretamente.
Atualizado para o WinRM 2. 0 O WinRM 1. 1 instalado O encaminhamento de eventos funciona corretamente. É necessário especificar a porta 80 para HTTP explicitamente.
Atualizado para o WinRM 2. 0 Atualizado para o WinRM 2. 0 O encaminhamento de eventos funciona corretamente. O encaminhamento de eventos funciona corretamente.

Iniciada a origem inscrições de envio com inscrições existentes, especificando o coletor como servidor = <FQDN>

Coletores Fonte Inscrições existentes Novas assinaturas
Nova instalação do Windows 7 Nova instalação do Windows 7 Não aplicável Pode especificar o coletor como servidor = http: / / <FQDN>: 5985 ou servidor = <FQDN>
Nova instalação do Windows 7 O WinRM 1. 1 instalado Não aplicável É necessário especificar o coletor como servidor = http: / / <FQDN>: 5985
Nova instalação do Windows 7 Atualizado para o WinRM 2. 0 Não aplicável Pode especificar o coletor como servidor = http: / / <FQDN>: 5985 ou servidor = <FQDN>
O WinRM 1. 1 instalado Nova instalação do Windows 7 Atualizar informações de coletor da origem para o servidor = http: / / <FQDN> É necessário especificar o coletor como servidor = http: / / <FQDN>
O WinRM 1. 1 instalado O WinRM 1. 1 instalado O encaminhamento de eventos funciona corretamente. O encaminhamento de eventos funciona corretamente.
O WinRM 1. 1 instalado Atualizado para o WinRM 2. 0 Atualizar informações de coletor da origem para o servidor = http: / / <FQDN> É necessário especificar o coletor como servidor = http: / / <FQDN>
Atualizado para o WinRM 2. 0 Nova instalação do Windows 7 O encaminhamento de eventos funciona corretamente. O encaminhamento de eventos funciona corretamente.
Atualizado para o WinRM 2. 0 O WinRM 1. 1 instalado O encaminhamento de eventos funciona corretamente. O encaminhamento de eventos funciona corretamente.
Atualizado para o WinRM 2. 0 Atualizado para o WinRM 2. 0 O encaminhamento de eventos funciona corretamente. O encaminhamento de eventos funciona corretamente.

Iniciada a origem inscrições de envio com inscrições existentes, especificando o coletor como servidor = http: / / <FQDN>

Coletores Fonte Inscrições existentes Novas assinaturas
Nova instalação do Windows 7 Nova instalação do Windows 7 Não disponível Pode especificar o coletor como servidor = http: / / <FQDN>: 5985 ou servidor = <FQDN>
Nova instalação do Windows 7 O WinRM 1. 1 instalado Não aplicável É necessário especificar o coletor como servidor = http: / / <FQDN>: 5985
Nova instalação do Windows 7 Atualizado para o WinRM 2. 0 Não aplicável Pode especificar o coletor como servidor = http: / / <FQDN>: 5985 ou servidor = <FQDN>
O WinRM 1. 1 instalado Nova instalação do Windows 7 Atualizar informações de coletor da origem para o servidor = http: / / <FQDN> É necessário especificar o coletor como servidor = http: / / <FQDN>
O WinRM 1. 1 instalado O WinRM 1. 1 instalado O encaminhamento de eventos funciona corretamente. O encaminhamento de eventos funciona corretamente.
O WinRM 1. 1 instalado Atualizado para o WinRM 2. 0 Atualizar informações de coletor da origem para o servidor = http: / / <FQDN> É necessário especificar o coletor como servidor = http: / / <FQDN>
Atualizado para o WinRM 2. 0 Nova instalação do Windows 7 O encaminhamento de eventos funciona corretamente. Pode especificar o coletor como servidor = http: / / <FQDN>: 5985 ou servidor = <FQDN>
Atualizado para o WinRM 2. 0 O WinRM 1. 1 instalado O encaminhamento de eventos funciona corretamente. É necessário especificar o coletor como servidor = http: / / <FQDN>: 5985
Atualizado para o WinRM 2. 0 Atualizado para o WinRM 2. 0 O encaminhamento de eventos funciona corretamente. Pode especificar o coletor como servidor = http: / / <FQDN>: 5985 ou servidor = <FQDN>

Sobre Ulisses Poveda do Nascimento
Sou um rapaz comum com potencial, dedicado, atencioso e acima de tudo com respeito ao próximo. O Resto são qualidades que aprendi com a vida, com esforço e ainda estou em pleno desenvolvimento profissional e pessoal. ** Nunca paramos de Estudar e sempre em busca do Crescimento Pessoal e Profissional. **

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: