PowerShell 远程处理、第二跳和委派

Question

我正在寻找在出现第二跳的情况下实施 WinRM 的最安全方法。具体来说，我想从任意但单一的管理机器运行脚本，并使用单个特定管理用户的传递凭据在所有工作站上启动远程会话。那里的那些远程会话需要能够第二跳到文件服务器上的特定共享，以访问适当的资源。 我知道 CredSSD 很弱，所以我正在寻找更好的东西。 Richard Siddaway 提到“基于 AD 的委派”here，但我发现的有关委派的最佳信息来自 MS here，并且所有委派选项都说“不支持 WinRM 的第二个跃点”。那么，是否有一种安全的方法可以通过 Active Directory 为单个指定的用户或组启用 Second Hopping？理想情况下，我希望将第二个跃点限制为仅指定的第三个服务器/共享，并且仅适用于指定的用户或组。因此，任何使用不同凭据的远程会话都不能第二跳，正确的凭据也不能第二跳到其他资源。这甚至是远程可行的吗？

Answer 1

很明显，您一直在研究这个问题，但是，您是否看过以下方法以确定它们是否可以帮助您实现目标？

PowerShell Remoting Kerberos 双跳安全解决

您是否面临 PowerShell 远程处理和凭据问题？你 远程进入您的跳箱，但随后任何远程远程都得到一个 大红色访问被拒绝。也许你尝试过 CredSSP，但人们这么说 不安全。阅读今天的帖子以获得完全合法、安全、安全、 以及为 PowerShell 远程处理启用 Kerberos 双跃点的简单方法。

https://blogs.technet.microsoft.com/ashleymcglone/2016/08/30/powershell-remoting-kerberos-double-hop-solved-securely

多跳​​ PowerShell 远程处理的另一种解决方案

我发现了另一种解决方案中两跳问题的方法 PowerShell 远程处理，我在搜索中没有看到任何地方 互联网。我相信有些人知道它，但它不 似乎广为人知。

https://blogs.msdn.microsoft.com/sergey_babkins_blog/2015/03/18/another-solution-to-multi-hop-powershell-remoting

更新您的上一条评论

这...

最安全的 WinRM 实施方式

...还有这个...

我希望找到一个解决方案，让过度保护/偏执的 IT 经理仍然可以签字。如果我的理解有误，我很乐意接受教育。

这真的是一个见仁见智的问题。意思是，对一个人来说足够安全的东西对另一个人来说是不够的。

因此，在您对任何选项说“yy”或“ney”之前，必须先充实这一点。

• 是否意味着结束源到目的地之间管道的风险管理/安全？ （所以主机到主机相互身份验证、SSL、SDI 服务器 和域隔离等）
• 是否意味着通过管道传输数据的安全性？加密 在源头、在目标端解密或混淆代码？

有些，我会说 WinRM 本质上是不安全的，因为它默认为 HTTP。大多数网络没有在内部利用相互身份验证、针对特定功能/操作/连接的 RBAC、SDI 等。There are many articles on WinRM security 以及解决它的选项。

保护 WinRM

WinRMSecurity - PowerShell | Microsoft Docs

Is WinRM Secure or do I need HTTPs?

How To: Configure WINRM for HTTPS

How To Secure Powershell Remoting In A Windows Domain

PowerShell remoting over SSH

然后就是JEA的使用

Just Enough Administration

JEA Prerequisites

Using JEA

Auditing and Reporting on JEA

Improvements to Just Enough Administration (JEA)

风险管理/安全都是关于层级和权衡的。所述部署的成本、状态与可用性、DR 和维护。