在我们当前的工作流程中,我们必须 RDP 到多台服务器才能知道服务是否正在运行。我们没有这些服务器的管理员权限,但可以查看、启动和停止服务。
我们想改用 Powershell Remoting。就像是
(1..8)|%{gsv -c "server$($_" -n "*ourservice*"}
这样做既容易又快捷。
我是否通过将我们的用户添加到WinRMRemoteWMIUsers组来纠正这一点
- 我们可以执行命令(我们关心的)。
- 我们不能对系统做任何我们现在不能做的事情,仅仅通过 RDP'ing 对它(安全管理的关注)。
编辑
以下摘自 Secrects of Powershell Remoting 似乎解决了安全问题
powershellorg · PowerShell 远程处理的秘密
PowerShell 和 Remoting 都不是恶意软件的“后门”
这是一个重大的误解。请记住,默认情况下,PowerShell 不执行脚本。当它这样做时,它只能执行执行用户有权运行的命令——它不会在超级特权帐户下执行任何东西,它既不绕过现有权限也不绕过安全性。
和
底线:由于其工作方式,PowerShell Remoting 不允许任何用户(无论是否授权)执行他们无法通过其他十几种方式执行的任何操作
风险在于,如果该组中的帐户遭到入侵,攻击者可能会通过 PowerShell 进行访问。评估访问和补偿控制的风险是您需要根据您的环境确定的事情。
为了回答您的后续问题,我认为没有人可以提供该帐户也可以使用 RDP 登录的一般假设/结论。如果帐户/服务器配置为需要智能卡,则他们无法使用 RDP 登录。
安全是关于评估风险和实施补偿控制。一个建设性的反建议可能是建议:
PowerShell Remoting 示例事件命令行:
WinRS 示例事件命令行: