PowerShell / Windows -启用Windows管理的安全最佳实践

Question

如标题所示，我正在寻找行业最佳实践，以使能够在多种Windows服务器上(从2000、2003、2008/R2和2012年开始)，允许PowerShell在远程服务器上执行命令。

如果攻击者破坏内部系统，需要遵循哪些安全最佳实践来限制攻击表面？

是否可以对已启用WinRM的域服务器进行加固？

从理论上讲，这里想到的一个想法是只允许WinRM用于具有双因素身份验证的特定服务帐户。正常域帐户密码和滚动安全令牌将降低此帐户在遭到破坏时被劫持的可能性。

Answer 1

对于我的PowerShell远程处理服务器，我使用了足够多的管理，请参阅：

https://www.google.com/#q=Just+Enough+ADministration&*

唯一运行空间：

这允许用户在代理命令之后在自己的运行空间中执行脚本。此外，您可以更好地进行日志记录，并且它基于调用这些命令的用户的SID。

受限访问：

可以限制某些个人或组对特定脚本的访问。如果您使用的是任何C#，也可以使用CAS，代码访问安全性。

https://msdn.microsoft.com/en-us/library/930b76w0(v=vs.90).aspx

这样，您就可以避免使用credssp和任何双跳身份验证问题。Credssp将允许MITM攻击，否则您必须创建一个唯一的用户，并将powershell配置文件设置为该用户。第二个建议对审计来说是可怕的。

利用JEA将允许您约束用户，审计这些用户，并且只允许他们执行特定的命令。