防火墙-允许WMI内部网络

Question

我不太确定这是否是正确的stackexchange来提出这个问题，所以让我知道它是否应该在其他地方。

我正在研究IT资产管理系统和这些系统，为了允许对计算机的远程管理，它们需要通过防火墙访问WMI。

我的问题是，这是否足够安全，允许内部网络？或者，是否有更安全的方法使IT资产管理系统能够对计算机进行远程管理，而不必在每台计算机上安装客户端？

Answer 1

对于内部网络来说，WMI是安全的，可以按照以下一些配置步骤进行：https://msdn.microsoft.com/en-us/library/aa393266(v=vs.85).aspx

Confidentiality

(对我来说)最直接的问题是在传输过程中需要加密以减少窥探(摘录上述内容)：

管理员或MOF文件可以配置WMI命名空间，以便不返回数据，除非您在连接到该命名空间时使用数据包隐私(RPC_C_AUTHN_LEVEL_PKT_PRIVACY或PktPrivacy作为脚本中的命名物)。这可以确保数据在穿越网络时被加密。如果您试图设置更低的身份验证级别，您将得到一条拒绝访问的消息。有关更多信息，请参见需要与命名空间的加密连接。

最小特权

其次，最重要的是通过RBAC实现最小权限。您应该将资产管理产品的帐户限制为只读的WMI操作，并在可能的情况下将其可以读取的限制限制在所需的范围内。这是通过Namespace实现的，并在这里进一步描述：https://msdn.microsoft.com/en-us/library/aa393613(v=vs.85).aspx

如果资产管理软件也在端点上执行操作，而不仅仅是审计，您可能需要允许某些写特权。按下供应商的最小权限配置。

强认证

一旦有了，就应该为用户名和密码生成高熵随机值(使用资产管理工具将使用的所有字符和最大长度)。这些凭据应该存储在安全的密码管理系统中，如Thy舱秘密服务器或本地安全密码管理器(如KeePass )，为其维护备份。您可能可以使用一个非随机用户名，但这确实增加了风险，如果它是很容易猜测和使用随机用户名，考虑到你需要管理它的不频繁给你一个免费的安全提升。

网络安全

毕竟，您应该使用Advanced设置Windows防火墙，以便只允许WMI所需的DCOM连接在它正在运行的端口上，并且只允许来自运行资产管理软件的主机(或主机，如果您正在运行HA)。这是这里深入防御的最后一层，使得攻击者更难利用他们拥有的凭据。

单用途单服务器/VM

资产管理软件应该在专用服务器或VM上独立运行。如果防火墙白名单与网络所需的所有其他垃圾信息放在一个misc应用服务器上，那么它的用处要小得多。与其他软件或服务一起运行它也会使它和凭据暴露于不必要的本地攻击风险中。

你可以将这些步骤烘焙成GPO。

替代解决方案: PowerShell

另一种选择(尽管与资产管理产品不兼容)是PowerShell远程处理。它使用与AD集成的TLS和GSSAPI身份验证，所以我对它非常满意。我们在生产中使用它。

一旦您有了PowerShell远程处理，您就可以使用Enter %MachineName%远程登录到系统。您还可以使用Invoke和-ScriptBlock远程运行命令，并集中获得协调结果。您的WMI命令可以以这种方式运行。

下面是关于启用PowerShell远程处理的指南：http://blogs.technet.com/b/heyscriptingguy/archive/2012/07/24/an-introduction-to-powershell-remoting-part-two-configuring-powershell-remoting.aspx

结论

两者之一的挑战是过渡性信任和横向移动。请注意，允许在机器之间跳转的帐户具有非常强的密码。我们使用每个人100个字符完整的ASCII随机生成的密码，我们每90天旋转一次。我们使用KeePass自动键入这些类型，因为手工输入是不实用的。