我希望在办公室的大多数 Windows 计算机(LAN,防火墙后面)上启用远程注册服务,这样我就可以查询他们的计算机注册表而无需亲自拜访他们,并要求他们暂停工作以便我查看。
但是将此服务设置为自动运行是一个好的做法吗?
我已将域中所有计算机上的 powershell 执行策略设置为 RemoteSigned,这样我就可以立即在他们的机器上使用 powershell。我很想能够使用 powershell 远程处理,但出于安全考虑,我没有在所有 Windows 机器上启用远程处理。我是不是太谨慎了?
提前感谢任何讨论。我很想看看其他地方的情况。
答案1
所有版本的 Windows 上的远程注册表服务(据我所知)都设置为开箱即用的自动启动。除非已通过 GPO 重新配置,否则您不必将其设置为自动启动,它应该已经这样设置了。
它安全吗?它是否是好的做法?这完全取决于组织。我见过一些组织将其保留为默认的自动启动状态,也见过一些组织禁用了它。
答案2
此服务使用与其余 Windows 网络相同的端口(445 和 139,尽管我不确定 139 是否是远程注册所必需的),因此如果您已经允许文件共享和其他 Windows 服务在您的网络上并且认为它是安全的,那么您已经允许适当的端口。
远程安全与注册表访问的本地安全相同,对于 HKLM 配置单元来说,这通常意味着成为本地管理员,尽管可以设置一些特定权限来改变此行为。
由于 Nessus 等更出色的网络安全“扫描器”依赖于远程注册表访问能力来评估机器的安全性,因此我通常会在以下环境中启用它:A) 我确信网络安全,B) 有记录表明需要该服务。如果您询问的是一次性的事情,您可以随时使用您正在使用的任何脚本启动该服务,然后在服务完成后使用 WMI 停止它。