我有一款监控软件,希望可以用它来开始安全监控。我的目标是:
- 使用 TLS 进行传输加密,而不是依赖消息加密
- 使用证书颁发机构
- 我想避免在开始监控之前在每台机器上运行一些 powershell 脚本。我想使用 GPO 或类似的东西(我不是系统管理员)来全局执行更改。
- 我不想使用兼容服务器,因为 IIS 或其他 Web 服务器可能已经存在于受监控主机上。
- 它最好适用于 2008 以上版本的任何服务器
下列的本教程我们(读作我的同事)走到了这一步
C:\Windows\system32>winrm e winrm/config/listener
Listener [Source="GPO"]
Address = *
Transport = HTTP
Port = 5985
Hostname
Enabled = true
URLPrefix = wsman
CertificateThumbprint
ListeningOn = 127.0.0.1, 1.2.3.4
但最后我们必须运行此 CMD 命令来在 5986 上启用 HTTPS
winrm create winrm/config/Listener?Address=*+Transport=HTTPS
@{Hostname="<HOSTNAME HERE>"; CertificateThumbprint="<THUMBPRINT HERE>"}
我不可能是唯一一个有这些目标的人吧?我无法相信以我认为正确的方式实现这些目标根本不可能。
我们还发现这个解决方法但更喜欢更直接的解决方案。