语境:
- 企业IT环境
- 3000 多台运行各种 Windows Server 版本的虚拟机(客户端)
- 供应商特定的应用程序使用 WMI 查询 Windows 服务器的信息、登录服务器并运行 PowerShell 脚本。
- 应用程序本身是在一个特定 VM 上运行的 Windows 服务(服务主机),以具有域内本地管理员权限的域用户身份运行(服务帐户)
安全要求:
- 当。。。的时候服务帐户用于运行登录客户系统,只有当请求来自服务主机(无论是通过 IP 地址还是其他身份识别)
即如果另一台计算机使用相同的用户名/密码,则应该拒绝或在可监控的 Windows 事件日志中引发某种警报。
这到底可行吗?
答案1
根据您在环境中使用 WMI 的方式(该应用程序是唯一通过 WMI 连接到远程系统的应用程序吗?或者您还有其他应用程序?),您可以轻松地在这些系统上创建、部署和管理 Windows 防火墙规则,这些规则仅接受来自服务主机 IP 地址(即来自服务帐户)的 WMI 端口上的流量。有一种方法可以为此为 WMI 分配特定端口:
https://docs.microsoft.com/en-us/windows/win32/wmisdk/setting-up-a-fixed-port-for-wmi
这很可能是最简单的方法。之后可以通过 GPO 管理防火墙规则。