如何解决如何识别 WinRM 部署的当前传输、身份验证、通道和消息加密类型?
我很难弄清楚现有 WinRM 部署中使用了哪些机制。
WinRM 通过 Windows 域中的组策略对象进行配置,并应用于一组 Windows 端点。它可以从带有 Python 库“pywinrm”的 Linux 或带有 Powershell 远程处理的 Windows 中使用。
GPO 允许在 Windows 主机上自动配置 WinRM 侦听器。文档指出 WinRM 默认的初始身份验证机制是 Kerberos,这在域环境中很好,并且生成票证很简单。
奇怪的是,即使在每个 Windows 端点上都配置了 HTTP 和 HTTPs 侦听器,在 Linux 客户端(Ansible 所在的位置)上发出 tcpdump 显示没有 tcp 5985(WinRM“HTTP”侦听器的目标端口)的流量,相反,当针对 Windows 主机发出 Ansible 命令时,流量被定向到 SSL WinRM 端口 (tcp 5986)(见下文)。
Ansible
# Ansible command issued from Ansible client machine (Linux)
ansible -m win_ping --vault-id vault@prompt host.domain.tld
host.tld | SUCCESS => {
"changed": false,"ping": "pong"
}
# Ansible configuration for Windows hosts group on Ansible client machine (Linux)
ansible_connection: winrm
ansible_winrm_scheme: https
ansible_winrm_transport: kerberos
ansible_winrm_server_cert_validation: ignore
ansible_winrm_operation_timeout_sec: 60
ansible_winrm_read_timeout_sec: 70
ansible_user: user@DOMAIN.TLD
ansible_password: XXXXXXXXXXXXXXXXXXX
ansible_port: 5986
网络捕获
# Traffic detected here on Ansible client machine (Linux)
tcpdump -vv -i ensXXX dst 10.10.10.10 and dst port 5986
# No traffic visible here on Ansible client machine (Linux)
tcpdump -vv -i ensXXX dst 10.10.10.10 and dst port 5985
在WinRM端,配置如下:
WinRM 服务配置
# Global service configuration (Windows endpoint)
winrm get winrm/config/Service
Service
RootSDDL = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
MaxConcurrentOperations = 4294967295
MaxConcurrentOperationsPerUser = 1500
EnumerationTimeoutms = 240000
MaxConnections = 300
MaxPacketRetrievalTimeSeconds = 120
AllowUnencrypted = false [Source="GPO"]
Auth
Basic = true [Source="GPO"]
Kerberos = true
Negotiate = true
Certificate = false
CredSSP = true [Source="GPO"]
CbtHardeningLevel = Relaxed
DefaultPorts
HTTP = 5985
HTTPS = 5986
IPv4Filter = * [Source="GPO"]
IPv6Filter [Source="GPO"]
EnableCompatibilityHttpListener = false [Source="GPO"]
EnableCompatibilityHttpsListener = false
CertificateThumbprint
AllowRemoteAccess = true [Source="GPO"]
WinRM 监听器
# winrm listener configuration (Windows endpoint)
winrm enumerate winrm/config/listener
Listener [Source="GPO"]
Address = *
Transport = HTTP
Port = 5985
Hostname
Enabled = true
URLPrefix = wsman
CertificateThumbprint
ListeningOn = 127.0.0.1,10.10.10.10
Listener
Address = *
Transport = HTTPS
Port = 5986
Hostname = HOST.TLD
Enabled = true
URLPrefix = wsman
CertificateThumbprint = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
ListeningOn = 127.0.0.1,10.10.10.10
另一方面,我有一个基于 Django 的 Web 应用程序,它依赖 pywinrm 从 Linux 服务器对 Windows 主机进行查询,这一次,WinRM 流量似乎被定向到 Windows 端点上的非 SSL TCP 端口 5985:
Django 应用程序
# Code extract
winrm_session = winrm.Session(self.server,auth=(self.principal,self.password),transport=self.transport,server_cert_validation='ignore')
command = "gci"
run_ps = winrm_session.run_ps(command)
winrm_output = run_ps.std_out.decode('unicode-escape').encode('utf8')
winrm_output_json = json.loads(winrm_output)
网络捕获
# No traffic visible here on Django client machine (Linux)
tcpdump -vv -i ensXXX dst 10.10.10.11 and dst port 5986
# Traffic visible here on Django client machine (Linux)
tcpdump -vv -i ensXXX dst 10.10.10.11 and dst port 5985
即使 Kerberos 用于初始身份验证和稍后用于消息传输,为什么 WinRM 流量仍定向到 TCP 端口 5986 (SSL) 或 TCP 端口 5985?如何确定特定 WinRM 查询使用了哪些身份验证、传输等?
在对防火墙规则进行故障排除期间,我发现了来自 Ansible 的 WinRM 流量和来自 Django/pywinrm 的 WinRM 流量之间的差异,该规则似乎阻止了 WinRM 查询,具体取决于它来自 Ansible 还是 Django/pywinrm。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
