Windows WinRM über HTTPs

Windows Remote Management ist in den heutigen Zeiten nicht mehr Weg zudenken. Aber warum machen wir es unverschlüsselt? Normalerweise erfolgt die Authentifizierung über Kerberos. Das ist für die meisten Sicher genug. Kerberos hat aber auch Einschränkungen, zum Beispiel wenn lokale Konten benutzt werden sollen.

Im Standard erfolgt die Kommunikation per HTTP über den TCP Port 5985. Warum nicht HTTPS? Der möglich ist das, der Port TCP 5986 ist dafür vorgesehen. Leider fehlt der nicht nur in den Firewall-Regel Vorlagen, sondern hat auch ein paar Hürden, die noch im weg stehen. Um diese Hürden kümmern wir uns heuten.

Windows WinRM über HTTPs - 6e46951db0a5460a93097091fd6476af - 1

Voraussetzungen

Diese Anleitung ist für ein Unternehmensumfeld gedacht entsprechend sind die Voraussetzungen.

  • Alle Computer sind Bestandteil derselben Active Directory Domäne
  • Eine AD Integrierte Zertifizierungsstelle ist vorhanden
  • Automatische Registrieren von entsprechenden Zertifikaten muss aktiviert sein

Zertifikatsvorlage


Weitere Artikel zum Thema Active Directory Certificate Services


Für HTTPS benötigen wir ein entsprechendes Zertifikat für Webservices. Dafür passen wir eine entsprechende Vorlage in der Zertifizierungsstelle an. Dafür duplizieren Sie die Vorlage „Webserver“ in der Zertifikatvorlagenkonsole.

Windows WinRM über HTTPs - 052819 0720 WindowsWinR1 - 2

Passen Sie die Einstellungen zur Kompatibilität entsprechend ihrer CA-Vorgaben an. Vergeben Sie in dem Reiter „Allgemein“ einen entsprechenden Namen.

Windows WinRM über HTTPs - 052819 0720 WindowsWinR2 - 3

Unter dem Reiter „Antragstellername“ wählen Sie bitte die Optionen „Aus diesen Informationen in Active Directory erstellen“. Als Format für den Antragstellernamen sollte „Allgemeiner Name“ gewählt werden. Die Informationen, die einzubeziehen sind, ist nur der DNS-Name.

Windows WinRM über HTTPs - 052819 0720 WindowsWinR3 - 4

Im Reiter „Sicherheit“ muss die Gruppe der Domänencomputer hinzugefügt werden. Die benötigten Rechte sind lesen, Registrieren, Automatisch registrieren.

Windows WinRM über HTTPs - 052819 0720 WindowsWinR4 - 5

Speichern Sie die Vorlage. Wechseln Sie anschließend wieder in die Konsole Zertifizierungsstelle. Unter Zertifikatevorlagen wählen Sie „Neu“ und „Auszustellende Zertifikatevorlage“ aus.

Windows WinRM über HTTPs - 052819 0720 WindowsWinR5 - 6

Wählen Sie nun die neue Vorlage aus.

Windows WinRM über HTTPs - 052819 0720 WindowsWinR6 - 7

Sobald die Computer sich das nächste Mal an der Zertifizierungsstelle melden, werden die entsprechenden Zertifikate ausgestellt.

Windows WinRM über HTTPs - 052819 0720 WindowsWinR7 - 8

Vorbereiten der Gruppenrichtlinie

Wenn die Systeme die Zertifikate erhalten, können wir uns um die Gruppenrichtlinie kümmern.

Firewall freigaben

Als erstes sollten die Regeln für die Windows Firewall erstellt werden. Öffnen Sie dazu die Gruppenrichtlinie und gehen zu „Eingehende Regeln“ und legen dort eine neue Regel an.

Windows WinRM über HTTPs - 052819 0720 WindowsWinR8 - 9

Erstellen Sie eine Benutzerdefinierte Regel

Windows WinRM über HTTPs - 052819 0720 WindowsWinR9 - 10

Als Programmpfad tragen Sie „System“ ein.

Windows WinRM über HTTPs - 052819 0720 WindowsWinR10 - 11

Für die Konfiguration der Protokolle und Ports sind die folgenden Einstellungen zu wählen:

  • Protokolltyp: TCP
  • Lokaler Port: Bestimmter Port
  • Port Nummer: 5986
Windows WinRM über HTTPs - 052819 0720 WindowsWinR11 - 12

Die Einstellungen bei Bereich können Sie bei Bedarf anpassen. Im Schritt „Aktion“ ist „Verbindung zulassen“ zu selektieren. Als Profil ist nur „Domäne“ auszuwählen, sonst sollte WinRM nicht zugelassen werden.

Windows WinRM über HTTPs - 052819 0720 WindowsWinR12 - 13

Wählen Sie einen passenden Namen und erstellen die Firewall-Regel

Windows WinRM über HTTPs - 052819 0720 WindowsWinR13 - 14

Dienste konfigurieren

Bei den heutigen Betriebssystemen sollte der Windows Remote Management Dienst eigentlich automatisch gestartet werden. Um auf sicher zu gehen, wird der Dienst per Richtlinie auf den Startmodus „Automatisch“ gestellt.

Windows WinRM über HTTPs - 052819 0720 WindowsWinR14 - 15

WinRM Service konfigurieren per Administrative Vorlage

Als nächstes ist der Windows RM Dienst mit einer Administrativen Vorlage zu Konfigurieren. Die Einstellungen finden sich unter Administrative Vorlagen > Windows-Komponenten > Windows-Remoteverwaltung (Windows Remote Management, WinRM) > WinRM-Dienst > Remoteverwaltung über WinRM zulassen.

In dieser Einstellung kann nicht nur der Dienst aktiviert werden, sondern auch die IP-Bereiche aus dem der Dienst erreichbar ist. In weiteren Einstellungen finden sich die Einstellungen um verschieden Authentifizierungsmethoden zu steuern.

Windows WinRM über HTTPs - 052819 0720 WindowsWinR15 - 16

HTTPS für WinRM konfigurieren

Leider kann WinRM nicht einfach mit einer Richtlinie für HTTPS konfigurieren. Das klappt nur mit dem Befehl „WinRM quickconfig -transport:https -quiet“. Um es einfacher zu machen, wird der Befehl als Sofortige Aufgabe konfiguriert.

Windows WinRM über HTTPs - 052819 0720 WindowsWinR16 - 17

So wird der Befehl direkt nach der Anwendung der Gruppenrichtlinie ausgeführt.

Windows WinRM über HTTPs - 052819 0720 WindowsWinR17 - 18

Und schon ist der Port offen

Windows WinRM über HTTPs - 052819 0720 WindowsWinR18 - 19

Wichtig ist bei der Verbindung den FQDN zu verwenden, ansonsten erscheint eine Zertifikatswarnung.

Windows WinRM über HTTPs - 052819 0720 WindowsWinR19 - 20

Tool Tipp (Werbung, aber aus Überzeugung)

Ich verwende für meine Screenshots immer Techsmith Snagit, und möchte es nicht missen. Egal ob verschleiern, Pfeile, Text einfügen oder zurechtschneiden, alles was ich brauche ist damit möglich.
Sie können es unter dem Link kostenfrei testen. Wenn es Ihnen gefällt, unterstützen Sie durch einen kauf über den Link auch dieses Projekt. Ihnen entstehen dadurch beim kauf von Snagit keine zusätzlichen Kosten (Affiliate Link).