A screenshot of a cell phone

Windows WinRM über HTTPs

6e46951db0a5460a93097091fd6476af

Windows Remote Management ist in den heutigen Zeiten nicht mehr Weg zudenken. Aber warum machen wir es unverschlüsselt? Normalerweise erfolgt die Authentifizierung über Kerberos. Das ist für die meisten Sicher genug. Kerberos hat aber auch Einschränkungen, zum Beispiel wenn lokale Konten benutzt werden sollen.

Im Standard erfolgt die Kommunikation per HTTP über den TCP Port 5985. Warum nicht HTTPS? Der möglich ist das, der Port TCP 5986 ist dafür vorgesehen. Leider fehlt der nicht nur in den Firewall-Regel Vorlagen, sondern hat auch ein paar Hürden, die noch im weg stehen. Um diese Hürden kümmern wir uns heuten.

Voraussetzungen

Diese Anleitung ist für ein Unternehmensumfeld gedacht entsprechend sind die Voraussetzungen.

Zertifikatsvorlage

Für HTTPS benötigen wir ein entsprechendes Zertifikat für Webservices. Dafür passen wir eine entsprechende Vorlage in der Zertifizierungsstelle an. Dafür duplizieren Sie die Vorlage „Webserver“ in der Zertifikatvorlagenkonsole.

052819 0720 WindowsWinR1

Passen Sie die Einstellungen zur Kompatibilität entsprechend ihrer CA-Vorgaben an. Vergeben Sie in dem Reiter „Allgemein“ einen entsprechenden Namen.

052819 0720 WindowsWinR2

Unter dem Reiter „Antragstellername“ wählen Sie bitte die Optionen „Aus diesen Informationen in Active Directory erstellen“. Als Format für den Antragstellernamen sollte „Allgemeiner Name“ gewählt werden. Die Informationen, die einzubeziehen sind, ist nur der DNS-Name.

052819 0720 WindowsWinR3

Im Reiter „Sicherheit“ muss die Gruppe der Domänencomputer hinzugefügt werden. Die benötigten Rechte sind lesen, Registrieren, Automatisch registrieren.

052819 0720 WindowsWinR4

Speichern Sie die Vorlage. Wechseln Sie anschließend wieder in die Konsole Zertifizierungsstelle. Unter Zertifikatevorlagen wählen Sie „Neu“ und „Auszustellende Zertifikatevorlage“ aus.

052819 0720 WindowsWinR5

Wählen Sie nun die neue Vorlage aus.

052819 0720 WindowsWinR6

Sobald die Computer sich das nächste Mal an der Zertifizierungsstelle melden, werden die entsprechenden Zertifikate ausgestellt.

Werbung
052819 0720 WindowsWinR7

Vorbereiten der Gruppenrichtlinie

Wenn die Systeme die Zertifikate erhalten, können wir uns um die Gruppenrichtlinie kümmern.

Firewall freigaben

Als erstes sollten die Regeln für die Windows Firewall erstellt werden. Öffnen Sie dazu die Gruppenrichtlinie und gehen zu „Eingehende Regeln“ und legen dort eine neue Regel an.

052819 0720 WindowsWinR8

Erstellen Sie eine Benutzerdefinierte Regel

052819 0720 WindowsWinR9

Als Programmpfad tragen Sie „System“ ein.

052819 0720 WindowsWinR10

Für die Konfiguration der Protokolle und Ports sind die folgenden Einstellungen zu wählen:

  • Protokolltyp: TCP
  • Lokaler Port: Bestimmter Port
  • Port Nummer: 5986
052819 0720 WindowsWinR11

Die Einstellungen bei Bereich können Sie bei Bedarf anpassen. Im Schritt „Aktion“ ist „Verbindung zulassen“ zu selektieren. Als Profil ist nur „Domäne“ auszuwählen, sonst sollte WinRM nicht zugelassen werden.

052819 0720 WindowsWinR12

Wählen Sie einen passenden Namen und erstellen die Firewall-Regel

052819 0720 WindowsWinR13

Dienste konfigurieren

Bei den heutigen Betriebssystemen sollte der Windows Remote Management Dienst eigentlich automatisch gestartet werden. Um auf sicher zu gehen, wird der Dienst per Richtlinie auf den Startmodus „Automatisch“ gestellt.

Werbung
052819 0720 WindowsWinR14

WinRM Service konfigurieren per Administrative Vorlage

Als nächstes ist der Windows RM Dienst mit einer Administrativen Vorlage zu Konfigurieren. Die Einstellungen finden sich unter Administrative Vorlagen > Windows-Komponenten > Windows-Remoteverwaltung (Windows Remote Management, WinRM) > WinRM-Dienst > Remoteverwaltung über WinRM zulassen.

In dieser Einstellung kann nicht nur der Dienst aktiviert werden, sondern auch die IP-Bereiche aus dem der Dienst erreichbar ist. In weiteren Einstellungen finden sich die Einstellungen um verschieden Authentifizierungsmethoden zu steuern.

Werbung
052819 0720 WindowsWinR15

HTTPS für WinRM konfigurieren

Leider kann WinRM nicht einfach mit einer Richtlinie für HTTPS konfigurieren. Das klappt nur mit dem Befehl „WinRM quickconfig -transport:https -quiet“. Um es einfacher zu machen, wird der Befehl als Sofortige Aufgabe konfiguriert.

052819 0720 WindowsWinR16

So wird der Befehl direkt nach der Anwendung der Gruppenrichtlinie ausgeführt.

Werbung
052819 0720 WindowsWinR17

Und schon ist der Port offen

052819 0720 WindowsWinR18

Wichtig ist bei der Verbindung den FQDN zu verwenden, ansonsten erscheint eine Zertifikatswarnung.

052819 0720 WindowsWinR19

Tool Tipp (Werbung, aber aus Überzeugung)

Ich verwende für meine Screenshots immer Techsmith Snagit, und möchte es nicht missen. Egal ob verschleiern, Pfeile, Text einfügen oder zurechtschneiden, alles was ich brauche ist damit möglich.
Sie können es unter dem Link kostenfrei testen. Wenn es Ihnen gefällt, unterstützen Sie durch einen kauf über den Link auch dieses Projekt. Ihnen entstehen dadurch beim kauf von Snagit keine zusätzlichen Kosten (Affiliate Link).

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

New articles in english

Werbung

Themen

Active Directory Administrative Vorlagen Anleitung AppV5 Autopilot Azure Azure AD ConfigMgr Deployment GPO Gruppenrichtlinien Guide How-To Linux Microsoft Microsoft Intune Office Office365 PowerShell Public Preview SCCM2012R2 SCSM2012R2 ServiceMgr Sicherheit TechNet Windows Windows 10 Windows10 Windows Server 2012 Windows Server 2012R2

Hinweise zum Affiliate-Marketing

Auf diesen Seiten werden auch Affiliate Marketing Links angezeigt. Diese sind meistens an dem kleinen „€“ oder einem „*“ dahinter zu erkennen. Der Betreiber dieser Seite erhält beim Kauf über diesen Link eine Provision, ohne das es den Verkaufspreis beeinflusst. Diese Einnahmen tragen zur Finanzierung der Seite bei.