Windows Remote Management richtig einsetzen
Das WinRM (Windows Remote Management) ist ein einfaches in Windows integriertes Remote-Verwaltungsprotokoll. WinRM nutzt das SOAP (Simple Object Access Protokoll), um Verbindungen zu entfernten Computern und Anwendungen aufzubauen.
WinRM wird über die Kommandozeile gesteuert und für folgende Aufgaben eingesetzt.
- Remote-Kommunikation zu allen kompatiblen Betriebssystemen
- Ausführung von Befehlen auf Computern die nur remote erreichbar sind also über das Netzwerk
- Überwachen, verwalten und konfigurieren von Computern sei es ein Server oder eine Workstation
WinRM muss ab Windows 10 explizit aktiviert und konfiguriert werden. Das ist nicht immer so einfach. Es hängt stark von der Umgebungssicherheit ab. Sprich, nutzt man WinRM in einer Domäne oder in einem lokalen Netzwerk. Setzt man Zertifikate ein oder doch nur bestimmte Authentifizierungsmechanismen.
WinRM ist nicht allein. Es gibt noch die WinRS (Windows Remote Shell). WinRS ist quasi die Clientkomponente auf einem System, das die Befehle ausführt, also die eigentliche Funktionalität zum Ausführen von Befehlen und Prozessen bereitstellt.
Windows Remote Management setzt bei der Kommunikation auf die Ports 5985 und 5986. Wobei der letzte Port (HTTPS) einsetzt. Früher wurden die Ports 80 und 443 für diese Aufgabe eingesetzt. Aber dadurch das der Port 80 überwiegend, aus Sicherheitsgründen gesperrt wurde, setzt man heute auf die neuen Ports.
Aus Kompatibilitätsgründen kann der alte Port 80 immer noch eingesetzt werden.
Wenn man den Datenverkehr auf Port 80 zulassen möchte, so muss erst der Listener freigeschaltet und aktiviert werden,
winrm set winrm/config/service @{EnableCompatibilityHttpListener=”true”}
oder für Port 443, dann wird aber auch ein Zertifikat benötigt.
winrm set winrm/config/service @{EnableCompatibilityHttpsListener=”true”}
Die Zertifikatsvorlage für WinRM kann wie folgt aussehen:
Wer HTTPS für WinRM über eine Gruppenrichtlinie konfigurieren möchte, der muss das über eine geplante Aufgabe erledigen. Denn der Befehl zur Konfiguration muss normalerweise lokal ausgeführt werden. Über einen Task geht das jedoch wie folgt:
Aktion: Programm starten
C:\Windows\System32\winrm.cmd quickconfig -transport:https -quiet
Weiterführende Information zur Nutzung findet ihr über diesen Link oder über den Tag WinRM