问题描述
我很难弄清楚现有 WinRM 部署中使用了哪些机制。
WinRM 通过 Windows 域中的组策略对象进行配置,并应用于一组 Windows 端点。它可以从带有 Python 库“pywinrm”的 Linux 或带有 Powershell 远程处理的 Windows 中使用。
GPO 允许在 Windows 主机上自动配置 WinRM 侦听器。文档指出 WinRM 默认的初始身份验证机制是 Kerberos,这在域环境中很好,并且生成票证很简单。
奇怪的是,即使在每个 Windows 端点上都配置了 HTTP 和 HTTPs 侦听器,在 Linux 客户端(Ansible 所在的位置)上发出 tcpdump 显示没有 tcp 5985(WinRM“HTTP”侦听器的目标端口)的流量,相反,当针对 Windows 主机发出 Ansible 命令时,流量被定向到 SSL WinRM 端口 (tcp 5986)(见下文)。
Ansible
# Ansible command issued from Ansible client machine (Linux)
ansible -m win_ping --vault-id vault@prompt host.domain.tld
host.tld | SUCCESS => {
"changed": false,"ping": "pong"
}
# Ansible configuration for Windows hosts group on Ansible client machine (Linux)
ansible_connection: winrm
ansible_winrm_scheme: https
ansible_winrm_transport: kerberos
ansible_winrm_server_cert_validation: ignore
ansible_winrm_operation_timeout_sec: 60
ansible_winrm_read_timeout_sec: 70
ansible_user: [email protected]
ansible_password: XXXXXXXXXXXXXXXXXXX
ansible_port: 5986
网络捕获
# Traffic detected here on Ansible client machine (Linux)
tcpdump -vv -i ensXXX dst 10.10.10.10 and dst port 5986
# No traffic visible here on Ansible client machine (Linux)
tcpdump -vv -i ensXXX dst 10.10.10.10 and dst port 5985
在WinRM端,配置如下:
WinRM 服务配置
# Global service configuration (Windows endpoint)
winrm get winrm/config/Service
Service
RootSDDL = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
MaxConcurrentOperations = 4294967295
MaxConcurrentOperationsPerUser = 1500
EnumerationTimeoutms = 240000
MaxConnections = 300
MaxPacketRetrievalTimeSeconds = 120
AllowUnencrypted = false [Source="GPO"]
Auth
Basic = true [Source="GPO"]
Kerberos = true
Negotiate = true
Certificate = false
Credssp = true [Source="GPO"]
CbtHardeningLevel = Relaxed
DefaultPorts
HTTP = 5985
HTTPS = 5986
IPv4Filter = * [Source="GPO"]
IPv6Filter [Source="GPO"]
EnableCompatibilityHttpListener = false [Source="GPO"]
EnableCompatibilityHttpsListener = false
CertificateThumbprint
AllowRemoteAccess = true [Source="GPO"]
WinRM 监听器
# winrm listener configuration (Windows endpoint)
winrm enumerate winrm/config/listener
Listener [Source="GPO"]
Address = *
Transport = HTTP
Port = 5985
Hostname
Enabled = true
URLPrefix = wsman
CertificateThumbprint
ListeningOn = 127.0.0.1,10.10.10.10
Listener
Address = *
Transport = HTTPS
Port = 5986
Hostname = HOST.TLD
Enabled = true
URLPrefix = wsman
CertificateThumbprint = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
ListeningOn = 127.0.0.1,10.10.10.10
另一方面,我有一个基于 Django 的 Web 应用程序,它依赖 pywinrm 从 Linux 服务器对 Windows 主机进行查询,这一次,WinRM 流量似乎被定向到 Windows 端点上的非 SSL TCP 端口 5985:
Django 应用程序
# Code extract
winrm_session = winrm.Session(self.server,auth=(self.principal,self.password),transport=self.transport,server_cert_validation='ignore')
command = "gci"
run_ps = winrm_session.run_ps(command)
winrm_output = run_ps.std_out.decode('unicode-escape').encode('utf8')
winrm_output_json = json.loads(winrm_output)
网络捕获
# No traffic visible here on Django client machine (Linux)
tcpdump -vv -i ensXXX dst 10.10.10.11 and dst port 5986
# Traffic visible here on Django client machine (Linux)
tcpdump -vv -i ensXXX dst 10.10.10.11 and dst port 5985
即使 Kerberos 用于初始身份验证和稍后用于消息传输,为什么 WinRM 流量仍定向到 TCP 端口 5986 (SSL) 或 TCP 端口 5985?如何确定特定 WinRM 查询使用了哪些身份验证、传输等?
在对防火墙规则进行故障排除期间,我发现了来自 Ansible 的 WinRM 流量和来自 Django/pywinrm 的 WinRM 流量之间的差异,该规则似乎阻止了 WinRM 查询,具体取决于它来自 Ansible 还是 Django/pywinrm。
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)