Habilitação Segura do WinRM

Visão Geral

O Windows Remote Management (WinRM) é um protocolo baseado em WS-Management utilizado para execução remota de comandos e coleta de informações em sistemas Windows.

No contexto do PAM DataDike (FSafer), o WinRM pode ser utilizado para:

Execução remota segura de comandos
Coleta de inventário e auditoria
Integração com ativos Windows sem agente
Automação de tarefas administrativas

⚠️ Importante: A habilitação do WinRM deve seguir boas práticas de segurança para evitar exposição indevida.

Requisitos

Sistemas Windows Server 2012 ou superior (recomendado)
Permissões administrativas
Ambiente em domínio (para uso via GPO)
Firewall configurado adequadamente

Boas Práticas de Segurança

Antes de configurar, garanta:

Uso de HTTPS (porta 5986) ao invés de HTTP (5985)
Restrição de acesso por IP (allowlist)
Uso de contas com privilégio mínimo (least privilege)
Auditoria habilitada
Integração com cofre de credenciais do PAM

Método 1: Habilitação via PowerShell (Manual)

1. Habilitar WinRM

winrm quickconfig

Ou de forma silenciosa:

Enable-PSRemoting -Force

2. Configurar WinRM para HTTPS (Recomendado)

Criar ou utilizar certificado

New-SelfSignedCertificate -DnsName "hostname" -CertStoreLocation Cert:\LocalMachine\My

Obter Thumbprint do certificado

Get-ChildItem -Path Cert:\LocalMachine\My

Criar listener HTTPS

winrm create winrm/config/Listener?Address=*+Transport=HTTPS @{Hostname="hostname"; CertificateThumbprint="THUMBPRINT"}

3. Restringir acesso (Security Hardening)

Permitir apenas IPs específicos

Set-Item WSMan:\localhost\Service\AllowUnencrypted $false
Set-Item WSMan:\localhost\Service\Auth\Basic $false

Configurar Trusted Hosts (se necessário)

Set-Item WSMan:\localhost\Client\TrustedHosts "IP_DO_SERVIDOR_PAM"

4. Configurar Firewall

New-NetFirewallRule -Name "WinRM HTTPS" -DisplayName "WinRM HTTPS" -Protocol TCP -LocalPort 5986 -Action Allow

5. Validar conectividade

Test-WsMan hostname

Método 2: Habilitação via GPO (Recomendado para escala)

1. Criar nova GPO

No Group Policy Management:

Nome: GPO - Enable WinRM Secure

2. Configurar WinRM Service

Caminho:

Computer Configuration
→ Policies
→ Administrative Templates
→ Windows Components
→ Windows Remote Management (WinRM)
→ WinRM Service

Ativar:

Allow remote server management through WinRM

Configuração:

IPv4 filter: IP_DO_SERVIDOR_PAM
IPv6 filter: ::

3. Configurar Listener

Caminho:

Computer Configuration
→ Policies
→ Administrative Templates
→ Windows Components
→ Windows Remote Management (WinRM)
→ WinRM Service

Ativar:

Allow automatic configuration of listeners

4. Configurar Firewall via GPO

Caminho:

Computer Configuration
→ Policies
→ Windows Settings
→ Security Settings
→ Windows Defender Firewall
→ Inbound Rules

Criar regra:

Porta: 5986
Protocolo: TCP
Ação: Allow
Escopo: restringir ao IP do PAM

5. Configurar autenticação segura

Caminho:

Computer Configuration
→ Policies
→ Administrative Templates
→ System
→ Credentials Delegation

Configurar conforme necessidade:

Permitir apenas métodos seguros (Kerberos recomendado)
Evitar Basic Authentication

6. Aplicar GPO

gpupdate /force

Validação após GPO

No host:

winrm enumerate winrm/config/listener

Teste remoto:

Test-WsMan HOSTNAME -UseSSL

Recomendações para uso com DataDike PAM

Para integração segura com o PAM DataDike:

Armazene credenciais no cofre seguro (FSafer)
Utilize contas dedicadas por ativo
Evite uso de contas administrativas globais
Ative rotação automática de credenciais
Monitore sessões via auditoria do PAM

Erros Comuns

Usar HTTP (5985) em produção
Não restringir IP de origem
Habilitar Basic Auth sem necessidade
Não configurar firewall corretamente
Certificados inválidos ou expirados

AnteriorRBAC, ABAC e PBAC

Atualizado há 0 minuto

Isto foi útil?

hashtagVisão Geral

hashtagRequisitos

hashtagBoas Práticas de Segurança

hashtagMétodo 1: Habilitação via PowerShell (Manual)

hashtag1. Habilitar WinRM

hashtag2. Configurar WinRM para HTTPS (Recomendado)

hashtagCriar ou utilizar certificado

hashtagObter Thumbprint do certificado

hashtagCriar listener HTTPS

hashtag3. Restringir acesso (Security Hardening)

hashtagPermitir apenas IPs específicos

hashtagConfigurar Trusted Hosts (se necessário)

hashtag4. Configurar Firewall

hashtag5. Validar conectividade

hashtagMétodo 2: Habilitação via GPO (Recomendado para escala)

hashtag1. Criar nova GPO

hashtag2. Configurar WinRM Service

hashtagAtivar:

hashtag3. Configurar Listener

hashtag4. Configurar Firewall via GPO

hashtag5. Configurar autenticação segura

hashtag6. Aplicar GPO

hashtagValidação após GPO

hashtagRecomendações para uso com DataDike PAM

hashtagErros Comuns

Visão Geral

Requisitos

Boas Práticas de Segurança

Método 1: Habilitação via PowerShell (Manual)

1. Habilitar WinRM

2. Configurar WinRM para HTTPS (Recomendado)

Criar ou utilizar certificado

Obter Thumbprint do certificado

Criar listener HTTPS

3. Restringir acesso (Security Hardening)

Permitir apenas IPs específicos

Configurar Trusted Hosts (se necessário)

4. Configurar Firewall

5. Validar conectividade

Método 2: Habilitação via GPO (Recomendado para escala)

1. Criar nova GPO

2. Configurar WinRM Service

Ativar:

3. Configurar Listener

4. Configurar Firewall via GPO

5. Configurar autenticação segura

6. Aplicar GPO

Validação após GPO

Recomendações para uso com DataDike PAM

Erros Comuns