AS
теоретически реально. придётся порты в инет держать открытые.
Size: a a a
2020 June 29
AS
порты коллектора
i♓
это понятно. вопрос в том, где авторизацию городить. на условном промежуточном IIS или прям на порту 5986
AS
на твоё усмотрение
AS
аутентификацию потом делегировать ещё нужно.
AS
а открытый порт защищать в любом случае
v
Я за туннель! :)
i♓
Я за туннель! :)
помимо штатного впна сделать еще автотуннель только до этого коллектора\сервиса?
v
чет без схемы не очень понятно. Но я категорически против коллектора который слушает логи на внешнем периметре портом открытым для всех. хотя бы на фаерволе сделать белый список IP для которых разрешены соединения с виндовым коллектором.
i♓
ендпойнт может выйти с любым айпи (
штатный впн доступ может быть отобран, поэтому я и сказал об отдельном впн-туннеле, который будет автоподниматься только до коллекора, без остальной сети. порт на внешку открыт, но на нем авторизация по сертам. что будет? брут? гигабитный дудос? так и впн порт можно положить
штатный впн доступ может быть отобран, поэтому я и сказал об отдельном впн-туннеле, который будет автоподниматься только до коллекора, без остальной сети. порт на внешку открыт, но на нем авторизация по сертам. что будет? брут? гигабитный дудос? так и впн порт можно положить
I
Можно сделать скрипт, чтоб порт открывался только в некоторое время, отдавал логи и закрывался.
Это доп.мера, но все же
Это доп.мера, но все же
NA
WinRM умеет в HTTPS, попробуйте хотя бы на сертификатах аутентификацию собрать
I
Можно взять в аренду vpn, а в идеале дома взять у провайдера белый ip и поднять личный. Это и для работы полезло и для личных целей топово.
RS
WinRM умеет в HTTPS, попробуйте хотя бы на сертификатах аутентификацию собрать
Там по другому (без сертификатов) не получится, если тачки не в домене.
И 5986 это и есть https
И 5986 это и есть https
i♓
Там по другому (без сертификатов) не получится, если тачки не в домене.
И 5986 это и есть https
И 5986 это и есть https
по-другому это как?
RS
по-другому это как?
RS
Можно взять в аренду vpn, а в идеале дома взять у провайдера белый ip и поднять личный. Это и для работы полезло и для личных целей топово.
Кому взять? Каждому пользователю? А из кафе с ноутбуком ходить на домашний vpn? Чтобы оттуда без vpn логи запулить в WEC? Вы как эту схему IT продавать будете?
i♓
о ней и идет речь)
2020 June 30
i♓
кому интересно, мнение вендора
-делайте впн
-не выставляйте коллектор наружу
-не ставьте впереди iis, если уж выставляете ( не поддерживается решение )
-пусть у вас домен в квадрате, для авторизации по сертам надо делать вид , что домена нет, и маппить серты тачек на локального пользюка коллектора, пушто FAILBACK кербероса это NTLM (но внутри TLS , огого) и приоритетом тут не полечить и не поиграть.
-если на тачке окажется два серта с fqdn source, то возникнет проблем очка коллизионная, так как серт с, которым надо идти в коллектор нигде в явном виде не указывается.
-делайте впн
-не выставляйте коллектор наружу
-не ставьте впереди iis, если уж выставляете ( не поддерживается решение )
-пусть у вас домен в квадрате, для авторизации по сертам надо делать вид , что домена нет, и маппить серты тачек на локального пользюка коллектора, пушто FAILBACK кербероса это NTLM (но внутри TLS , огого) и приоритетом тут не полечить и не поиграть.
-если на тачке окажется два серта с fqdn source, то возникнет проблем очка коллизионная, так как серт с, которым надо идти в коллектор нигде в явном виде не указывается.