WinRM publicamente disponível

Eu usei o WinRM em algumas ocasiões para expor métricas - sem usar VPNs e outras. Mas há algumas considerações de segurança:

1. Tente executar winrm get winrm/config para ver como as coisas estão configurado atualmente.
2. Certifique-se de que o WinRM usa um certificado instalado para fins de HTTPS. Isso tem que ir para a loja Personal na Local Computer (sim - nomenclatura ímpar)
3. Ativar HTTPS fazendo winrm quickconfig -transport:https

Quando o transporte estiver protegido, você precisará ativar a autenticação de certificado de cliente e desativar todo o resto:

1. Desativar o material é feito assim winrm set winrm/config/client/auth @{Digest="false"} .
2. Desative o Kerberos, o Digest e o que mais estiver por aí.
3. Ativar a autenticação de certificado fazendo winrm set winrm/config/client/auth @{Certificate="true"}
4. Não consigo lembrar se você precisa de winrm set winrm/config/client/auth '@{CredSSP="true"} para que as coisas funcionem - pode ser necessário para a delegação de credenciais.

Isso funciona bem e se você confia no transporte HTTP do Windows, na infra-estrutura PKI do Windows e possui um firewall que permite filtrar óbvios males, é uma opção que funciona bem. É muito bom se você precisa coletar coisas programaticamente.

Agora, a outra coisa é: você conseguirá obter todas as informações que quiser usando o WinRM? Isso não é tão fácil de responder. Acho que várias coisas são mais difíceis de entender do que você imagina. Eu quero o status em controladores RAID e tal, mas isso é difícil na melhor das hipóteses. Usar o RDP sobre SSH (só para ter certeza) ainda é minha maneira favorita de fazer isso por causa da versatilidade adicional que você obtém.

Em conclusão, sim - você pode usar o WinRM sem VPNs e coisas do tipo, mas você deve considerar se você consegue o que deseja no final.

EDITAR: A comparação do uso do WinRM com o SSH talvez não seja totalmente útil - pelo menos do ponto de vista do pacote de recursos. Usando o SSH, você pode obter qualquer coisa se estiver preparado para escrever algo que colete as informações desejadas. O WinRM é menos versátil nesse sentido. Securitywise, no entanto, ambos estão bem IMHO se você bloquear as coisas corretamente o que é perfeitamente possível.

Não é um cara do Windows, então não posso falar muito sobre os detalhes do WinRM.

Os privilégios de cada serviço são limitados? Por exemplo, no Linux, você pode executar o selinux para que as conexões ssh de entrada possam realizar apenas determinadas operações.

Você também deve considerar o quanto você confia nos diferentes fornecedores / implementações. Você espera ver bugs exploráveis remotamente em openssh & * nix mais ou menos do que no windows? Tentando dizer isso para não ser um troll - é obviamente uma questão carregada. Mas a questão é muito real.

No que diz respeito a essa postura de segurança ... algumas pessoas colocam o ssh aberto na porta 22, algumas pessoas precisam de uma VPN antes de você poder se conectar. Alguns usam a segurança através da obscuridade e colocam o ssh na porta 222 em vez da porta 22.

Alguns têm uma lista de permissões do que os IPs podem conectar. Você pode fazer o whitelisting no sshd ou no iptables. No windows, no firewall do windows, ou possivelmente no próprio winrm? Há muitas possibilidades.

O WinRM é capaz de usar o transporte HTTPS e, se suas máquinas estiverem no domínio e tiverem seus certificados corporativos nelas já deveria funcionar.