Eu usei o WinRM em algumas ocasiões para expor métricas - sem usar VPNs e outras. Mas há algumas considerações de segurança:
- Tente executar
winrm get winrm/config
para ver como as coisas estão configurado atualmente. - Certifique-se de que o WinRM usa um certificado instalado para fins de HTTPS. Isso tem que ir para a loja
Personal
naLocal Computer
(sim - nomenclatura ímpar) - Ativar HTTPS fazendo
winrm quickconfig -transport:https
Quando o transporte estiver protegido, você precisará ativar a autenticação de certificado de cliente e desativar todo o resto:
- Desativar o material é feito assim
winrm set winrm/config/client/auth @{Digest="false"}
. - Desative o Kerberos, o Digest e o que mais estiver por aí.
- Ativar a autenticação de certificado fazendo
winrm set winrm/config/client/auth @{Certificate="true"}
- Não consigo lembrar se você precisa de
winrm set winrm/config/client/auth '@{CredSSP="true"}
para que as coisas funcionem - pode ser necessário para a delegação de credenciais.
Isso funciona bem e se você confia no transporte HTTP do Windows, na infra-estrutura PKI do Windows e possui um firewall que permite filtrar óbvios males, é uma opção que funciona bem. É muito bom se você precisa coletar coisas programaticamente.
Agora, a outra coisa é: você conseguirá obter todas as informações que quiser usando o WinRM? Isso não é tão fácil de responder. Acho que várias coisas são mais difíceis de entender do que você imagina. Eu quero o status em controladores RAID e tal, mas isso é difícil na melhor das hipóteses. Usar o RDP sobre SSH (só para ter certeza) ainda é minha maneira favorita de fazer isso por causa da versatilidade adicional que você obtém.
Em conclusão, sim - você pode usar o WinRM sem VPNs e coisas do tipo, mas você deve considerar se você consegue o que deseja no final.
EDITAR: A comparação do uso do WinRM com o SSH talvez não seja totalmente útil - pelo menos do ponto de vista do pacote de recursos. Usando o SSH, você pode obter qualquer coisa se estiver preparado para escrever algo que colete as informações desejadas. O WinRM é menos versátil nesse sentido. Securitywise, no entanto, ambos estão bem IMHO se você bloquear as coisas corretamente o que é perfeitamente possível.