这是我发现的与安全相关的项目的不完整列表：

注意新的默认值

WinRM 曾经在 Vista 和 Longhorn 的 80/443 端口上运行。这已更改为 IANA 认可的端口“5985”和“5986”作为新的管理端口（本页底部的更多信息）

有用的命令

• 该命令winrm g winrm/config列出了大部分 WinRM 配置设置
• 入站侦听器显示在此处：winrm e winrm/config/listener

配置

• 许多 MSFT 支持文档建议运行该命令Winrm quickconfig，该命令会创建一个 http 侦听器。一个可能的漏洞是您的令牌在端口 5985 上未加密发送。替代方法是运行：winrm quickconfig -transport:https.

• 确保所有服务器上的“EnableCompatibilityHttpListener”及其 HTTPS 对应项设置为 false，尤其是面向公众的 Web 服务器。

• 对于 DMZ 中的机器或多宿主机器，您可能希望阻止某些接口而不是其他接口上的侦听器。查看winrm help config更多信息

待办事项/研究

• 此 MSFT 页面的措辞表明客户端或服务器可能会在 HTTP 传输中协商到未加密的流量。这为 MITM 访问凭证创造了空间。我正在研究确保客户端始终使用 SOAP 加密的方法，无论使用何种传输。