19/12/2024

Système

Activer WinRM par GPO sous Windows Server

I. Présentation

WinRM, Windows Remote Management, est une fonctionnalité implémentée par Microsoft dans ses systèmes d'exploitation afin d'autoriser la gestion à distance via PowerShell.

Dans un tutoriel précédent, j'ai expliqué comment activer et configurer manuellement WinRM : Configurer WinRM. Vous trouverez également des détails dans cet article concernant le fonctionnement de WinRM.

Pour en revenir au cas présent, nous allons créer une GPO qui permettra d'automatiser l'activation et la configuration de WinRM par Stratégie de groupe (GPO). Cette GPO fonctionne sur Windows Server mais aussi sur Windows 10.

Cette automatisation doit être configurée en trois étapes :

winrmgpo0

II. Autoriser la gestion à distance via WinRM

Dans la console de gestion des GPO, je commence par créer une GPO nommée "WinRM" qu'il suffira ensuite d'appliquer à l'OU contenant la ou les machines à affecter.

winrmgpo1

Parcourez l'arborescence comme ceci : Configuration ordinateur, Stratégies, Modèles d'administration, Composants Windows, Gestion à distance de Windows (WinRM), Service WinRM

A cet endroit, vous trouverez un paramètre nommé "Autoriser la gestion de serveurs à distance via WinRM", double-cliquez dessus.

winrmgpo2

Activez le paramètre et remplissez les deux champs "Filtre IPv4" et "Filtre IPv6". Si vous indiquez rien, les connexions seront refusées, une * permettra d'accepter les connexions provenant de n'importe quelle adresse IP. Ce que je recommande : Préciser des hôtes séparément ou une plage d'adresse comme par exemple : 192.168.1.10-192.168.1.20, on peut imaginer que cette plage correspond à la plage des machines utilisées par le service informatique, ainsi uniquement ces machines là seront autorisées à ce connecter en WinRM.

winrmgpo3

III. Démarrer automatiquement le service WinRM

Passons à la seconde étape, à savoir le démarrage automatiquement du service de gestion à distance. Pour cela, toujours dans les Stratégies de Configuration ordinateur on ira :

Paramètres Windows, Paramètres de sécurité, Services système

Double-cliquez sur un service nommé "Gestion à distance de Windows (Gestion WSM)", définissez le paramètre pour activer de façon Automatique le service. Validez.

winrmgpo4

IV. Autoriser WinRM dans le Pare-feu

Dernier point de configuration de la GPO : Le pare-feu. Toujours dans les Paramètres de sécurité, accédez à "Pare-feu Windows avec fonctions avancées" et encore une fois à "Pare-feu Windows avec fonctions avancées". Effectuez un clic droit sur "Règles de trafic entrant" et cliquez sur "Nouvelle règle".

winrmgpo5

Cela étant un service connu de Windows, il existe une configuration prédéfinie qui permettra d'autoriser le port nécessaire (5985) à l'accès WinRM. Dans la liste "Prédéfinie", sélectionnez "Gestion à distance de Windows" et continuez.

winrmgpo6

Désactivez la première ligne pour que votre Pare-feu n'autorise pas le trafic entrant à destination de WinRM lors d'une connexion sur un réseau ayant le profil définit sur Public. Poursuivez.

winrmgpo7

Sélectionnez "Autoriser la connexion" et validez avec "Terminer".

winrmgpo8

La règle apparaît dans l'interface de configuration de la GPO, double-cliquez sur cette règle. Accédez à l'onglet "Avancé" et décochez le profil "Privé" si vous souhaitez autoriser le trafic entrant à destination de ce service uniquement lors d'une connexion sur un réseau de "Domaine", ce qui est plus sécurisé.

winrmgpo9

En bonus sécurité, on pourrait indiquer via l'onglet "Étendue" et "Adresses IP distantes" les adresses IP explicitement (ou une plage, un réseau) des machines pour lequel le trafic entrant est autorisé. On reprend alors les mêmes valeurs que pour les connexions autorisées par WinRM lui-même, ainsi pour se connecter il faudra : Être sur un réseau de domaine, faire partie des adresses IP autorisées par WinRM et par le Pare-feu.

winrmgpo10

Vous pouvez quitter l'éditeur de la stratégie de groupe, la configuration est terminée. Il ne reste plus qu'à appliquer la GPO sur des hôtes et à actualiser les paramètres sur les hôtes concernés afin de bénéficier de la gestion à distance !

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

5 commentaires sur “Activer WinRM par GPO sous Windows Server

  • Bonjour

    Merci pour le tuto qui est super.

    Toutefois j’ai une question, je travaille dans une société qui posséde plusieurs réseaux « d’administration » pour notamment des serveurs Citrix qui se trouvent du coup partout dans le monde…

    Si je veux utiliser une seule GPO pour tout le groupe, tu confirmes qu’il faudra procéder ainsi :

    Mettre comme réseau : 10.10.1.0-10.10.2.254,10.46.10.0-10.46.20.254 etc..

    Ainsi seule les machines des réseaux 10.10.1.0 à 10.10.2.0 ainsi que 10.46.10.0 à 10.46.20.0 pourront accéder à distance à ces serveurs ?

    Répondre
    • Bonjour Jerome,

      Oui il faut renseigner ces réseaux pour les autoriser dans le pare-feu et aussi pour les autoriser au niveau de WinRM, comme expliqué dans le tuto 🙂
      La syntaxe des réseaux que tu as mis dans ton commentaire me semble correcte en tout cas.

      Bon courage !
      Florian

      Répondre
  • Bonjour Florian

    Voici le message loggué dans le journal d’event des serveurs sur lesquels s’appliquent la GPO :

    ————
    La plage IP 10.10.10.0-10.10.11.254 est non valide et sera ignorée.

    Les plages sont spécifiées à l’aide de la syntaxe IP1-IP2. Les plages multiples sont séparées à l’aide du délimiteur « , » (virgule).
    Exemple de plages IPv4 : 2.0.0.1-2.0.0.20, 24.0.0.1-24.0.0.22
    Exemple de plages IPv6 : 3FFE:FFFF:7654:FEDA:1245:BA98:0000:0000-3FFE:FFFF:7654:FEDA:1245:BA98:3210:4562

    Action de l’utilisateur
    Corrigez le filtre IP 10.10.10.0-10.10.11.254 à l’aide de la syntaxe décrite plus haut.
    ————

    Et il en va ainsi de chaque sous-réseaux configurés 🙁

    Répondre
  • Hello et merci pour le tuto.

    Cependant il semble y avoir une coquille, le paramètre « Autoriser la gestion de serveurs à distance via WinRM » ne permet pas de spécifier une liste de machines distantes autorisées, mais sur quelle adresse ou plage IP le service WinRM doit se mettre en écoute sur la machine cliente, extrait du paramètre :

    « The service listens on the addresses specified by the IPv4 and IPv6 filters. The IPv4 filter specifies one or more ranges of IPv4 addresses, and the IPv6 filter specifies one or more ranges of IPv6addresses. If specified, the service enumerates the available IP addresses on the computer and uses only addresses that fall within one of the filter ranges. »

    A ma connaissance, le seul moyen de restreindre l’accès est donc de jouer avec le parefeu Windows et limiter les connexions depuis une liste de machines distantes.

    Testé & validé ce jour en clientèle

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.