Configurando o WinRM por meio da Política de Grupo em Máquinas Windows

O Windows Remote Management, comumente conhecido como WinRM, é um protocolo desenvolvido pela Microsoft que facilita o gerenciamento remoto de computadores. Ele utiliza o WS-Management Protocol, que é projetado especificamente para manipular remotamente desktops e servidores Windows. Este artigo o orientará sobre como configurar efetivamente o WinRM por meio de Group Policy Objects (GPO) em máquinas Windows.

Como configurar o WinRM via GPO em máquinas Windows

Para configurar o WinRM usando GPO, siga as etapas descritas abaixo:

1. Altere sua conexão de rede para Privada ou Domínio
2. Verifique se o WinRM está habilitado no seu dispositivo
3. Use o Console de Gerenciamento de Política de Grupo para configurar o WinRM
4. Forçar uma atualização das configurações de GPO no Windows

Vamos nos aprofundar em cada etapa.

1] Altere sua conexão para privada ou domínio

Para habilitar o WinRM, você precisa estar conectado a uma rede privada ou de domínio. Se você estiver atualmente em uma rede pública, siga estas etapas para alternar para o tipo de rede apropriado:

1. Abra as Configurações do Windows usando Win + I.
2. Navegue até Rede e Internet.
3. Selecione Wi-Fi e clique na sua conexão WiFi.
4. Selecione Rede privada.

Se estiver usando Ethernet, certifique-se de aplicar as mesmas alterações a ele. Após concluir isso, prossiga para a próxima etapa.

2] Verifique se o WinRM está habilitado no seu dispositivo

O próximo passo é determinar se o WinRM já está habilitado no seu sistema. Normalmente, os sistemas Windows Server terão esse recurso pré-instalado, enquanto pode não ser o caso para sistemas cliente Windows. Para verificar isso, abra o PowerShell com privilégios de administrador e insira o seguinte comando:

WinRM enumerate winrm/config/listener

Se você receber uma mensagem de erro como a abaixo, significa que o WinRM não está ativado:

WSManFaultMessage = O cliente não pode se conectar ao destino especificado na solicitação. Verifique se o serviço no destino está em execução e aceitando solicitações. Consulte os logs e a documentação do serviço WS-Management em execução no destino, mais comumente IIS ou WinRM. Se o destino for o serviço WinRM, execute o seguinte comando no destino para analisar e configurar o serviço WinRM: “winrm quickconfig” .

Número do erro: -2144108526 0x80338012

Para habilitá-lo, execute o comando winrm quickconfig. No entanto, observe que isso habilita o recurso somente na máquina local, enquanto a configuração por meio de GPO o aplica a todos os usuários no domínio.

3] Configurar o WinRM usando o console de gerenciamento de política de grupo

O Group Policy Management Console (GPMC) é sua interface de referência para gerenciar configurações de Group Policy em vários domínios e florestas. As alterações feitas aqui afetarão todos os usuários conectados ao seu Active Directory. Veja como você pode configurar a configuração do WinRM:

1. Abra o GPMC procurando por ele no Menu Iniciar.
2. Selecione seu contêiner do Active Directory (Unidade Organizacional) e crie um novo GPO chamado corpEnableWinRM.
3. Abra o novo GPO para edição e navegue até Configuração do Computador > Políticas > Configurações do Windows > Configurações de Segurança > Serviços do Sistema.
4. Encontre o Serviço Remoto do Windows (WS-Management) e defina seu modo de inicialização como Automático.
5. Vá para Políticas do Computador > Preferências.
6. Selecione Configurações do Painel de Controle e depois Serviços.
7. Para criar um novo serviço, escolha Novo > Serviço, digite WinRM como nome do serviço e clique em Reiniciar o serviço na guia Recuperação.
8. Navegue até Configuração do Computador > Políticas > Modelos Administrativos > Componentes do Windows > Gerenciamento Remoto do Windows (WinRM) > Serviço WinRM.
9. Encontre Permitir gerenciamento remoto de servidor por meio do WinRM e clique duas vezes para editar.
10. Defina como Enabled e especifique endereços IP ou sub-redes na caixa de filtro IPv4/IPv6. Para permitir todos os endereços IP, deixe como *.
11. Crie uma regra do Firewall do Windows Defender para conexões WinRM nas portas padrão TCP/5985 e TCP/5986 acessando Computador > Políticas > Configurações do Windows > Configurações de segurança > Firewall do Windows com Segurança Avançada > Regras de entrada.
12. Selecione as regras predefinidas para o Gerenciamento Remoto do Windows e crie a regra.
13. Por fim, vá para Configuração do Computador > Políticas > Modelos Administrativos > Componentes do Windows > Windows Remote Shell, encontre Permitir Acesso ao Shell Remoto e ative-o.

Agora você configurou com sucesso uma regra de GPO para o WinRM.

4] Forçar o Windows a atualizar as configurações de GPO

Para aplicar as novas configurações de GPO nos dispositivos clientes, execute GPUdate.exe. Abra o Prompt de Comando com direitos administrativos e insira o seguinte comando:

gpupdate /force

Este comando força o sistema a processar todas as políticas configuradas no controlador de domínio e aplicá-las.

Se você deseja confirmar que o WinRM foi habilitado, execute WinRM enumerate winrm/config/listener. Isso fornecerá os detalhes de configuração do listener.

E isso é tudo!

Como habilitar o WinRM via GPO?

Para habilitar o WinRM por meio de Objetos de Política de Grupo, a política crítica a ser configurada é “Permitir gerenciamento de servidor remoto por meio do WinRM”. Certifique-se de seguir as etapas de pré-requisito necessárias para aplicar com sucesso essa configuração aos seus sistemas cliente.

Como habilitar o WinRM na linha de comando?

Para habilitar o WinRM usando a Linha de Comando, abra o PowerShell ou o Prompt de Comando com privilégios elevados e execute winrm quickconfigou Enable-PSRemoting –Force. Para verificar o status atual do WinRM, execute WinRM enumerate winrm/config/listener.

Fonte