Vollständiger Guide: Aktivierung von WinRM unter Windows 10/11

In diesem Artikel erfahren Sie, wie Sie WinRM unter Windows 10 oder 11 aktivieren können. Die Remote-Verwaltung von Windows-Systemen erspart IT-Administrator:innen unzählige Stunden an Besuchen vor Ort und manuellen Eingriffen. Wenn Sie Befehle ausführen, Skripte starten oder Systeminformationen von mehreren Rechnern sammeln müssen, wird Windows Remote Management (WinRM) zu Ihrem unverzichtbaren Toolkit.

Was ist WinRM?

Windows Remote Management ist die Microsoft-Implementierung des WS-Verwaltungsprotokolls. Dieses Protokoll bietet eine standardisierte Möglichkeit für Betriebssysteme, auf Verwaltungsinformationen zuzugreifen und diese über Geräte mit unterschiedlichen Hardware- und Softwarekonfigurationen auszutauschen. WinRM dient als Grundlage für die Ausführung von PowerShell-Befehlen aus der Ferne und beseitigt die Notwendigkeit eines direkten physischen Zugriffs.

Das Protokoll funktioniert über HTTP oder HTTPS und verwendet das Simple Object Access Protocol (SOAP) zur Übertragung von Informationen zwischen Systemen. WinRM verwendet Port 5985 für HTTP-Verkehr sowie Port 5986 für HTTPS-Verbindungen und schafft so einen sicheren Kanal für die Ausführung von Befehlen, den Abruf von Informationen und die Verwaltung von Systemkonfigurationen aus der Ferne.

Vorteile für IT-Administrator:innen

Remote-PowerShell-Sitzungen über WinRM ermöglichen leistungsstarke Skripting-Funktionen, mit denen sich wiederholende Aufgaben über Hunderte oder Tausende von Endpunkten hinweg automatisiert werden können. IT-Expert:innen erhalten die Möglichkeit, detaillierte Systeminformationen zu sammeln, Konfigurationen zu ändern, Software zu installieren oder zu entfernen und Dienste neu zu starten, ohne ihren Arbeitsplatz zu verlassen.

Darüber hinaus bietet WinRM verbesserte Sicherheit durch verschiedene Authentifizierungsmethoden und Verschlüsselungsoptionen, die es Administrator:innen ermöglichen, strenge Sicherheitskontrollen aufrechtzuerhalten und dennoch von den Fernverwaltungsfunktionen zu profitieren.

Vorbereitung auf die WinRM-Implementierung

Bevor Sie WinRMauf Ihren Windows-Systemen aktivieren, sollten Sie sich die Zeit nehmen, die Voraussetzungen zu überprüfen und Ihre Umgebung korrekt zu konfigurieren. Dies erspart Ihnen später die Fehlerbehebung.

Verschaffen Sie sich die erforderlichen Systemberechtigungen

Die Implementierung von WinRM erfordert Administratorrechte für die Vornahme systemweiter Änderungen. Auf jedem Zielcomputer, auf dem Sie die Windows-Fernverwaltung aktivieren, müssen Sie über lokale Administratorrechte verfügen. In Domain-Umgebungen sollten Sie die Verwendung von Anmeldeinformationen des Domain-Administrators in Betracht ziehen, um eine konsistente Konfiguration über mehrere Systeme hinweg zu gewährleisten.

Stellen Sie sicher, dass Ihr Benutzerkonto nicht nur über lokale Berechtigungen verfügt, sondern auch über die notwendigen Rechte, um Windows-Dienste zu ändern, Windows-Firewall-Regeln zu konfigurieren und Änderungen an der Registrierung vorzunehmen. In Unternehmensumgebungen müssen Sie sich möglicherweise mit Sicherheitsteams abstimmen, um die Berechtigungen vorübergehend zu erhöhen oder ein spezielles Dienstkonto mit den für die WinRM-Konfiguration erforderlichen Rechten zu erstellen.

Prüfen Sie Ihre Checkliste zur Netzwerkkonfiguration

Die Netzwerkkonfiguration spielt eine entscheidende Rolle bei der erfolgreichen Implementierung von WinRM. Vergewissern Sie sich vor der Aktivierung des Dienstes, dass Ihre Netzwerkumgebung die erforderlichen Kommunikationskanäle unterstützen kann. Überprüfen Sie Ihr derzeitiges Netzwerk-Setup unter Berücksichtigung dieser Schlüsselelemente:

• Stellen Sie sicher, dass die TCP-Ports 5985 (HTTP) und 5986 (HTTPS) zwischen den Verwaltungs- und den Zielcomputern offen sind.
• Vergewissern Sie sich, dass die Windows-Firewall oder Sicherheitssoftware von Drittanbietern den WinRM-Datenverkehr nicht blockiert.
• Stellen Sie sicher, dass die DNS-Auflösung zwischen Systemen, die über WinRM kommunizieren, ordnungsgemäß funktioniert.
• Sorgen Sie dafür, dass Netzwerkgeräte wie Router und Firewalls den WinRM-Datenverkehr an den erforderlichen Ports zulassen.
• Stellen Sie bei Domain-Umgebungen sicher, dass die Gruppenrichtlinie die WinRM-Konfiguration nicht einschränkt.

Schritt-für-Schritt-Aktivierung von WinRM

Die Aktivierung von WinRM auf Systremen mit Windows 10- und 11 kann auf verschiedene Weise erfolgen, je nach den Anforderungen Ihrer Umgebung und den administrativen Einstellungen. Sie müssen den WinRM-Dienst aktivieren, die entsprechenden Listener konfigurieren und alle erforderlichen Firewall-Regeln einrichten.

Konfiguration mit der Befehlszeile

Die Befehlszeile bietet die direkteste skriptfähige Methode zur Aktivierung von WinRM auf Windows-Systemen. Dieser Ansatz eignet sich sowohl für einzelne Computer als auch für Batch-Bereitstellungsszenarien, bei denen Sie mehrere Systeme gleichzeitig konfigurieren müssen.

Öffnen Sie die Eingabeaufforderung mit Administratorrechten für den Zugriff auf den WinRM-Befehl „quickconfig“. Der Großteil des Einrichtungsprozesses wird folgendermaßen automatisiert.

Folgen Sie diesen Schritten:

1. Klicken Sie mit der rechten Maustaste auf das Startmenü und wählen Sie „Eingabeaufforderung (Admin)“ oder „Windows PowerShell (Admin)“.
2. Geben Sie „winrm quickconfig“ ein und drücken Sie die Eingabetaste.
3. Wenn Sie aufgefordert werden, Änderungen vorzunehmen, geben Sie „Y“ ein und drücken die Eingabetaste.
4. Warten Sie, bis die Konfiguration abgeschlossen ist, und überprüfen Sie die Erfolgsmeldung.
5. Testen Sie die Verbindung, indem Sie „winrm identify -r:http://localhost:5985“ eingeben und die Eingabetaste drücken.

PowerShell-Konfigurationsbefehle

PowerShell bietet leistungsstarke Optionen für die Konfiguration von WinRM mit einer detaillierteren Steuerung als der grundlegende „quickconfig“-Befehl. Mit PowerShell-Befehlen können Administrator:innen Authentifizierungsmethoden, Verschlüsselungsanforderungen und andere erweiterte Einstellungen anpassen.

Führen Sie die folgenden Aktionen aus, um WinRM mit PowerShell zu konfigurieren:

1. Starten Sie PowerShell mit Administratorrechten, indem Sie mit der rechten Maustaste auf das Startmenü klicken und „Windows PowerShell (Admin)“ auswählen.
2. Führen Sie „Enable-PSRemoting -Force“ aus, um WinRM mit den Standardeinstellungen zu konfigurieren.
3. Führen Sie „Set-Item WSMan:\localhost\Client\TrustedHosts -Value ‚*‘ -Force“ aus, um Verbindungen zu jedem Host zuzulassen.
4. Überprüfen Sie die Konfiguration, indem Sie „Test-WSMan -ComputerName localhost“ ausführen.
5. Für zusätzliche Sicherheit führen Sie „Set-WSManQuickConfig -UseSSL“ aus, um HTTPS-Listener zu konfigurieren.

Sicherung Ihrer WinRM-Verbindungen

WinRM ermöglicht zwar leistungsstarke Fernverwaltungsfunktionen, schafft aber bei unsachgemäßer Konfiguration auch potenzielle Sicherheitsschwachstellen. Die Implementierung geeigneter Sicherheitsmaßnahmen schützt Ihre Verwaltungskanäle vor unberechtigtem Zugriff.

Optionen zur Authentifizierung

WinRM unterstützt mehrere Authentifizierungsmechanismen, die bestimmen, wie Benutzer:innen ihre Identität nachweisen, wenn sie sich mit entfernten Systemen verbinden. Die Auswahl der geeigneten Authentifizierungsmethode hängt von Ihren Sicherheitsanforderungen und Ihrer Netzwerkumgebung ab. Standardmäßig verwendet WinRM die Kerberos-Authentifizierung in Domain-Umgebungen und NTLM für Arbeitsgruppenszenarien.

In Umgebungen, die eine erhöhte Sicherheit erfordern, bietet die zertifikatsbasierte Authentifizierung einen besseren Schutz gegen den Diebstahl von Anmeldeinformationen und Man-in-the-Middle-Angriffe. Die Implementierung der Zertifikatsauthentifizierung erfordert den Einsatz einer Public-Key-Infrastructure (PKI) und die Konfiguration geeigneter Zertifikatsvorlagen. Bei der Basisauthentifizierung werden die Anmeldeinformationen in einem verschlüsselten Format übertragen, das ohne zusätzlichen Schutz bei der Übertragung, wie HTTPS, nicht sicher ist.

Bewährte Verschlüsselungsverfahren

Die Verschlüsselung des WinRM-Datenverkehrs schützt sensible Verwaltungsdaten und verhindert das unbefugte Abfangen von Befehlen und Antworten. Beachten Sie bei der Konfiguration Ihrer WinRM-Umgebung die folgenden Verschlüsselungsempfehlungen:

• Konfigurieren Sie, wann immer möglich, HTTPS-Listener anstelle von HTTP mit „winrm quickconfig -transport:https“.
• Generieren und installieren Sie geeignete SSL-Zertifikate auf allen verwalteten Systemen.
• Überprüfen Sie die Gültigkeitsdauer von Zertifikaten und führen Sie Verfahren für die Zertifikatsrotation ein.
• Konfigurieren Sie WinRM so, dass für den gesamten Nachrichtenverkehr eine Verschlüsselung erforderlich ist.
• Implementieren Sie TLS 1.2 oder höher und deaktivieren Sie ältere, anfällige Protokolle.

Wenn Sie HTTPS-Listener konfigurieren, müssen Sie den Zertifikats-Fingerabdruck angeben, der für die Sicherung von Verbindungen verwendet werden soll. Selbstsignierte Zertifikate eignen sich für Tests, werden aber für Produktionsumgebungen nicht empfohlen. Setzen Sie stattdessen Zertifikate von einer unternehmenseigenen Zertifizierungsstelle oder einem vertrauenswürdigen Drittanbieter ein.

Fehlerbehebung bei allgemeinen WinRM-Problemen

Selbst bei sorgfältiger Planung und Implementierung schlagen WinRM-Verbindungen manchmal aufgrund von Konfigurations- und Netzwerkproblemen oder Sicherheitseinschränkungen fehl. Wenn Sie häufige Probleme und ihre Lösungen kennen, können Sie die Windows-Fernverwaltungsfunktionen schnell wiederherstellen, wenn Probleme auftreten.

Lösungen für Verbindungsfehler

Wenn WinRM-Verbindungen fehlschlagen, hilft eine systematische Fehlersuche dabei, die zugrunde liegenden Ursachen zu ermitteln und zu beheben. Verbindungsfehler sind in der Regel auf Dienstkonfigurations- und Netzwerkverbindungsprobleme oder Authentifizierungsfehler zurückzuführen. Beginnen Sie die Fehlerbehebung, indem Sie mit „Get-Service WinRM“ in PowerShell überprüfen, ob der WinRM-Dienst sowohl auf dem lokalen als auch auf dem Remote-Computer ausgeführt wird.

Probleme mit der Netzwerkverbindung äußern sich häufig in Form von Timeout-Fehlern oder Meldungen wie „Computer nicht erreichbar“. Testen Sie die Netzwerkkonnektivität mit „ping“ und überprüfen Sie dann die Verfügbarkeit bestimmter Ports mit „Test-NetConnection“. Wenn die Netzwerkkonnektivität funktioniert, WinRM jedoch fehlschlägt, überprüfen Sie die Firewall-Konfigurationen auf beiden Seiten und alle Netzwerkgeräte zwischen den Systemen.

Testen der Fernzugänglichkeit

Durch die Überprüfung der WinRM-Konnektivität können Sie sicherstellen, dass Ihre Konfiguration ordnungsgemäß funktioniert, und mögliche Probleme erkennen, bevor sie sich auf die Produktionssysteme auswirken. Windows bietet mehrere integrierte Tools zum Testen von WinRM-Verbindungen und zur Diagnose von Problemen, wenn diese auftreten.

• Das Cmdlet „Test-WSMan“ ist die einfachste Möglichkeit, die grundlegende WinRM-Funktionalität zu überprüfen.
• Bei der Ausführung von „Test-WSMan -ComputerName [targetcomputer]“ wird versucht, eine Verbindung mit dem angegebenen System herzustellen und WinRM-Dienstinformationen abzurufen.
• Eine erfolgreiche Antwort zeigt an, dass WinRM ordnungsgemäß konfiguriert und zugänglich ist.
• Für detailliertere Tests verwenden Sie das Cmdlet „Enter-PSSession“, um eine interaktive PowerShell-Sitzung zu initiieren.
• Der Befehl „Enter-PSSession -ComputerName [targetcomputer]“ sollte bei korrekter Konfiguration zu einer Fernabfrage führen.

Fernsteuerung ohne Kopfzerbrechen

Mit NinjaOnes Lösung zum Windows-Remote-Management können Ihre Techniker:innen Fehler in Sekunden beheben — nicht in ganzen Sitzungen.

✅ Fernzugriff mit einem Klick
✅ Sichere, verschlüsselte Verbindungen
✅ Nahtlose Integration mit TeamViewer, Splashtop oder ScreenConnect

Starten Sie noch heute Ihre kostenlose Testversion und vereinfachen Sie die Verwaltung aller Windows-Endpunkte.