关于《疑似因为 WinRM 服务导致的某 VPS 收到投诉软件导致的被掐断网络通信》的原因而需要关闭Windows Remote Management (HTTP-In)(WinRM)的一些操作方法

前一会儿还能正常通联的一台 Windows 系统服务器突然无法连接上去,一开始以为跟往常一样资源占用过高就按照往常那样的重启……

前因

收到投诉邮件

重启之后间隔一小会时间就寻思着继续连接,没料到的是许久都没有弹出密码框,于是就决定通过 VNC 进行操作管理。通过 VNC 界面一看系统正常也没有什么占用资源的,有点异常的就是浏览器界面没有正常显示。当时却没有把这个放在心上,而是在浏览器设置中关掉一些设置想着能占用少点资源,就这样设置许久才发现右下角的网络图标是断网的状态。

看着网络不通的图标,遂先使用网络属性中的诊断功能,可惜的是无效依旧是无网络状态。这时只能去发工单寻求帮助,打开工单界面一看,突然被两条刺眼的“xxx.xxx.xxx.xxx投诉邮件通知”标题的工单吓一跳,当时还在思考着我没有对外提供 Web 业务,也无使用 BT/PT 之类的软件,应该不是 DMCA 的投诉吧?

点开一看大意是:“xxx.xxx.xxx.xxx收到投诉邮件,主机有安全隐患,需要立即处理。”,关键是工单的时间是在2025-06-06接收到的,期间虽有多次登陆到 VPS 的管理后台,由于其是“已关闭”状态,没有特意去工单页面还没能发现。

投诉邮件原文:

Dear Customer,
We have identified a critical exposure of the WinRM service (TCP ports 5985 & 5986) to the Internet on numerous IP address. This exposure may pose a significant security risk and requires immediate attention.
To proceed with appropriate remediation and notification steps, we kindly request your assistance with the following:
We appreciate your prompt attention to this matter. If you require any additional information or support in investigating this issue, please do not hesitate to reach out.
Please refer to the list below for the affected host:
IP Port

xxx.xxx.xxx.xxx 5985
xxx.xxx.xxx.xxx 5986

Thank you

在 2025-06-06 这天前后两台服务器收到的大差不差的内容。

检查

先检查一下是否有对应的服务在运行着,这次通过的是查看端口监听状态判断

netstat -bano | more | findstr 5985
netstat -bano | more | findstr 5986

赫然发现有对应的服务在监听使用着这两个端口。

判断与结论

这个 VPS 的 Windows 系统是使用系统模板所安装的 Windows 10 操作系统,因此这个服务就在使用之处就一直是开机运行的状态。对此我无法确定 VPS 的网络问题是否与之有关系,但看到2个多月前的投诉,还是需要着手处理一下 WinRM 这个服务的问题以防万一。

貌似现在用不上这个还是选择关闭这个服务吧!

后果

方法一:通过控制面板关闭

  1. 打开控制面板:点击“开始”按钮,下拉到“Windows 系统”,选择“控制面板”。
  2. 打开系统:在控制面板中,点击“系统”。
  3. 打开远程:在系统窗口中,点击左侧的“远程”链接。
  4. 取消勾选“允许远程协助连接这台计算机”:在弹出的远程设置窗口中,取消勾选“允许远程协助连接这台计算机”复选框。
  5. 应用并保存设置:点击“应用”按钮,然后点击“确定”保存设置。

方法二:通过注册表编辑器关闭

  1. 打开注册表编辑器:按下“Win + R”键,输入“regedit”并按回车。
  2. 定位到远程桌面服务注册表项:展开以下路径 
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
  3. 修改注册表项:在系统窗口中,点击左侧的“远程”链接。
  4. 取消勾选“允许远程协助连接这台计算机”
    • 双击“fDenyTSConnections”键,将其值改为“1”。
    • 双击“fSingleSessionPerUser”键,将其值改为“1”。
  5. 关闭注册表编辑器:点击“文件”菜单,选择“退出”。

方法三:通过命令提示符关闭

  1. 打开命令提示符:按下“Win + R”键,输入“cmd”并按回车。
  2. 执行命令:在命令提示符窗口中,输入以下命令: 
    net stop winrm /y
  3. 禁用WinRM服务:再次输入以下命令: 
    netsh advfirewall firewall set rule group="Windows Remote Management (HTTP-In)" new enable=No
  4. 关闭命令提示符:按下“Alt + F4”键关闭命令提示符窗口。

方法四:通过服务管理关闭

  1. 打开服务:点击“开始”按钮,下拉到“Windows 管理工具”,选择“服务”。
  2. 选中WinRM服务:在服务中,下拉到“Windows Remote Management (WS-Management)”这一项服务。
  3. 打开属性:在该服务项中,右击,选择“属性”。
  4. 禁用服务:在弹出的属性窗口中,当前“常规”标签页下,将启动类型改成“禁用”。
  5. 停止服务:回到服务主界面,选中该项服务,点击左侧的“停止”停止此服务。

心得体会

刚开始使用的参考网页里面的方法三来停止 WinRM 服务,其中第一行命令能把正在运行的服务给停止掉,就是指向第二行命令时有错误。当时为了验证还特意给系统重启,发现重启系统后这个服务又启动了。此时急于处理网络不通的我也就没有再尝试参考网页里面的方法一、方法二,而是想着反正是服务,我就按照一个笨方法直接到服务管理里面停止禁用,由此我将这个方法续写在方法四当中。

参考资料

轻松关闭Windows远程管理:5分钟操作,保障系统安全,避免远程入侵风险!
https://www.oryoy.com/news/qing-song-guan-bi-windows-yuan-cheng-guan-li-5-fen-zhong-cao-zuo-bao-zhang-xi-tong-an-quan-bi-mian-y.html

ChiuYut

2025年08月18日

发布者

ChiuYut

咦?我是谁?这是什么地方? Ya ha!我是ChiuYut!这里是我的小破站!