Autorizační pravidla a funkce zabezpečení aplikace Windows PowerShell Web Access
Aktualizováno: 24. června 2013
Platí pro: Windows Server 2012 R2, Windows Server 2012
Windows PowerShell Web Access v Windows Server 2012 R2 a Windows Server 2012 má omezující model zabezpečení. Aby se uživatelé mohli přihlásit k bráně Windows PowerShell Web Access a používat webovou konzolu Windows PowerShell, musí mít explicitně udělený přístup.
Konfigurace autorizačních pravidel a zabezpečení lokality
Po instalaci aplikace Windows PowerShell Web Access a konfiguraci brány můžou uživatelé otevřít přihlašovací stránku v prohlížeči, ale nemůžou se přihlásit, dokud správce Windows PowerShell Web Access uživatelům explicitně neudělí přístup. Řízení přístupu Windows PowerShell Web Access se spravuje pomocí sady rutin Windows PowerShell popsaných v následující tabulce. Pro přidání nebo správu autorizačních pravidel neexistuje žádné srovnatelné grafické uživatelské rozhraní. Viz Windows PowerShell rutiny webového přístupu.
Správci můžou definovat {0-n} pravidla ověřování pro Windows PowerShell Web Access. Výchozí zabezpečení je spíše omezující než omezující; Nulová ověřovací pravidla znamenají, že žádní uživatelé nemají přístup k ničemu.
Add-PswaAuthorizationRule a Test-PswaAuthorizationRule v Windows Server 2012 R2 obsahují parametr Credential, který umožňuje přidávat a testovat autorizační pravidla Windows PowerShell Web Accessu ze vzdáleného počítače nebo z aktivní relace Windows PowerShell Web Accessu. Stejně jako u jiných rutin Windows PowerShell, které mají parametr Credential, můžete jako hodnotu parametru zadat objekt PSCredential. Pokud chcete vytvořit objekt PSCredential obsahující přihlašovací údaje, které chcete předat vzdálenému počítači, spusťte rutinu Get-Credential .
Windows PowerShell pravidla ověřování web accessu jsou pravidla povolení. Každé pravidlo je definice povoleného připojení mezi uživateli, cílovými počítači a konkrétními konfiguracemi Windows PowerShell relací (označovaných také jako koncové body nebo prostory spuštění) na zadaných cílových počítačích. Vysvětlení k runspaces najdete v tématu Začínáme používat prostředí Runspaces PowerShellu.
Důležité
Aby uživatel získal přístup, potřebuje pouze jedno pravidlo, které má hodnotu true. Pokud má uživatel přístup k jednomu počítači s úplným jazykovým přístupem nebo pouze k Windows PowerShell rutinám vzdálené správy, může se z webové konzoly přihlásit (nebo přejít) k jiným počítačům, které jsou připojené k prvnímu cílovému počítači. Nejbezpečnějším způsobem, jak nakonfigurovat Windows PowerShell Web Access, je povolit uživatelům přístup pouze k omezeným konfiguracím relací, které jim umožňují provádět konkrétní úlohy, které obvykle potřebují vzdáleně provádět.
Rutiny odkazované v rutinách Windows PowerShell Web Access umožňují vytvořit sadu pravidel přístupu, která slouží k autorizaci uživatele v bráně Windows PowerShell Web Access. Pravidla se liší od seznamů řízení přístupu (ACL) v cílovém počítači a poskytují další vrstvu zabezpečení pro webový přístup. Další podrobnosti o zabezpečení najdete v následující části.
Pokud uživatelé nemohou předat žádnou z předchozích vrstev zabezpečení, obdrží v oknech prohlížeče obecnou zprávu o odepření přístupu. Přestože jsou podrobnosti zabezpečení protokolovány na serveru brány, koncovým uživatelům se nezobrazují informace o tom, kolik vrstev zabezpečení prošli, ani o tom, ve které vrstvě došlo k chybě přihlášení nebo ověřování.
Další informace o konfiguraci autorizačních pravidel najdete v tématu Konfigurace autorizačních pravidel v tomto tématu.
Zabezpečení
Model zabezpečení Windows PowerShell Web Access má čtyři vrstvy mezi koncovým uživatelem webové konzoly a cílovým počítačem. Windows PowerShell správci webového přístupu můžou přidávat vrstvy zabezpečení prostřednictvím další konfigurace v konzole Správce služby IIS. Další informace o zabezpečení webů v konzole Správce služby IIS najdete v tématu Konfigurace zabezpečení webového serveru (IIS7).
Další informace o osvědčených postupech služby IIS a prevenci útoků dos najdete v tématu Osvědčené postupy pro prevenci útoků DoS/DoS. Správce může také koupit a nainstalovat další software pro ověřování maloobchodního prodeje.
Následující tabulka popisuje čtyři vrstvy zabezpečení mezi koncovými uživateli a cílovými počítači.
Podrobné informace o jednotlivých vrstvách najdete v následujících nadpisech:
Funkce zabezpečení webového serveru služby IIS
Windows PowerShell uživatelé webového přístupu musí vždy zadat uživatelské jméno a heslo, aby mohli ověřovat své účty na bráně. Správci Windows PowerShell Web Accessu ale můžou také zapnout nebo vypnout volitelné ověřování klientských certifikátů. Přečtěte si článek Instalace a použití webového přístupu windows PowerShellu k povolení testovacího certifikátu a pozdější konfigurace originálního certifikátu).
Volitelná funkce klientského certifikátu vyžaduje, aby koncoví uživatelé měli kromě uživatelských jmen a hesel platný klientský certifikát a je součástí konfigurace webového serveru (IIS). Pokud je povolena vrstva klientských certifikátů, přihlašovací stránka Windows PowerShell Web Access vyzve uživatele k zadání platných certifikátů před vyhodnocením jejich přihlašovacích údajů. Ověřování klientským certifikátem automaticky kontroluje klientský certifikát. Pokud se platný certifikát nenajde, Windows PowerShell Web Access informuje uživatele, aby mohli certifikát poskytnout. Pokud se najde platný klientský certifikát, Windows PowerShell Web Access otevře přihlašovací stránku, kde uživatelé zadají svoje uživatelská jména a hesla.
Toto je jeden z příkladů dalších nastavení zabezpečení, které nabízí webový server služby IIS. Další informace o dalších funkcích zabezpečení služby IIS najdete v tématu Konfigurace zabezpečení webového serveru (IIS 7).
ověřování brány na základě formulářů Windows PowerShell Web Accessu
Přihlašovací stránka Windows PowerShell Web Access vyžaduje sadu přihlašovacích údajů (uživatelské jméno a heslo) a nabízí uživatelům možnost zadat pro cílový počítač jiné přihlašovací údaje. Pokud uživatel nezadá alternativní přihlašovací údaje, použije se pro připojení k cílovému počítači také primární uživatelské jméno a heslo, které se používají pro připojení k bráně.
Požadované přihlašovací údaje jsou ověřeny v bráně Windows PowerShell Web Access. Tyto přihlašovací údaje musí být platné uživatelské účty na místním serveru brány Windows PowerShell Web Accessu nebo ve službě Active Directory.
autorizační pravidla Windows PowerShell Web Accessu
Po ověření uživatele na bráně zkontroluje Windows PowerShell Web Access autorizační pravidla a ověří, jestli má uživatel přístup k požadovanému cílovému počítači. Po úspěšné autorizaci se přihlašovací údaje uživatele předají cílovému počítači.
Tato pravidla se vyhodnocují až po ověření uživatele bránou a před ověřením uživatele na cílovém počítači.
Cílová pravidla ověřování a autorizace
Poslední vrstvou zabezpečení pro Windows PowerShell Web Access je vlastní konfigurace zabezpečení cílového počítače. Aby uživatelé mohli spustit Windows PowerShell webovou konzolu, která ovlivňuje cílový počítač prostřednictvím aplikace Windows PowerShell Web Access, musí mít v cílovém počítači a také v autorizačních pravidlech Windows PowerShell Web Access nakonfigurovaná příslušná přístupová práva.
Tato vrstva nabízí stejné bezpečnostní mechanismy, které by vyhodnotily pokusy o připojení, pokud by se uživatelé pokusili vytvořit vzdálenou Windows PowerShell relaci k cílovému počítači z Windows PowerShell spuštěním rutin Enter-PSSession nebo New-PSSession.
Ve výchozím nastavení používá Windows PowerShell Web Access primární uživatelské jméno a heslo pro ověřování brány i cílového počítače. Webová přihlašovací stránka v oddílu s názvem Volitelné nastavení připojení nabízí uživatelům možnost zadat pro cílový počítač různé přihlašovací údaje, pokud jsou potřeba. Pokud uživatel nezadá alternativní přihlašovací údaje, použije se pro připojení k cílovému počítači také primární uživatelské jméno a heslo, které se používají pro připojení k bráně.
Autorizační pravidla se dají použít k povolení přístupu uživatelů ke konkrétní konfiguraci relace. Pro Windows PowerShell Web Access můžete vytvořit omezené prostory spuštění nebo konfigurace relací a povolit konkrétním uživatelům připojení pouze k určitým konfiguracím relací, když se přihlásí k Windows PowerShell Web Accessu. Pomocí seznamů řízení přístupu (ACL) můžete určit, kteří uživatelé mají přístup ke konkrétním koncovým bodům, a dále omezit přístup ke koncovému bodu pro konkrétní skupinu uživatelů pomocí autorizačních pravidel popsaných v této části. Další informace o omezených prostorech spuštění najdete v tématu Vytvoření omezeného prostoru runspace.
Konfigurace autorizačních pravidel
Správci pravděpodobně chtějí stejné autorizační pravidlo pro uživatele aplikace Windows PowerShell Web Access, které je již definováno v jejich prostředí pro Windows PowerShell vzdálenou správu. První postup v této části popisuje, jak přidat zabezpečené autorizační pravidlo, které udělí přístup jednomu uživateli, přihlášení ke správě jednoho počítače a v rámci konfigurace jedné relace. Druhý postup popisuje, jak odebrat autorizační pravidlo, které už není potřeba.
Pokud plánujete použít vlastní konfigurace relací, které konkrétním uživatelům umožní pracovat pouze v omezených prostorech spuštění v Windows PowerShell Web Accessu, vytvořte vlastní konfigurace relací před přidáním autorizačních pravidel, která na ně odkazují. K vytváření vlastních konfigurací relací nelze použít rutiny Windows PowerShell Web Access. Další informace o vytváření vlastních konfigurací relací najdete v tématu about_Session_Configuration_Files.
rutiny Windows PowerShell Web Access podporují jeden zástupný znak, hvězdičku ( * ). Zástupné znaky v řetězcích nejsou podporovány; pro každou vlastnost (konfigurace uživatelů, počítačů nebo relací) použijte jednu hvězdičku.
Poznámka
Další způsoby použití autorizačních pravidel k udělení přístupu uživatelům a zabezpečení prostředí Windows PowerShell Web Access najdete v dalších příkladech scénářů autorizačních pravidel v tomto tématu.
Přidání omezujícího autorizačního pravidla
Jedním z následujících postupů otevřete relaci Windows PowerShell se zvýšenými uživatelskými právy.
Na ploše Windows klikněte pravým tlačítkem na Windows PowerShell na hlavním panelu a potom klikněte na Spustit jako správce.
Na obrazovce Start systému Windows klikněte pravým tlačítkem na Windows PowerShell a potom klikněte na Spustit jako správce.
Volitelný krok Omezení přístupu uživatelů pomocí konfigurací relací:
Ověřte, že konfigurace relací, které chcete použít, již ve vašich pravidlech existují .
Pokud ještě nejsou vytvořené, postupujte podle pokynů pro vytváření konfigurací relací v about_Session_Configuration_Files.
Toto autorizační pravidlo umožňuje konkrétnímu uživateli přístup k jednomu počítači v síti, ke kterému má obvykle přístup, s přístupem ke konkrétní konfiguraci relace, která je vymezena podle obvyklých potřeb uživatele pro skriptování a rutiny. Zadejte toto a stiskněte klávesu Enter.
Add-PswaAuthorizationRule -UserName <domain\user | computer\user> ` -ComputerName <computer_name> -ConfigurationName <session_configuration_name>- V následujícím příkladu má uživatel JSmith v doméně Contoso udělený přístup ke správě počítače Contoso_214 a použití konfigurace relace s názvem NewAdminsOnly.
Add-PswaAuthorizationRule -UserName 'Contoso\JSmith' ` -ComputerName Contoso_214 -ConfigurationName NewAdminsOnlySpuštěním rutiny Get-PswaAuthorizationRule nebo
Test-PswaAuthorizationRule -UserName <domain\user | computer\user> -ComputerName** <computer_name>ověřte, že je pravidlo vytvořené. Například,Test-PswaAuthorizationRule -UserName Contoso\\JSmith -ComputerName Contoso_214.
Odebrání autorizačního pravidla
Pokud ještě není otevřená relace Windows PowerShell, přečtěte si část věnovanou přidání omezujícího autorizačního pravidla v kroku 1 v této části.
Zadejte následující příkaz a stiskněte Klávesu Enter, kde ID pravidla představuje jedinečné číslo ID pravidla, které chcete odebrat.
Remove-PswaAuthorizationRule -ID <rule ID>Případně pokud neznáte číslo ID, ale znáte popisný název pravidla, které chcete odebrat, můžete získat název pravidla a poslat ho do
Remove-PswaAuthorizationRulerutiny, aby se pravidlo odebralo, jak je znázorněno v následujícím příkladu:Get-PswaAuthorizationRule ` -RuleName <rule-name> | Remove-PswaAuthorizationRule
Poznámka
Nebudete vyzváni k potvrzení, zda chcete odstranit zadané autorizační pravidlo. pravidlo se odstraní po stisknutí klávesy Enter. Před spuštěním rutiny Remove-PswaAuthorizationRule nezapomeňte autorizační pravidlo odebrat.
Další příklady scénářů autorizačních pravidel
Každá Windows PowerShell relace používá konfiguraci relace. Pokud pro relaci není určená, Windows PowerShell použije výchozí integrovanou konfiguraci relace Windows PowerShell s názvem Microsoft.PowerShell. Výchozí konfigurace relace zahrnuje všechny rutiny, které jsou k dispozici v počítači. Správci můžou omezit přístup ke všem počítačům definováním konfigurace relace s omezeným prostorem runspace (omezený rozsah rutin a úloh, které mohou provádět jejich koncoví uživatelé). Uživatel, kterému je udělen přístup k jednomu počítači s úplným jazykovým přístupem nebo pouze rutinami Windows PowerShell vzdálené správy, se může připojit k jiným počítačům připojeným k prvnímu počítači. Definování omezeného prostředí runspace může uživatelům zabránit v přístupu k jiným počítačům z povolených Windows PowerShell runspace a zlepšit zabezpečení prostředí Windows PowerShell Web Access. Konfiguraci relace lze distribuovat (pomocí Zásady skupiny) do všech počítačů, které správci chtějí zpřístupnit prostřednictvím Windows PowerShell Web Accessu. Další informace o konfiguracích relace najdete v tématu about_Session_Configurations. Následuje několik příkladů tohoto scénáře.
Správce vytvoří koncový bod s názvem PswaEndpoint s omezeným prostorem runspace. Správce pak vytvoří pravidlo
*,*,PswaEndpointa distribuuje koncový bod do dalších počítačů. Toto pravidlo umožňuje všem uživatelům přístup ke všem počítačům s koncovým bodem PswaEndpoint. Pokud se jedná o jediné autorizační pravidlo definované v sadě pravidel, nebudou počítače bez tohoto koncového bodu přístupné.Správce vytvořil koncový bod s omezeným prostorem runspace s názvem PswaEndpoint a chce omezit přístup na konkrétní uživatele. Správce vytvoří skupinu uživatelů s názvem Level1Support a definuje následující pravidlo: Level1Support,*,PswaEndpoint. Pravidlo uděluje všem uživatelům ve skupině Level1Support přístup ke všem počítačům s konfigurací PswaEndpoint . Podobně lze přístup omezit na konkrétní sadu počítačů.
Někteří správci poskytují určitým uživatelům větší přístup než jiní. Správce například vytvoří dvě skupiny uživatelů , Admins a BasicSupport. Správce také vytvoří koncový bod s omezeným prostorem runspace s názvem PswaEndpoint a definuje následující dvě pravidla: Admins,*,* a BasicSupport,*,PswaEndpoint. První pravidlo poskytuje všem uživatelům ve skupině Správa přístup ke všem počítačům a druhé pravidlo poskytuje všem uživatelům ve skupině BasicSupport přístup pouze k těm počítačům s pswaEndpointem.
Správce nastavil privátní testovací prostředí a chce všem autorizovaným uživatelům sítě povolit přístup ke všem počítačům v síti, ke kterým mají obvykle přístup, s přístupem ke všem konfiguracím relací, ke kterým obvykle mají přístup. Vzhledem k tomu, že se jedná o privátní testovací prostředí, správce vytvoří autorizační pravidlo, které není zabezpečené. – Správce spustí rutinu
Add-PswaAuthorizationRule * * *, která pomocí zástupné znaky * představuje všechny uživatele, všechny počítače a všechny konfigurace. – Toto pravidlo odpovídá následujícímu pravidlu:Add-PswaAuthorizationRule -UserName * -ComputerName * -ConfigurationName *.Poznámka
Toto pravidlo se nedoporučuje v zabezpečeném prostředí a obchází vrstvu zabezpečení autorizačních pravidel, kterou poskytuje Windows PowerShell Web Access.
Správce musí uživatelům povolit připojení k cílovým počítačům v prostředí, které zahrnuje pracovní skupiny i domény, kde se počítače pracovní skupiny příležitostně používají pro připojení k cílovým počítačům v doménách a počítače v doménách se příležitostně používají pro připojení k cílovým počítačům v pracovních skupinách. Správce má server brány PswaServer v pracovní skupině; a cílový počítač srv1.contoso.com je v doméně. Uživatel Chris je autorizovaný místní uživatel na serveru brány pracovní skupiny i na cílovém počítači. Jeho uživatelské jméno na serveru pracovní skupiny je chrisLocal; a jeho uživatelské jméno na cílovém počítači je contoso\chris. Aby správce autorizoval přístup k srv1.contoso.com pro Chrise, přidá následující pravidlo.
Add-PswaAuthorizationRule -userName PswaServer\chrisLocal `
-computerName srv1.contoso.com -configurationName Microsoft.PowerShell
Předchozí příklad pravidla ověří Chrise na serveru brány a pak autorizuje jeho přístup k srv1. Na přihlašovací stránce musí Chris zadat druhou sadu přihlašovacích údajů v oblasti Volitelné nastavení připojení (contoso\chris). Server brány používá k jeho ověření na cílovém počítači další sadu přihlašovacích údajů , srv1.contoso.com.
V předchozím scénáři Windows PowerShell Web Access naváže úspěšné připojení k cílovému počítači až po úspěšném provedení následujících kroků a povolení alespoň jedním autorizačním pravidlem.
Ověřování na serveru brány pracovní skupiny přidáním uživatelského jména ve formátu server_name\user_name k autorizačnímu pravidlu
Ověřování v cílovém počítači pomocí alternativních přihlašovacích údajů zadaných na přihlašovací stránce v oblasti Volitelné nastavení připojení
Poznámka
Pokud jsou brána a cílové počítače v různých pracovních skupinách nebo doménách, musí být mezi těmito dvěma počítači pracovní skupiny, dvěma doménami nebo mezi pracovní skupinou a doménou vytvořen vztah důvěryhodnosti. Tuto relaci nelze nakonfigurovat pomocí rutin autorizačního pravidla aplikace Windows PowerShell Web Access. Autorizační pravidla nedefinují vztah důvěryhodnosti mezi počítači. Můžou pouze autorizovat uživatele pro připojení ke konkrétním cílovým počítačům a konfiguracím relací. Další informace o konfiguraci vztahu důvěryhodnosti mezi různými doménami najdete v tématu Vytváření vztahů důvěryhodnosti domén a doménových struktur. Další informace o tom, jak přidat počítače pracovní skupiny do seznamu důvěryhodných hostitelů, najdete v tématu Vzdálená správa s Správce serveru.
Použití jedné sady autorizačních pravidel pro více webů
Autorizační pravidla jsou uložená v souboru XML. Ve výchozím nastavení je $env:windir\Web\PowershellWebAccess\data\AuthorizationRules.xmlnázev cesty k souboru XML .
Cesta k souboru XML autorizačních pravidel je uložená v souborupowwa.config , který se nachází v $env:windir\Web\PowershellWebAccess\datasouboru . Správce má možnost změnit odkaz na výchozí cestu v powwa.config tak, aby vyhovoval preferencím nebo požadavkům. Povolení správce změnit umístění souboru umožňuje více bran Windows PowerShell Web Access používat stejná autorizační pravidla, pokud je taková konfigurace žádoucí.
Správa relací
Ve výchozím nastavení Windows PowerShell Web Access omezuje uživatele na tři relace najednou. Souborweb.configwebové aplikace můžete upravit ve Správci služby IIS tak, aby podporoval různý počet relací na uživatele. Cesta k souboruweb.config je $env:windir\Web\PowerShellWebAccess\wwwroot\Web.config.
Ve výchozím nastavení je webový server služby IIS nakonfigurován tak, aby restartoval fond aplikací, pokud jsou upravena některá nastavení. Například fond aplikací se restartuje, pokud jsou provedeny změny v souboruweb.config . >Vzhledem k tomu, že Windows PowerShell Web Access používá stavy relací v paměti, >uživatelé přihlášení k relacím Windows PowerShell Web Access při restartování fondu aplikací přijdou o své relace.
Nastavení výchozích parametrů na přihlašovací stránce
Pokud je brána Windows PowerShell Web Access spuštěná na Windows Server 2012 R2, můžete nakonfigurovat výchozí hodnoty pro nastavení, která se zobrazí na přihlašovací stránce Windows PowerShell Web Accessu. Hodnoty můžete nakonfigurovat v souboruweb.config , který je popsaný v předchozím odstavci. Výchozí hodnoty pro nastavení přihlašovací stránky najdete v části appSettings web.config souboru. Následuje příklad oddílu appSettings . Platné hodnoty pro mnoho z těchto nastavení jsou stejné jako pro odpovídající parametry rutiny New-PSSession v Windows PowerShell.
Například defaultApplicationName klíč, jak je znázorněno v následujícím bloku kódu, je hodnota proměnné předvolby $PSSessionApplicationName na cílovém počítači.
<appSettings>
<add key="maxSessionsAllowedPerUser" value="3"/>
<add key="defaultPortNumber" value="5985"/>
<add key="defaultSSLPortNumber" value="5986"/>
<add key="defaultApplicationName" value="WSMAN"/>
<add key="defaultUseSslSelection" value="0"/>
<add key="defaultAuthenticationType" value="0"/>
<add key="defaultAllowRedirection" value="0"/>
<add key="defaultConfigurationName" value="Microsoft.PowerShell"/>
</appSettings>
Vypršení časového limitu a neplánovaná odpojení
Windows PowerShell relací web accessu vyprší časový limit. V aplikaci Windows PowerShell Web Access spuštěné v Windows Server 2012 se po 15 minutách nečinnosti relace zobrazí zpráva o vypršení časového limitu přihlášeným uživatelům. Pokud uživatel neodpoví do pěti minut od zobrazení zprávy o vypršení časového limitu, relace se ukončí a uživatel se odhlásí. Období časového limitu pro relace můžete změnit v nastavení webu ve Správci služby IIS.
V Windows PowerShell Web Accessu spuštěném na Windows Server 2012 R2 vyprší časový limit relací ve výchozím nastavení po 20 minutách nečinnosti. Pokud jsou uživatelé odpojeni od relací ve webové konzole kvůli chybám sítě nebo jiným neplánovaným vypnutím nebo selháním, a ne proto, že sami zavřeli relace, relace Windows PowerShell Web Access budou dál běžet připojené k cílovým počítačům, dokud časový limit na straně klienta neustane. Relace se odpojí po uplynutí výchozích 20 minut nebo po uplynutí časového limitu určeného správcem brány ( podle toho, co je kratší).
Pokud na serveru brány běží Windows Server 2012 R2, Windows PowerShell Web Access umožňuje uživatelům později znovu se připojit k uloženým relacím, ale když dojde k chybám sítě, neplánovaným vypnutím nebo jiným selháním, nebudou uživatelé moct uložené relace zobrazit nebo se k uloženým relacím znovu připojit, dokud neuslyší časový limit určený správcem brány.