Teilen über


Richtlinien-CSP – RemoteManagement

Tipp

Dieser CSP enthält ADMX-gestützte Richtlinien, die ein spezielles SyncML-Format zum Aktivieren oder Deaktivieren erfordern. Sie müssen den Datentyp in SyncML als <Format>chr</Format>angeben. Weitere Informationen finden Sie unter Grundlegendes zu ADMX-gestützten Richtlinien.

Die Nutzlast des SyncML muss XML-codiert sein. Für diese XML-Codierung gibt es eine Vielzahl von Onlineencodern, die Sie verwenden können. Um die Codierung der Nutzlast zu vermeiden, können Sie CDATA verwenden, wenn Ihr MDM dies unterstützt. Weitere Informationen finden Sie unter CDATA-Abschnitte.

AllowBasicAuthentication_Client

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/RemoteManagement/AllowBasicAuthentication_Client

Mit dieser Richtlinieneinstellung können Sie verwalten, ob der Windows-Remoteverwaltungsclient (WinRM) die Standardauthentifizierung verwendet.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, verwendet der WinRM-Client die Standardauthentifizierung. Wenn WinRM für die Verwendung des HTTP-Transports konfiguriert ist, werden Der Benutzername und das Kennwort als Klartext über das Netzwerk gesendet.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet der WinRM-Client keine Standardauthentifizierung.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name AllowBasic_2
Anzeigename Standardauthentifizierung zulassen
Pfad Computerkonfiguration
Pfad Windows-Komponenten > WinRM-Client (Windows Remote Management, WinRM) >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\WinRM\Client
Registrierungswertname AllowBasic
ADMX-Dateiname WindowsRemoteManagement.admx

AllowBasicAuthentication_Service

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/RemoteManagement/AllowBasicAuthentication_Service

Mit dieser Richtlinieneinstellung können Sie verwalten, ob der Windows-Remoteverwaltungsdienst (WinRM) die Standardauthentifizierung von einem Remoteclient akzeptiert.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, akzeptiert der WinRM-Dienst die Standardauthentifizierung von einem Remoteclient.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, akzeptiert der WinRM-Dienst keine Standardauthentifizierung von einem Remoteclient.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name AllowBasic_1
Anzeigename Standardauthentifizierung zulassen
Pfad Computerkonfiguration
Pfad Windows-Komponenten > WinRM-Dienst (Windows Remote Management, Windows Remote Management, WinRM) >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\WinRM\Service
Registrierungswertname AllowBasic
ADMX-Dateiname WindowsRemoteManagement.admx

AllowCredSSPAuthenticationClient

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/RemoteManagement/AllowCredSSPAuthenticationClient

Mit dieser Richtlinieneinstellung können Sie festlegen, ob der Windows-Remoteverwaltungsclient (WinRM) die CredSSP-Authentifizierung verwendet.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, verwendet der WinRM-Client die CredSSP-Authentifizierung.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet der WinRM-Client keine CredSSP-Authentifizierung.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name AllowCredSSP_2
Anzeigename CredSSP-Authentifizierung zulassen
Pfad Computerkonfiguration
Pfad Windows-Komponenten > WinRM-Client (Windows Remote Management, WinRM) >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\WinRM\Client
Registrierungswertname AllowCredSSP
ADMX-Dateiname WindowsRemoteManagement.admx

AllowCredSSPAuthenticationService

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/RemoteManagement/AllowCredSSPAuthenticationService

Mit dieser Richtlinieneinstellung können Sie verwalten, ob der Windows-Remoteverwaltungsdienst (WinRM) die CredSSP-Authentifizierung von einem Remoteclient akzeptiert.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, akzeptiert der WinRM-Dienst die CredSSP-Authentifizierung von einem Remoteclient.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, akzeptiert der WinRM-Dienst keine CredSSP-Authentifizierung von einem Remoteclient.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name AllowCredSSP_1
Anzeigename CredSSP-Authentifizierung zulassen
Pfad Computerkonfiguration
Pfad Windows-Komponenten > WinRM-Dienst (Windows Remote Management, Windows Remote Management, WinRM) >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\WinRM\Service
Registrierungswertname AllowCredSSP
ADMX-Dateiname WindowsRemoteManagement.admx

AllowRemoteServerManagement

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/RemoteManagement/AllowRemoteServerManagement

Mit dieser Richtlinieneinstellung können Sie verwalten, ob der Windows-Remoteverwaltungsdienst (WinRM) automatisch im Netzwerk auf Anforderungen für den HTTP-Transport über den HTTP-Standardport lauscht.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, lauscht der WinRM-Dienst automatisch im Netzwerk auf Anforderungen für den HTTP-Transport über den HTTP-Standardport.

Damit der WinRM-Dienst Anforderungen über das Netzwerk empfangen kann, konfigurieren Sie die Windows-Firewall-Richtlinieneinstellung mit Ausnahmen für Port 5985 (Standardport für HTTP).

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, antwortet der WinRM-Dienst nicht auf Anforderungen von einem Remotecomputer, unabhängig davon, ob WinRM-Listener konfiguriert sind.

Der Dienst lauscht auf die von den IPv4- und IPv6-Filtern angegebenen Adressen. Der IPv4-Filter gibt einen oder mehrere Bereiche von IPv4-Adressen an, und der IPv6-Filter gibt einen oder mehrere Bereiche von IPv6-Adressen an. Falls angegeben, listet der Dienst die verfügbaren IP-Adressen auf dem Computer auf und verwendet nur Adressen, die in einen der Filterbereiche fallen.

Sie sollten ein Sternchen (*) verwenden, um anzugeben, dass der Dienst an allen verfügbaren IP-Adressen auf dem Computer lauscht. Wenn * verwendet wird, werden andere Bereiche im Filter ignoriert. Wenn der Filter leer bleibt, lauscht der Dienst nicht an Adressen.

Wenn der Dienst beispielsweise nur an IPv4-Adressen lauschen soll, lassen Sie den IPv6-Filter leer.

Bereiche werden mit der Syntax IP1-IP2 angegeben. Mehrere Bereiche werden durch "," (Komma) als Trennzeichen getrennt.

Beispiel für IPv4-Filter:\n2.0.0.1-2.0.0.20, 24.0.0.1-24.0.0.22 Beispiel-IPv6-Filter:\n3FFE:FFFF:7654:FEDA:1245:BA98:0000:0000-3. FFE:FFFF:7654:FEDA:1245:BA98:3210:4562.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name AllowAutoConfig
Anzeigename Remoteserververwaltung über WinRM zulassen
Pfad Computerkonfiguration
Pfad Windows-Komponenten > WinRM-Dienst (Windows Remote Management, Windows Remote Management, WinRM) >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\WinRM\Service
Registrierungswertname AllowAutoConfig
ADMX-Dateiname WindowsRemoteManagement.admx

AllowUnencryptedTraffic_Client

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/RemoteManagement/AllowUnencryptedTraffic_Client

Mit dieser Richtlinieneinstellung können Sie verwalten, ob der Windows-Remoteverwaltungsclient (WinRM) unverschlüsselte Nachrichten über das Netzwerk sendet und empfängt.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, sendet und empfängt der WinRM-Client unverschlüsselte Nachrichten über das Netzwerk.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, sendet oder empfängt der WinRM-Client nur verschlüsselte Nachrichten über das Netzwerk.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name AllowUnencrypted_2
Anzeigename Unverschlüsselten Datenverkehr zulassen
Pfad Computerkonfiguration
Pfad Windows-Komponenten > WinRM-Client (Windows Remote Management, WinRM) >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\WinRM\Client
Registrierungswertname AllowUnencryptedTraffic
ADMX-Dateiname WindowsRemoteManagement.admx

AllowUnencryptedTraffic_Service

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/RemoteManagement/AllowUnencryptedTraffic_Service

Mit dieser Richtlinieneinstellung können Sie verwalten, ob der Windows-Remoteverwaltungsdienst (Windows Remote Management, WinRM) unverschlüsselte Nachrichten über das Netzwerk sendet und empfängt.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, sendet und empfängt der WinRM-Client unverschlüsselte Nachrichten über das Netzwerk.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, sendet oder empfängt der WinRM-Client nur verschlüsselte Nachrichten über das Netzwerk.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name AllowUnencrypted_1
Anzeigename Unverschlüsselten Datenverkehr zulassen
Pfad Computerkonfiguration
Pfad Windows-Komponenten > WinRM-Dienst (Windows Remote Management, Windows Remote Management, WinRM) >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\WinRM\Service
Registrierungswertname AllowUnencryptedTraffic
ADMX-Dateiname WindowsRemoteManagement.admx

DisallowDigestAuthentication

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/RemoteManagement/DisallowDigestAuthentication

Mit dieser Richtlinieneinstellung können Sie verwalten, ob der Windows-Remoteverwaltungsclient (WinRM) die Digestauthentifizierung verwendet.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, verwendet der WinRM-Client keine Digestauthentifizierung.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet der WinRM-Client die Digestauthentifizierung.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name DisallowDigest
Anzeigename Digestauthentifizierung nicht zulassen
Pfad Computerkonfiguration
Pfad Windows-Komponenten > WinRM-Client (Windows Remote Management, WinRM) >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\WinRM\Client
Registrierungswertname AllowDigest
ADMX-Dateiname WindowsRemoteManagement.admx

DisallowNegotiateAuthenticationClient

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/RemoteManagement/DisallowNegotiateAuthenticationClient

Mit dieser Richtlinieneinstellung können Sie verwalten, ob der Windows-Remoteverwaltungsclient (WinRM) die Aushandlungsauthentifizierung verwendet.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, verwendet der WinRM-Client keine Aushandlungsauthentifizierung.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet der WinRM-Client aushandeln die Authentifizierung.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name DisallowNegotiate_2
Anzeigename Aushandeln der Authentifizierung nicht zulassen
Pfad Computerkonfiguration
Pfad Windows-Komponenten > WinRM-Client (Windows Remote Management, WinRM) >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\WinRM\Client
Registrierungswertname AllowNegotiate
ADMX-Dateiname WindowsRemoteManagement.admx

DisallowNegotiateAuthenticationService

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/RemoteManagement/DisallowNegotiateAuthenticationService

Mit dieser Richtlinieneinstellung können Sie verwalten, ob der Windows-Remoteverwaltungsdienst (WinRM) die Aushandlungsauthentifizierung von einem Remoteclient akzeptiert.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, akzeptiert der WinRM-Dienst keine Aushandlungsauthentifizierung von einem Remoteclient.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, akzeptiert der WinRM-Dienst aushandeln die Authentifizierung von einem Remoteclient.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name DisallowNegotiate_1
Anzeigename Aushandeln der Authentifizierung nicht zulassen
Pfad Computerkonfiguration
Pfad Windows-Komponenten > WinRM-Dienst (Windows Remote Management, Windows Remote Management, WinRM) >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\WinRM\Service
Registrierungswertname AllowNegotiate
ADMX-Dateiname WindowsRemoteManagement.admx

DisallowStoringOfRunAsCredentials

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/RemoteManagement/DisallowStoringOfRunAsCredentials

Mit dieser Richtlinieneinstellung können Sie verwalten, ob der Windows-Remoteverwaltungsdienst (WinRM) nicht zulässt, dass RunAs-Anmeldeinformationen für Plug-Ins gespeichert werden.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, lässt der WinRM-Dienst nicht zu, dass die RunAsUser- oder RunAsPassword-Konfigurationswerte für Plug-Ins festgelegt werden. Wenn ein Plug-In bereits die Konfigurationswerte RunAsUser und RunAsPassword festgelegt hat, wird der RunAsPassword-Konfigurationswert aus dem Anmeldeinformationsspeicher auf diesem Computer gelöscht.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, lässt der WinRM-Dienst zu, dass die RunAsUser- und RunAsPassword-Konfigurationswerte für Plug-Ins festgelegt werden, und der RunAsPassword-Wert wird sicher gespeichert.

Wenn Sie diese Richtlinieneinstellung aktivieren und dann deaktivieren, müssen alle Werte, die zuvor für RunAsPassword konfiguriert wurden, zurückgesetzt werden.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name DisableRunAs
Anzeigename WinRM das Speichern von RunAs-Anmeldeinformationen nicht zulassen
Pfad Computerkonfiguration
Pfad Windows-Komponenten > WinRM-Dienst (Windows Remote Management, Windows Remote Management, WinRM) >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\WinRM\Service
Registrierungswertname DisableRunAs
ADMX-Dateiname WindowsRemoteManagement.admx

SpecifyChannelBindingTokenHardeningLevel

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/RemoteManagement/SpecifyChannelBindingTokenHardeningLevel

Mit dieser Richtlinieneinstellung können Sie die Härtungsebene des Windows-Remoteverwaltungsdiensts (WinRM) in Bezug auf Kanalbindungstoken festlegen.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, verwendet der WinRM-Dienst die in HardeningLevel angegebene Ebene, um basierend auf einem bereitgestellten Kanalbindungstoken zu bestimmen, ob eine empfangene Anforderung akzeptiert werden soll.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Sie die Härtungsebene lokal auf jedem Computer konfigurieren.

Wenn HardeningLevel auf Strict festgelegt ist, wird jede Anforderung, die kein gültiges Kanalbindungstoken enthält, abgelehnt.

Wenn HardeningLevel auf Relaxed (Standardwert) festgelegt ist, wird jede Anforderung, die ein ungültiges Kanalbindungstoken enthält, abgelehnt. Eine Anforderung, die kein Kanalbindungstoken enthält, wird jedoch akzeptiert (obwohl sie nicht vor Angriffen zur Weiterleitung von Anmeldeinformationen geschützt ist).

Wenn HardeningLevel auf Keine festgelegt ist, werden alle Anforderungen akzeptiert (obwohl sie nicht vor Angriffen zur Weiterleitung von Anmeldeinformationen geschützt sind).

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name CBTHardeningLevel_1
Anzeigename Angeben der Härtungsebene des Kanalbindungstokens
Pfad Computerkonfiguration
Pfad Windows-Komponenten > WinRM-Dienst (Windows Remote Management, Windows Remote Management, WinRM) >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\WinRM\Service
Registrierungswertname CBTHardeningLevelStatus
ADMX-Dateiname WindowsRemoteManagement.admx

TrustedHosts

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/RemoteManagement/TrustedHosts

Mit dieser Richtlinieneinstellung können Sie festlegen, ob der Windows-Remoteverwaltungsclient (WinRM) die in TrustedHostsList angegebene Liste verwendet, um zu bestimmen, ob der Zielhost eine vertrauenswürdige Entität ist.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, verwendet der WinRM-Client die in TrustedHostsList angegebene Liste, um zu bestimmen, ob der Zielhost eine vertrauenswürdige Entität ist. Der WinRM-Client verwendet diese Liste, wenn weder HTTPS noch Kerberos zum Authentifizieren der Identität des Hosts verwendet werden.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren und der WinRM-Client die Liste der vertrauenswürdigen Hosts verwenden muss, müssen Sie die Liste der vertrauenswürdigen Hosts lokal auf jedem Computer konfigurieren.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name TrustedHosts
Anzeigename Vertrauenswürdige Hosts
Pfad Computerkonfiguration
Pfad Windows-Komponenten > WinRM-Client (Windows Remote Management, WinRM) >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\WinRM\Client
Registrierungswertname TrustedHosts
ADMX-Dateiname WindowsRemoteManagement.admx

TurnOnCompatibilityHTTPListener

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/RemoteManagement/TurnOnCompatibilityHTTPListener

Diese Richtlinieneinstellung aktiviert oder deaktiviert einen HTTP-Listener, der aus Gründen der Abwärtskompatibilität im Windows-Remoteverwaltungsdienst (WinRM) erstellt wurde.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, wird der HTTP-Listener immer angezeigt.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird der HTTP-Listener nie angezeigt.

Wenn bestimmte Port 80-Listener zu WinRM 2.0 migriert werden, ändert sich die Nummer des Listenersports in 5985.

Möglicherweise wird automatisch ein Listener an Port 80 erstellt, um die Abwärtskompatibilität sicherzustellen.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name HttpCompatibilityListener
Anzeigename Aktivieren des KOMPATIBILITÄTS-HTTP-Listeners
Pfad Computerkonfiguration
Pfad Windows-Komponenten > WinRM-Dienst (Windows Remote Management, Windows Remote Management, WinRM) >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\WinRM\Service
Registrierungswertname HttpCompatibilityListener
ADMX-Dateiname WindowsRemoteManagement.admx

TurnOnCompatibilityHTTPSListener

Bereich Editionen Anwendbares Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Bildung
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, Version 1709 [10.0.16299] und höher
./Device/Vendor/MSFT/Policy/Config/RemoteManagement/TurnOnCompatibilityHTTPSListener

Diese Richtlinieneinstellung aktiviert oder deaktiviert einen HTTPS-Listener, der aus Gründen der Abwärtskompatibilität im Windows-Remoteverwaltungsdienst (WinRM) erstellt wurde.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, wird der HTTPS-Listener immer angezeigt.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird der HTTPS-Listener nie angezeigt.

Wenn bestimmte Port 443-Listener zu WinRM 2.0 migriert werden, ändert sich die Nummer des Listenersports in 5986.

Möglicherweise wird automatisch ein Listener an Port 443 erstellt, um die Abwärtskompatibilität sicherzustellen.

Eigenschaften des Beschreibungsframeworks:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name HttpsCompatibilityListener
Anzeigename Aktivieren des Kompatibilitäts-HTTPS-Listeners
Pfad Computerkonfiguration
Pfad Windows-Komponenten > WinRM-Dienst (Windows Remote Management, Windows Remote Management, WinRM) >
Registrierungsschlüsselname Software\Policies\Microsoft\Windows\WinRM\Service
Registrierungswertname HttpsCompatibilityListener
ADMX-Dateiname WindowsRemoteManagement.admx

Dienstanbieter für die Richtlinienkonfiguration