Authentification pour les connexions à distance
Windows Remote Management maintient la sécurité de la communication entre les ordinateurs en prenant en charge plusieurs méthodes standard d’authentification et de chiffrement des messages.
Accès au groupe par défaut
Pendant l’installation, WinRM crée le groupe local WinRMRemoteWMIUsers__. WinRM limite ensuite l’accès à distance à tout utilisateur qui n’est pas membre du groupe d’administration local ou du groupe WinRMRemoteWMIUsers__ . Vous pouvez ajouter un utilisateur local, un utilisateur de domaine ou un groupe de domaines à WinRMRemoteWMIUsers__ en tapant net localgroup WinRMRemoteWMIUsers__ /add <domain>\<username> à l’invite de commandes. Si vous le souhaitez, vous pouvez utiliser le stratégie de groupe pour ajouter un utilisateur au groupe.
Paramètres d’authentification par défaut
Les informations d’identification par défaut, le nom d’utilisateur et le mot de passe sont les informations d’identification du compte d’utilisateur connecté qui exécute le script.
Pour passer à un autre compte sur un ordinateur distant
- Spécifiez les informations d’identification dans un objet ConnectionOptions ou IWSManConnectionOptions et fournissez-les à l’appel CreateSession .
- Définissez le mot WSManFlagCredUserNamePassword dans le paramètre flags de l’appel CreateSession .
La liste suivante contient une liste de ce qui se produit lorsqu’un script ou une application s’exécute sous les informations d’identification par défaut :
- Kerberos est la méthode d’authentification par défaut lorsque le client se trouve dans un domaine et que la chaîne de destination distante n’est pas l’une des méthodes suivantes : localhost, 127.0.0.1 ou [::1].
- Negotiate est la méthode par défaut lorsque le client n’est pas dans un domaine, mais que la chaîne de destination distante est l’une des suivantes : localhost, 127.0.0.1 ou [::1].
Si vous fournissez des informations d’identification explicites avec un objet ConnectionOptions , Negotiate est la méthode par défaut. Negotiate authentication détermine si la méthode d’authentification en cours est Kerberos ou NTLM, selon que les ordinateurs se trouvent dans un domaine ou un groupe de travail. Si vous vous connectez à un ordinateur cible distant à l’aide d’un compte local, le compte doit être précédé du nom de l’ordinateur. Par exemple, myComputer\myUsername.
Si vous spécifiez Negotiate, Digest ou l’authentification de base et que vous ne parvenez pas à fournir un objet ConnectionOptions , vous recevez une erreur indiquant que des informations d’identification explicites sont requises. Si HTTPS n’est pas le transport, l’ordinateur distant cible doit être configuré dans la liste des ordinateurs hôtes approuvés.
Pour plus d’informations sur les types d’authentification activés dans les paramètres de configuration par défaut, consultez Installation et configuration pour la gestion à distance de Windows.
Authentification de base
Pour établir explicitement l’authentification de base dans l’appel à WSMan.CreateSession, définissez les indicateurs WSManFlagUseBasic et WSManFlagCredUserNamePassword dans le paramètre flags . L’authentification de base est désactivée dans les paramètres de configuration par défaut pour le client WinRM et le serveur WinRM.
Authentification Digest
Pour établir explicitement l’authentification Digest dans l’appel à WSMan.CreateSession, définissez l’indicateur WSManFlagUseDigest dans le paramètre flags . Digest n’est pas pris en charge. Il ne peut pas être configuré pour le composant serveur WinRM.
Négocier l’authentification
Pour établir explicitement l’authentification Negotiate , également appelée Authentification intégrée Windows, dans l’appel à WSMan.CreateSession, définissez l’indicateur WSManFlagUseNegotiate dans le paramètre flags .
Le contrôle de compte d’utilisateur (UAC) affecte l’accès au service WinRM. Lorsque l’authentification Negotiate est utilisée dans un groupe de travail, seul le compte Administrateur intégré peut accéder au service. Pour autoriser tous les comptes du groupe Administrateurs à accéder au service, définissez la valeur de Registre suivante :
HKEY_LOCAL_MACHINE\LOGICIEL\Microsoft\Windows\Currentversion\Politiques\Système\LocalAccountTokenFilterPolicy = 1
Authentification Kerberos
Pour établir explicitement l’authentification Kerberos dans l’appel à WSMan.CreateSession, définissez l’indicateur WSManFlagUseKerberos dans le paramètre flags . Les ordinateurs client et serveur doivent être joints à un domaine. Si vous utilisez Kerberos comme méthode d’authentification, vous ne pouvez pas utiliser d’adresse IP dans l’appel à WSMan.CreateSession ou IWSMan::CreateSession.
Authentification basée sur un certificat client
Pour établir l’authentification basée sur un certificat client dans l’appel à WSMan.CreateSession, définissez l’indicateur WSManFlagUseClientCertificate dans le paramètre flags .
Vous devez d’abord activer l’authentification par certificat sur le client et le service à l’aide de l’outil en ligne de commande Winrm. Pour plus d’informations, consultez Activation des options d’authentification. Vous devez également créer une entrée dans la table CertMapping sur l’ordinateur serveur WinRM. Cela établit un mappage entre un ou plusieurs certificats et un compte local. Une fois le certificat utilisé pour l’authentification et l’autorisation, le compte local correspondant est utilisé pour les opérations effectuées par le service WinRM.
Le mappage peut être créé pour un URI de ressource spécifique. Pour en savoir plus, notamment sur la création d’une entrée de table CertMapping, tapez winrm help certmapping à l’invite de commandes.
Notes
La taille maximale du certificat utilisable par WinRM dans ce contexte est de 16 Ko.
Activation ou désactivation des options d’authentification
L’option d’authentification par défaut lors de l’installation du système est Kerberos. Pour plus d’informations, consultez Installation et configuration pour Windows Remote Management.
Si votre script ou votre application nécessite une méthode d’authentification spécifique qui n’est pas activée, vous devez modifier la configuration pour activer ce type d’authentification. Cette modification peut être effectuée à l’aide de l’outil en ligne de commande Winrm ou via stratégie de groupe pour l’objet stratégie de groupe de gestion à distance Windows. Vous pouvez également choisir de désactiver certaines méthodes d’authentification.
Pour activer ou désactiver l’authentification avec l’outil Winrm
Pour définir la configuration du client WinRM, utilisez la commande Winrm Set et spécifiez le client. Par exemple, la commande suivante désactive l’authentification digest pour le client.
winrm set winrm/config/client/auth @{Digest="false"}
Pour définir la configuration du serveur WinRM, utilisez la commande Winrm Set et spécifiez le service. Par exemple, la commande suivante active l’authentification Kerberos pour le service.
winrm set winrm/config/service/auth @{Kerberos="true"}
Rubriques connexes
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour