Autentikasi untuk Sambungan Jarak Jauh
Windows Remote Management menjaga keamanan untuk komunikasi antar komputer dengan mendukung beberapa metode standar autentikasi dan enkripsi pesan.
Akses Grup Default
Selama penyiapan, WinRM membuat grup lokal WinRMRemoteWMIUsers__. WinRM kemudian membatasi akses jarak jauh ke pengguna mana pun yang bukan anggota grup administrasi lokal atau grup WinRMRemoteWMIUsers__ . Anda dapat menambahkan pengguna lokal, pengguna domain, atau grup domain ke WinRMRemoteWMIUsers__ dengan mengetik grup lokal net WinRMRemoteWMIUsers__ /add <domain>\<username> di prompt perintah. Secara opsional, Anda dapat menggunakan Kebijakan Grup untuk menambahkan pengguna ke grup.
Pengaturan Autentikasi Default
Kredensial default, nama pengguna, dan kata sandi, adalah kredensial untuk akun pengguna yang masuk yang menjalankan skrip.
Untuk mengubah ke akun lain pada komputer jarak jauh
- Tentukan kredensial dalam objek ConnectionOptions atau IWSManConnectionOptions dan berikan ke panggilan CreateSession .
- Atur WSManFlagCredUserNamePassword di parameter bendera dalam panggilan CreateSession .
Daftar berikut berisi daftar apa yang terjadi saat skrip atau aplikasi berjalan di bawah kredensial default:
- Kerberos adalah metode autentikasi default ketika klien berada di domain dan string tujuan jarak jauh bukan salah satu dari yang berikut: localhost, 127.0.0.1, atau [::1].
- Negosiasi adalah metode default ketika klien tidak berada di domain, tetapi string tujuan jarak jauh adalah salah satu dari yang berikut: localhost, 127.0.0.1, atau [::1].
Jika Anda memberikan kredensial eksplisit dengan objek ConnectionOptions , Negosiasi adalah metode default. Negosiasi autentikasi menentukan apakah metode autentikasi yang sedang berlangsung adalah Kerberos atau NTLM, tergantung pada apakah komputer berada di domain atau grup kerja. Jika menyambungkan ke komputer target jarak jauh menggunakan akun lokal, maka akun harus diawali dengan nama komputer. Misalnya, myComputer\myUsername.
Jika Anda menentukan Negosiasi, Hash, atau Autentikasi dasar dan gagal menyediakan objek ConnectionOptions , maka Anda akan menerima kesalahan yang menunjukkan bahwa kredensial eksplisit diperlukan. Jika HTTPS bukan transportasi, komputer jarak jauh target harus dikonfigurasi dalam daftar komputer host tepercaya.
Untuk informasi selengkapnya tentang jenis autentikasi yang diaktifkan di pengaturan konfigurasi default, lihat Penginstalan dan Konfigurasi untuk Manajemen Jarak Jauh Windows.
Autentikasi Dasar
Untuk secara eksplisit membuat autentikasi Dasar dalam panggilan ke WSMan.CreateSession, atur bendera WSManFlagUseBasic dan WSManFlagCredUserNamePassword dalam parameter bendera . Autentikasi dasar dinonaktifkan dalam pengaturan konfigurasi default untuk klien WinRM dan server WinRM.
Autentikasi Hash
Untuk secara eksplisit membuat autentikasi Digest dalam panggilan ke WSMan.CreateSession, atur bendera WSManFlagUseDigest di parameter bendera . Hash tidak didukung. Ini tidak dapat dikonfigurasi, untuk komponen server WinRM.
Negosiasikan Autentikasi
Untuk secara eksplisit membuat autentikasi Negosiasi , juga dikenal sebagai Autentikasi Terintegrasi Windows, dalam panggilan ke WSMan.CreateSession, atur bendera WSManFlagUseNegotiate di parameter bendera .
Kontrol Akun Pengguna (UAC) memengaruhi akses ke layanan WinRM. Saat Negosiasi autentikasi digunakan dalam grup kerja, hanya akun Administrator bawaan yang dapat mengakses layanan. Untuk mengizinkan semua akun di grup Administrator mengakses layanan, atur nilai registri berikut:
\ HKEY_LOCAL_MACHINE PERANGKAT LUNAK\Microsoft\Windows\CurrentVersion\Kebijakan\Sistem\LocalAccountTokenFilterPolicy = 1
Autentikasi Kerberos
Untuk secara eksplisit membuat autentikasi Kerberos dalam panggilan ke WSMan.CreateSession, atur bendera WSManFlagUseKerberos di parameter bendera . Komputer klien dan server harus digabungkan ke domain. Jika Anda menggunakan Kerberos sebagai metode autentikasi, Anda tidak dapat menggunakan alamat IP dalam panggilan ke WSMan.CreateSession atau IWSMan::CreateSession.
Autentikasi Berbasis Sertifikat Klien
Untuk membuat autentikasi berbasis sertifikat klien dalam panggilan ke WSMan.CreateSession, atur bendera WSManFlagUseClientCertificate di parameter bendera .
Anda harus terlebih dahulu mengaktifkan autentikasi sertifikat pada klien dan layanan dengan menggunakan alat baris perintah Winrm. Untuk informasi selengkapnya, lihat Mengaktifkan Opsi Autentikasi. Anda juga harus membuat entri di tabel CertMapping di komputer server WinRM. Ini menetapkan pemetaan antara satu atau beberapa sertifikat dan akun lokal. Setelah sertifikat digunakan untuk autentikasi dan otorisasi, akun lokal yang sesuai digunakan untuk operasi yang dilakukan oleh layanan WinRM.
Pemetaan dapat dibuat untuk URI sumber daya tertentu. Untuk mempelajari lebih lanjut, termasuk cara membuat entri tabel CertMapping, ketik winrm help certmapping di prompt perintah.
Catatan
Sertifikat ukuran maksimum yang dapat digunakan oleh WinRM dalam konteks ini adalah 16KB.
Mengaktifkan atau Menonaktifkan Opsi Autentikasi
Opsi autentikasi default pada penginstalan sistem adalah Kerberos. Untuk informasi selengkapnya, lihat Penginstalan dan Konfigurasi untuk Manajemen Jarak Jauh Windows.
Jika skrip atau aplikasi Anda memerlukan metode autentikasi tertentu yang tidak diaktifkan, Anda harus mengubah konfigurasi untuk mengaktifkan jenis autentikasi ini. Perubahan ini dapat dilakukan menggunakan alat baris perintah Winrm atau melalui Kebijakan Grup untuk Windows Remote Management Kebijakan Grup Object. Anda juga dapat memilih untuk menonaktifkan metode autentikasi tertentu.
Untuk mengaktifkan atau menonaktifkan autentikasi dengan alat Winrm
Untuk mengatur konfigurasi untuk klien WinRM, gunakan perintah Winrm Set dan tentukan klien. Misalnya, perintah berikut menonaktifkan autentikasi hash untuk klien.
winrm set winrm/config/client/auth @{Digest="false"}
Untuk mengatur konfigurasi untuk server WinRM, gunakan perintah Winrm Set dan tentukan layanan. Misalnya, perintah berikut mengaktifkan autentikasi Kerberos untuk layanan.
winrm set winrm/config/service/auth @{Kerberos="true"}
Topik terkait
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk