Instalação e configuração para Gerenciamento Remoto do Windows

Para que os scripts do WinRM (Gerenciamento Remoto do Windows) sejam executados e para que a ferramenta de linha de comando do Winrm execute operações de dados, o WinRM deve ser instalado e configurado.

Esses elementos também dependem da configuração do WinRM.

• A ferramenta de linha de comando do Windows Remote Shell, Winrs.
• Encaminhamento de Eventos.
• Comunicação remota do Windows PowerShell 2.0.

O local de instalação do WinRM

O WinRM é instalado automaticamente com todas as versões atualmente suportadas do sistema operacional Windows.

Configuração do WinRM e IPMI

Esses componentes do provedor WMI IPMI (Interface de Gerenciamento de Plataforma Inteligente e WinRM são instalados com o sistema operacional.

• O serviço WinRM é iniciado automaticamente no Windows Server 2008 e posterior. Em versões anteriores do Windows (cliente ou servidor), você precisa iniciar o serviço manualmente.
• Por padrão, nenhum ouvinte WinRM é configurado. Mesmo que o serviço WinRM esteja em execução, as mensagens do protocolo WS-Management que solicitam dados não podem ser recebidas ou enviadas.
• O Firewall de Conexão com a Internet (ICF) bloqueia o acesso às portas.

Use o winrm comando para localizar ouvintes e os endereços digitando o comando a seguir em um prompt de comando.

winrm enumerate winrm/config/listener

Para verificar o estado das definições de configuração, digite o comando a seguir.

winrm get winrm/config

Configuração padrão rápida

Habilite o protocolo WS-Management no computador local e defina a configuração padrão para gerenciamento remoto com o comando winrm quickconfig.

O winrm quickconfig comando (que pode ser abreviado para winrm qc) executa estas operações:

• Inicia o serviço WinRM e define o tipo de inicialização do serviço como inicialização automática.
• Configura um listener para as portas que enviam e recebem mensagens do protocolo WS-Management usando HTTP ou HTTPS em qualquer endereço IP.
• Define exceções ICF para o serviço WinRM e abre as portas para HTTP e HTTPS.

Observação

O comando winrm quickconfig cria uma exceção de firewall apenas para o perfil de usuário atual. Se o perfil do firewall for alterado por qualquer motivo, execute winrm quickconfig para habilitar a exceção de firewall para o novo perfil (caso contrário, a exceção pode não ser habilitada).

Para recuperar informações sobre como personalizar uma configuração, digite o comando a seguir em um prompt de comando.

winrm help config

Para configurar o WinRM com configurações padrão

1. Em um prompt de comando em execução como a conta de administrador do computador local, execute este comando:

   winrm quickconfig
   

   Se você não estiver executando como administrador do computador local, selecione Executar como administrador no menu Iniciar ou use o Runas comando em um prompt de comando.

2. Quando a ferramenta exibir Fazer essas alterações [s/n]?, digite y.

   Se a configuração for bem-sucedida, a saída a seguir será exibida.

   WinRM has been updated for remote management.
   
   WinRM service type changed to delayed auto start.
   WinRM service started.
   Created a WinRM listener on https://* to accept WS-Man requests to any IP on this machine.
   

3. Mantenha as configurações padrão para componentes de cliente e servidor do WinRM ou personalize-as. Por exemplo, talvez seja necessário adicionar determinados computadores remotos à lista de configuração TrustedHosts do cliente.

   Configure uma lista de hosts confiáveis quando a autenticação mútua não puder ser estabelecida. O Kerberos permite autenticação mútua, mas não pode ser usado em grupos de trabalho; apenas domínios. Uma prática recomendada ao configurar hosts confiáveis para um grupo de trabalho é tornar a lista o mais restrita possível.

4. Crie um ouvinte HTTPS digitando o seguinte comando:

   winrm quickconfig -transport:https
   

   Observação

   Abra a porta 5986 para que o transporte HTTPS funcione.

Configurações padrão do ouvinte e do protocolo WS-Management

Para obter a configuração do ouvinte, digite winrm enumerate winrm/config/listener em um prompt de comando. Os ouvintes são definidos por um transporte (HTTP ou HTTPS) e um endereço IPv4 ou IPv6.

O comando winrm quickconfig cria as seguintes configurações padrão para um ouvinte. Você pode criar mais de um ouvinte. Para obter mais informações, digite winrm help config em um prompt de comando.

Address

Especifica o endereço para o qual este ouvinte está sendo criado.

Transporte

Especifica o transporte a ser usado para enviar e receber respostas e solicitações do protocolo WS-Management. O valor deve ser HTTP ou HTTPS. O padrão é HTTP.

Porta

Especifica a porta TCP para a qual este ouvinte é criado.

WinRM 2.0: a porta HTTP padrão é 5985.

Nome do host

Especifica o nome do host do computador no qual o serviço WinRM está sendo executado. O valor deve ser um nome de domínio totalmente qualificado, uma cadeia de caracteres literal IPv4 ou IPv6 ou um caractere curinga.

Enabled

Especifica se o ouvinte está habilitado ou desabilitado. O valor padrão é True.

URLPrefix

Especifica um prefixo de URL no qual aceitar solicitações HTTP ou HTTPS. Essa cadeia de caracteres contém apenas os caracteres a-z, A-Z, 9-0, sublinhado (_) e barra (/). A cadeia de caracteres não deve começar ou terminar com uma barra (/). Por exemplo, se o nome do computador for SampleMachine, o cliente WinRM especificará https://SampleMachine/<URLPrefix> no endereço de destino. O prefixo de URL padrão é wsman.

CertificateThumbprint

Especifica a impressão digital do certificado de serviço. Esse valor representa uma cadeia de caracteres de valores hexadecimais de dois dígitos encontrados no campo Impressão digital do certificado. Esta cadeia de caracteres que contém o hash SHA-1 do certificado. Os certificados são utilizados na autenticação baseada em certificado do cliente. Os certificados podem ser mapeados apenas para contas de usuário locais. Eles não funcionam com contas de domínio.

ListeningOn

Especifica os endereços IPv4 e IPv6 que o ouvinte usa. Por exemplo: 111.0.0.1, 111.222.333.444, ::1, 1000:2000:2c:3:c19:9ec8:a715:5e24, 3ffe:8311:ffff:f70f:0:5efe:111.222.333.444, fe80::5efe:111.222.333.444%8, fe80::c19:9ec8:a715:5e24%6.

Configurações padrão do protocolo

Muitas das definições de configuração, como MaxEnvelopeSizekb ou SoapTraceEnabled, determinam como os componentes do cliente e do servidor do WinRM interagem com o protocolo WS-Management. As seções a seguir descrevem as definições de configuração disponíveis.

MaxEnvelopeSizekb

Especifica o máximo de dados SOAP (Simple Object Access Protocol) em kilobytes. O padrão é 150 quilobytes.

Observação

O comportamento não terá suporte se MaxEnvelopeSizekb estiver definido como um valor maior que 1039440.

MaxTimeoutms

Especifica o tempo limite máximo em milissegundos que pode ser usado para qualquer solicitação que não seja solicitações Pull. O padrão é 60000.

MaxBatchItems

Especifica o número máximo de elementos que podem ser usados em uma resposta Pull. O padrão é 32000.

MaxProviderRequests

Especifica o número máximo de solicitações simultâneas permitido pelo serviço. O padrão é 25.

WinRM 2.0: essa configuração foi preterida e está definida como somente leitura.

Definições de configuração padrão do cliente WinRM

A versão do cliente do WinRM tem as seguintes definições de configuração padrão.

NetworkDelayms

Especifica o tempo extra, em milissegundos, que o computador cliente aguarda para acomodar o tempo de atraso de rede. O padrão é 5000 milissegundos.

URLPrefix

Especifica um prefixo de URL no qual aceitar solicitações HTTP ou HTTPS. O prefixo de URL padrão é wsman.

AllowUnencrypted

Permite que o computador cliente solicite tráfego não criptografado. Por padrão, o computador cliente requer tráfego de rede criptografado e essa configuração é False.

Basic

Permite que o computador cliente use a autenticação básica. A autenticação básica é um esquema no qual o nome de usuário e a senha são enviados em texto não criptografado para o servidor ou proxy. Esse método é o método menos seguro de autenticação. O padrão é True.

Digest

Permite que o cliente use a autenticação Digest. É um esquema de desafio/resposta de autenticação que utiliza uma cadeia de caracteres de dados do servidor especificado para o desafio. Apenas o computador cliente pode iniciar uma solicitação de autenticação Digest.

O computador cliente envia uma solicitação ao servidor para autenticar e recebe uma cadeia de caracteres de token do servidor. Em seguida, o computador cliente envia a solicitação de recurso, incluindo o nome de usuário e um hash criptográfico da senha combinada com a cadeia de caracteres de token.

A autenticação Digest tem suporte para HTTP e HTTPS. Os scripts e aplicativos de cliente do Shell do WinRM podem especificar a autenticação Digest, mas o serviço WinRM não aceita a autenticação Digest. O padrão é True.

Observação

A autenticação Digest por HTTP não é considerada segura.

Certificado

Permite que o cliente use autenticação baseada em certificado de cliente. A autenticação baseada em certificado é um esquema no qual o servidor autentica um cliente identificado por um certificado X509. O padrão é True.

Kerberos

Permite que o cliente use a autenticação Kerberos. A autenticação Kerberos é um esquema no qual o cliente e o servidor autenticam mutuamente usando certificados Kerberos. O padrão é True.

Negotiate

Permite que o cliente use a autenticação Negotiate. Negociar a autenticação é um esquema no qual o cliente envia uma solicitação ao servidor para autenticar.

O servidor determina se deve usar o protocolo Kerberos ou NT LAN Manager (NTLM). O protocolo Kerberos é selecionado para autenticar uma conta de domínio. O NTLM é selecionado para contas de computador local. O nome de usuário deve ser especificado no formato domínio\user_name para um usuário de domínio. O nome de usuário deve ser especificado no formato server_name\user_name para um usuário local em um computador servidor. O padrão é True.

CredSSP

Permite que o cliente use o CredSSP (Credential Security Support Provider) para autenticação. O CredSSP permite que um aplicativo delegue as credenciais do usuário do computador cliente para o servidor de destino. O padrão é False.

DefaultPorts

Especifica as portas que o cliente usa para HTTP ou HTTPS.

WinRM 2.0: a porta HTTP padrão é 5985 e a porta HTTPS padrão é 5986.

TrustedHosts

Especifica a lista de computadores remotos confiáveis. Outros computadores em um grupo de trabalho ou computadores em um domínio diferente devem ser adicionados a essa lista.

Observação

Os computadores na lista de hosts confiáveis não são autenticados. O cliente pode enviar informações de credencial para esses computadores.

Se um endereço IPv6 for especificado para um host confiável, o endereço deverá ser colocado entre colchetes, conforme demonstrado pelo seguinte comando de utilitárioWinrm:

winrm set winrm/config/client '@{TrustedHosts ="[0:0:0:0:0:0:0:0]"}'

Para obter mais informações sobre como adicionar computadores à TrustedHosts lista, digite winrm help config.

Definições de configuração padrão do serviço WinRM

A versão de serviço do WinRM tem as seguintes definições de configuração padrão.

RootSDDL

Especifica o descritor de segurança que controla o acesso remoto ao ouvinte. O padrão é O:NSG:BAD:P(A;;GA;;;BA)(A;;GR;;;ER)S:P(AU;FA;GA;;;WD)(AU;SA;GWGX;;;WD).

MaxConcurrentOperations

O número máximo de operações simultâneas. O padrão é 100.

WinRM 2.0: A configuração MaxConcurrentOperations está obsoleta e definida como somente leitura. Essa configuração foi substituída por MaxConcurrentOperationsPerUser.

MaxConcurrentOperationsPerUser

Especifica o número máximo de operações simultâneas que qualquer usuário pode abrir remotamente no mesmo sistema. O padrão é 1500.

EnumerationTimeoutms

Especifica o tempo limite ocioso em milissegundos entre as mensagens Pull. O padrão é 60000.

MaxConnections

Especifica o número máximo de solicitações ativas que o serviço pode processar simultaneamente. O padrão é 300.

WinRM 2.0: o padrão é 25.

MaxPacketRetrievalTimeSeconds

Especifica o tempo máximo em segundos que o serviço WinRM leva para recuperar um pacote. O padrão é 120 segundos.

AllowUnencrypted

Permite que o computador cliente solicite tráfego não criptografado. O padrão é False.

Basic

Permite que o serviço WinRM use a autenticação básica. O padrão é False.

Certificado

Permite que o serviço WinRM use a autenticação baseada em certificado do cliente. O padrão é False.

Kerberos

Permite que o serviço WinRM use a autenticação Kerberos. O padrão é True.

Negotiate

Permite que o serviço WinRM use a autenticação Negotiate. O padrão é True.

CredSSP

Permite que o serviço WinRM use o CredSSP (Credential Security Support Provider) para autenticação. O padrão é False.

CbtHardeningLevel

Define a política para requisitos de token de associação de canal em solicitações de autenticação. O padrão é Relaxed.

DefaultPorts

Especifica as portas que o serviço WinRM usa para HTTP ou HTTPS.

WinRM 2.0: a porta HTTP padrão é 5985. A porta HTTPS padrão é 5986.

IPv4Filter e IPv6Filter

Especifica os endereços IPv4 ou IPv6 que os ouvintes podem usar. Os padrões são IPv4Filter = * e IPv6Filter = *.

• IPv4: uma cadeia de caracteres literal IPv4 consiste em quatro números decimais pontilhados, cada um no intervalo de 0 a 255. Por exemplo: 192.168.0.0.
• IPv6: uma cadeia de caracteres literal IPv6 é colocada entre colchetes e contém números hexadecimais separados por dois-pontos. Por exemplo: [::1] ou [3ffe:ffff::6ECB:0101].

EnableCompatibilityHttpListener

Especifica se o ouvinte HTTP de compatibilidade está ativado. Se essa configuração for True, o ouvinte escutará na porta 80, além da porta 5985. O padrão é False.

EnableCompatibilityHttpsListener

Especifica se o ouvinte HTTPS de compatibilidade está habilitado. Se essa configuração for True, o ouvinte escutará na porta 443, além da porta 5986. O padrão é False.

Definições da configurações padrão do Winrs

O comando winrm quickconfig também define as configurações padrão do Winrs.

AllowRemoteShellAccess

Permite o acesso a shells remotos. Se você definir esse parâmetro como False, o servidor rejeitará novas conexões de shell remoto pelo servidor. O padrão é True.

IdleTimeout

Especifica o tempo máximo, em milissegundos, que o shell remoto permanece aberto quando não houver nenhuma atividade de usuário no shell remoto. O shell remoto é excluído após esse tempo.

WinRM 2.0: o padrão é 180000. O valor mínimo é 60000. Definir esse valor abaixo de 60000 não tem efeito sobre o comportamento de tempo limite.

MaxConcurrentUsers

Especifica o número máximo de usuários que podem executar simultaneamente operações remotas no mesmo computador por meio de um shell remoto. Se novas conexões de shell remoto excederem o limite, o computador as rejeitará. O padrão é 5.

MaxShellRunTime

Especifica o tempo máximo em milissegundos que o comando ou script remoto pode ser executado. O padrão é 28800000.

WinRM 2.0: a configuração MaxShellRunTime é definida como somente leitura. Alterar o valor para MaxShellRunTime não tem efeito sobre os shells remotos.

MaxProcessesPerShell

Especifica o número máximo de processos que qualquer operação de shell tem permissão para iniciar. Um valor 0 permite um número ilimitado de processos. O padrão é 15.

MaxMemoryPerShellMB

Especifica a quantidade máxima de memória alocada por shell, incluindo os processos filho do shell. O padrão é 150 MB.

MaxShellsPerUser

Especifica o número máximo de shells simultâneos que qualquer usuário pode abrir remotamente no mesmo computador. Se essa configuração de política estiver habilitada, o usuário não poderá abrir novos shells remotos se a contagem exceder o limite especificado. Se essa configuração de política estiver desabilitada ou não estiver configurada, o limite será definido como cinco shells remotos por usuário por padrão.

Configurar WinRM com uma Política de Grupo

Use o editor de Política de Grupo para configurar o Shell Remoto do Windows e o WinRM para computadores em sua empresa.

Para configurar com a Política de grupo:

1. Abra uma janela de Prompt de comando como administrador.
2. No prompt de comando, digite gpedit.msc. A janela Editor de Objeto de Política de Grupo será aberta.
3. Encontre Windows Remote Management e Windows Remote Shell Group Policy Objects (GPO) em Computer Configuration\Administrative Templates\Windows Components.
4. Na guia Extended, selecione uma configuração para ver uma descrição. Clique duas vezes em uma configuração para editá-la.

Portas do Firewall do Windows e do WinRM 2.0

A partir do WinRM 2.0, as portas de ouvinte padrão configuradas por Winrm quickconfig são a porta 5985 para transporte HTTP e a porta 5986 para HTTPS. Os ouvintes do WinRM podem ser configurados em qualquer porta arbitrária.

Se você atualizar um computador para o WinRM 2.0, os ouvintes configurados anteriormente serão migrados e ainda receberão tráfego.

Notas de instalação e configuração do WinRM

O WinRM não depende de nenhum outro serviço, exceto WinHttp. Se o Serviço de Administração do IIS estiver instalado no mesmo computador, você poderá ver mensagens que indicam que o WinRM não pode ser carregado antes do IIS (Serviços de Informações da Internet). No entanto, o WinRM não depende realmente do IIS. Essas mensagens ocorrem porque a ordem de carregamento garante que o serviço IIS seja iniciado antes do serviço HTTP. O WinRM requer que WinHTTP.dll esteja registrado.

Se o cliente de firewall ISA2004 estiver instalado no computador, ele poderá fazer com que um cliente Web Services for Management (WS-Management) pare de responder. Para evitar esse problema, instale ISA2004 Firewall SP1.

Se dois serviços de escuta com endereços IP diferentes forem configurados com o mesmo número de porta e nome de computador, o WinRM escutará ou receberá mensagens em apenas um endereço. Essa abordagem usada ocorre porque os prefixos de URL usados pelo protocolo WS-Management são os mesmos.

Notas de instalação do driver e do provedor IPMI

O driver pode não detectar a existência de drivers IPMI que não são da Microsoft. Se o driver não for iniciado, talvez seja necessário desativá-lo.

Se os recursos do controlador de gerenciamento da placa base (BMC) aparecerem no BIOS do sistema, o ACPI (Plug and Play) detectará o hardware do BMC e instalará automaticamente o driver IPMI. O suporte a Plug and Play pode não estar presente em todos os BMCs. Se o BMC for detectado por Plug and Play, um dispositivo desconhecido aparecerá no Gerenciador de dispositivos antes que o componente de gerenciamento de hardware seja instalado. Quando o driver é instalado, um novo componente, o Dispositivo Compatível com IPMI Genérico ACPI da Microsoft, aparece no Gerenciador de Dispositivos.

Se o sistema não detectar automaticamente o BMC e instalar o driver, mas um BMC tiver sido detectado durante o processo de instalação, crie o dispositivo BMC. Para criar o dispositivo, digite o seguinte comando em um prompt de comando:

Rundll32 ipmisetp.dll, AddTheDevice

Depois que esse comando é executado, o dispositivo IPMI é criado e aparece no Gerenciador de dispositivos. Se você desinstalar o componente Gerenciamento de hardware, o dispositivo será removido.

Para obter mais informações, consulte Introdução ao gerenciamento de hardware.

O provedor IPMI coloca as classes de hardware no namespace root\hardware do WMI. Para obter mais informações sobre as classes de hardware, consulte Provedor IPMI. Para obter mais informações sobre namespaces WMI, consulte Arquitetura WMI.

Notas de configuração do plug-in WMI

A partir do Windows 8 e do Windows Server 2012, os plug-ins WMI têm suas próprias configurações de segurança. Para que um usuário normal ou avançado, não um administrador, possa usar o plug-in WMI, habilite o acesso para esse usuário após a configuração do ouvinte . Configure o usuário para acesso remoto ao WMI por meio de uma destas etapas.

• Executar lusrmgr.msc para adicionar o usuário ao grupo WinRMRemoteWMIUsers__ na janela Usuários e Grupos Locais.

• Use a ferramenta de linha de comando Winrm para configurar o descritor de segurança para o namespace do plug-in WMI:

  winrm configSDDL http://schemas.microsoft.com/wbem/wsman/1/wmi/ WmiNamespace
  

Quando a interface do usuário for exibida, adicione o usuário.

Depois de configurar o usuário para acesso remoto ao WMI, você deve configurar o WMI para permitir que o usuário acesse o plug-in. Para permitir o acesso, execute wmimgmt.msc para modificar a segurança WMI para o namespace a ser acessado na janela Controle de WMI.

A maioria das classes WMI para gerenciamento está no namespaceroot\cimv2.