Проверка подлинности для удаленных подключений
Удаленное управление Windows обеспечивает безопасность обмена данными между компьютерами, поддерживая несколько стандартных методов проверки подлинности и шифрования сообщений.
Доступ к группе по умолчанию
Во время установки WinRM создает локальную группу WinRMRemoteWMIUsers__. Затем WinRM ограничивает удаленный доступ для любого пользователя, не являющегося членом группы локального администрирования или группы WinRMRemoteWMIUsers__ . Вы можете добавить локального пользователя, пользователя домена или группу домена в WinRMRemoteWMIUsers__ , введя в командной строке команду net localgroup WinRMRemoteWMIUsers__ /add <domain>\<username> . При необходимости можно использовать групповая политика, чтобы добавить пользователя в группу.
Параметры проверки подлинности по умолчанию
Учетные данные по умолчанию, имя пользователя и пароль — это учетные данные учетной записи пользователя, выполнившего вход в систему, которая запускает скрипт.
Переход на другую учетную запись на удаленном компьютере
- Укажите учетные данные в объекте ConnectionOptions или IWSManConnectionOptions и добавьте их в вызов CreateSession .
- Задайте WSManFlagCredUserNamePassword в параметре flags в вызове CreateSession .
Следующий список содержит список действий, возникающих при выполнении скрипта или приложения с учетными данными по умолчанию.
- Kerberos — это метод проверки подлинности по умолчанию, если клиент находится в домене, а строка удаленного назначения не является одной из следующих: localhost, 127.0.0.1 или [::1].
- Negotiate — это метод по умолчанию, если клиент не находится в домене, но строка удаленного назначения имеет одно из следующих значений: localhost, 127.0.0.1 или [::1].
Если вы предоставляете явные учетные данные с помощью объекта ConnectionOptions , по умолчанию используется метод Negotiate. Согласование проверки подлинности определяет, является ли текущим методом проверки подлинности Kerberos или NTLM в зависимости от того, находятся ли компьютеры в домене или рабочей группе. При подключении к удаленному целевому компьютеру с помощью локальной учетной записи она должна иметь префикс имени компьютера. Например, myComputer\myUsername.
Если указать Negotiate, Digest или Basic authentication и не указать объект ConnectionOptions , появится сообщение об ошибке, указывающее, что требуются явные учетные данные. Если httpS не является транспортом, то целевой удаленный компьютер должен быть настроен в списке доверенных ведущих компьютеров.
Дополнительные сведения о типах проверки подлинности, включенных в параметрах конфигурации по умолчанию, см. в разделе Установка и настройка удаленного управления Windows.
Обычная проверка подлинности
Чтобы явно установить обычную проверку подлинности в вызове WSMan.CreateSession, установите флаги WSManFlagUseBasic и WSManFlagCredUserNamePassword в параметре flags . Обычная проверка подлинности отключена в параметрах конфигурации по умолчанию как для клиента WinRM, так и для сервера WinRM.
Дайджест-проверка подлинности
Чтобы явно установить дайджест-проверку подлинности в вызове WSMan.CreateSession, установите флаг WSManFlagUseDigest в параметре flags . Дайджест не поддерживается. Его нельзя настроить для компонента сервера WinRM.
Согласование проверки подлинности
Чтобы явно установить проверку подлинности Negotiate , также известную как встроенная проверка подлинности Windows, в вызове WSMan.CreateSession установите флаг WSManFlagUseNegotiate в параметре flags .
Контроль учетных записей (UAC) влияет на доступ к службе WinRM. Если в рабочей группе используется проверка подлинности Negotiate, доступ к службе может получить только встроенная учетная запись администратора. Чтобы разрешить всем учетным записям в группе Администраторы доступ к службе, задайте следующее значение реестра:
HKEY_LOCAL_MACHINE\ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ\Microsoft\Windows\CurrentVersion\Политики\Системы\LocalAccountTokenFilterPolicy = 1
Проверка подлинности Kerberos
Чтобы явно установить проверку подлинности Kerberos в вызове WSMan.CreateSession, установите флаг WSManFlagUseKerberos в параметре flags . Клиентский и серверный компьютеры должны быть присоединены к домену. При использовании Kerberos в качестве метода проверки подлинности IP-адрес нельзя использовать в вызове WSMan.CreateSession или IWSMan::CreateSession.
Проверка подлинности на основе сертификата клиента
Чтобы установить проверку подлинности на основе сертификата клиента в вызове WSMan.CreateSession, установите флаг WSManFlagUseClientCertificate в параметре flags .
Сначала необходимо включить проверку подлинности на основе сертификата как для клиента, так и для службы с помощью программы командной строки Winrm. Дополнительные сведения см. в разделе Включение параметров проверки подлинности. Необходимо также создать запись в таблице CertMapping на компьютере сервера WinRM. Это устанавливает сопоставление между одним или несколькими сертификатами и локальной учетной записью. После использования сертификата для проверки подлинности и авторизации соответствующая локальная учетная запись используется для операций, выполняемых службой WinRM.
Сопоставление можно создать для определенного URI ресурса. Чтобы узнать больше, в том числе о том, как создать запись таблицы CertMapping, введите winrm help certmapping в командной строке.
Примечание
Максимальный размер сертификата, который может использовать WinRM в этом контексте, составляет 16 КБ.
Включение или отключение параметров проверки подлинности
Параметр проверки подлинности по умолчанию при установке системы — Kerberos. Дополнительные сведения см. в статье Установка и настройка удаленного управления Windows.
Если скрипту или приложению требуется определенный метод проверки подлинности, который не включен, необходимо изменить конфигурацию, чтобы включить этот тип проверки подлинности. Это изменение можно внести с помощью программы командной строки Winrm или групповая политика для объекта групповая политика удаленного управления Windows. Вы также можете отключить определенные методы проверки подлинности.
Включение или отключение проверки подлинности с помощью средства Winrm
Чтобы задать конфигурацию для клиента WinRM, используйте команду Winrm Set и укажите клиент. Например, следующая команда отключает дайджест-проверку подлинности для клиента.
winrm set winrm/config/client/auth @{Digest="false"}
Чтобы задать конфигурацию для сервера WinRM, используйте команду Winrm Set и укажите службу. Например, следующая команда включает проверку подлинности Kerberos для службы.
winrm set winrm/config/service/auth @{Kerberos="true"}
Связанные темы
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по