禁用 WinRM 身份验证方法会产生什么影响?

禁用 WinRM 身份验证方法会产生什么影响?

在组策略的 WinRM 服务部分中,我可以选择禁用以下身份验证机制:

  • 基本的
  • 信用SSP
  • 凯尔伯罗斯
  • 谈判

出于安全方面的考虑,我想禁用任何可能在环境中增加额外漏洞的身份验证方法。也就是说,我想尽最大努力不破坏系统的预期功能,并了解禁用身份验证方法会产生什么影响。

话虽如此,如果我禁用 CredSSP 和 Negotiate,会有什么效果?我希望 Kerberos 可以用于 AD 环境中的所有内容,并且无论如何都会禁用 Basic。

答案1

在 AD 域中,Kerberos 将被默认选中。但如果出现任何问题,客户端将无法恢复到任何其他身份验证机制。例如,如果服务的 SPN 未注册,则无法使用 Kerberos,并且 WinRM 连接将失败。在无法使用 Kerberos 的其他情况下,您也无法使用 WinRM,例如连接到工作组计算机或不受信任域中的计算机。

编辑:

当客户端位于域中且远程目标字符串不是以下之一时,Kerberos 是默认的身份验证方法:localhost、127.0.0.1 或 [::1]。

当客户端在域中但远程目标字符串是以下之一时,协商是默认方法:localhost、127.0.0.1 或 [::1]。

从这里:http://msdn.microsoft.com/en-us/library/windows/desktop/aa384295%28v=vs.85%29.aspx

答案2

CredSSP 身份验证适用于无法使用 Kerberos 委派的环境。它最初是为了支持远程桌面服务单点登录而开发的,但也可以被其他技术(如 PowerShell 远程处理)利用。CredSSP 提供了一种非 Kerberos 机制,用于将会话的本地凭据委派给远程资源。

必须在客户端设置和远程计算机的服务设置中启用 CredSSP 委派。如果您当前没有任何依赖于此功能的代码或功能,则可能不会产生任何影响。

WinRM 中的多跳支持 (Windows)
http://msdn.microsoft.com/en-us/library/windows/desktop/ee309365%28v=vs.85%29.aspx

相关内容