Multi-Hop-Unterstützung in WinRM

Windows-Remoteverwaltung (WinRM) unterstützt die Delegierung von Benutzeranmeldeinformationen über mehrere Remotecomputer hinweg. Die Multi-Hop-Unterstützungsfunktion kann jetzt credential Security Service Provider (CredSSP) für die Authentifizierung verwenden. CredSSP ermöglicht einer Anwendung, die Anmeldeinformationen des Benutzers vom Clientcomputer an den Zielserver zu delegieren.

Die CredSSP-Authentifizierung ist für Umgebungen vorgesehen, in denen die Kerberos-Delegierung nicht verwendet werden kann. Unterstützung für CredSSP wurde hinzugefügt, damit ein Benutzer eine Verbindung mit einem Remoteserver herstellen und auf einen Computer mit zweitem Hop zugreifen kann, z. B. eine Dateifreigabe.

Hinweis

WinRM-Clients und -Server unterstützen die CredSSP-Authentifizierung nur mit expliziten Anmeldeinformationen.

Einrichtung und Details zur Konfiguration der Multi-Hop-Unterstützung

Es gibt mehrere Mechanismen zum Konfigurieren von WinRM-Einstellungen. Im folgenden Verfahren werden das Hilfsprogramm winrm und Gruppenrichtlinie Editor (GPEdit.msc) verwendet. CredSSP kann auch für WinRM aktiviert werden, indem Windows PowerShell. Ausführliche Konfigurationsinformationen und Verwendungsbeispiele finden Sie in den Cmdlets Enable-WSManCredSSP, Get-WSManCredSSPund Disable-WSManCredS Windows PowerShell SP.

Die CredSSP-Delegierung muss in den Clienteinstellungen und in den Diensteinstellungen auf dem Remotecomputer aktiviert sein. Darüber hinaus erfordert die Verwendung von CredSSP das Einrichten eines HTTP- oder HTTPS-Listeners auf dem Server.

So konfigurieren Sie die Multi-Hop-Unterstützung mithilfe der CredSSP-Authentifizierung für WinRM

  1. CredSSP muss in den Clientkonfigurationseinstellungen aktiviert sein. Dieses Flag kann manuell oder über eine Gruppenrichtlinie aktiviert werden. Die Standardeinstellung lautet Falsch. Die Richtlinie CredSSP-Authentifizierung zulassen befindet sich unter folgendem Pfad: Administrative Vorlage für Computerkonfiguration Windows \ Components Windows Remote Management \ \ (WinRM) \ WinRM Client.

    Der folgende Befehl veranschaulicht die Verwendung des Hilfsprogramms winrm zum Aktivieren von CredSSP auf dem WinRM-Client:

    winrm set winrm/config/client/auth @{CredSSP="true"}

  2. CredSSP muss in den Konfigurationseinstellungen des WinRM-Diensts aktiviert sein. Dieses Flag kann manuell oder über eine Gruppenrichtlinie aktiviert werden. Die Standardeinstellung lautet Falsch. Die Richtlinie CredSSP-Authentifizierung zulassen befindet sich unter folgendem Pfad: Computerkonfiguration Administrative Vorlage Windows \ Components Windows Remote Management \ \ (WinRM) \ WinRM Service.

    Der folgende Befehl veranschaulicht, wie Sie das Hilfsprogramm winrm verwenden, um CredSSP für den WinRM-Dienst zu aktivieren:

    winrm set winrm/config/service/auth @{CredSSP="true"}

  3. Die Richtlinieneinstellung Allow Delegating Fresh Credentials (AllowFreshCredentials) muss auf dem WinRM-Client aktiviert sein, und der Richtlinie muss ein Dienstprinzipalname (Service Principal Name, SPN) mit dem WSMAN-Präfix hinzugefügt werden. Der SPN stellt den Zielcomputer dar, an den die Benutzeranmeldeinformationen delegiert werden können. Der SPN kann auf einen oder mehrere Computer festgelegt werden. Die folgende Tabelle enthält Beispiele für gültige Formate für SPNs.

    SPN BESCHREIBUNG
    WSMAN/myComputer.myDomain.com
    WinRM-Server, der auf myComputer.myDomain.com.
    WSMAN/ * .myDomain.com
    Alle WinRM-Server, die in myDomain.com.
    WSMAN/ * .fabrikam.myDomain.com
    Alle WinRM-Server, die in auf allen Computern in .fabrikam.myDomain.com.

    Weitere Informationen zum Festlegen von Gruppenrichtlinien finden Sie unter Installation und Konfiguration für Windows Remoteverwaltung.

    Weitere Informationen zur AllowFreshCredentials-Richtlinie finden Sie in der Richtlinienbeschreibung, die vom Gruppenrichtlinie wird. Die Richtlinie AllowFreshCredentials befindet sich unter folgendem Pfad: Computerkonfiguration Administrative Vorlagen \ \ Delegierung von \ Systemanmeldeinformationen.

  4. Ein HTTPS- oder HTTP-Listener muss auf dem Server konfiguriert werden. Der Zertifikatfingerabdruck, der zum Konfigurieren des HTTPS-Listeners verwendet wird, wird auch zum Konfigurieren der CertificateThumbprint-Einstellung unter den WinRM-Diensteinstellungen verwendet.

    Der folgende Befehl veranschaulicht die Verwendung des Hilfsprogramms winrm zum Konfigurieren eines HTTPS-Listeners:

    winrm quickconfig -transport:https

Wenn die Kerberos-Authentifizierung zwischen Client und Server nicht möglich ist, muss der Benutzer eine der folgenden Einstellungen für die Multi-Hop-Unterstützung konfigurieren:

  • Aus Sicherheitsgründen sollte der Benutzer der WinRM-Diensteinstellung das CertificateThumbprint-Attribut hinzufügen. Wenn der WinRM-Dienst mit einem CertificateThumbprint-Attribut konfiguriert ist, versucht der Dienst, das entsprechende Zertifikat im Speicher des lokalen Computers zu finden, und verwendet dieses Zertifikat für die CredSSP-Authentifizierung. Wenn der WinRM-Dienst ein Zertifikat aus dem Lokalen Computerspeicher zum Authentifizieren des Servers verwendet, muss dem Netzwerkdienstkonto Zugriff auf den privaten Schlüssel des Zertifikats gestattet werden.

    Hinweis

    Wenn die Diensteinstellung nicht konfiguriert ist, verwendet der WinRM-Server ein selbstsigniertes Zertifikat, das im Arbeitsspeicher erstellt wird, um an den Client gesendete Nachrichten zu verschlüsseln. Dieses Zertifikat wird jedoch nicht für die Authentifizierung verwendet.

  • Wenn weder Kerberos-Authentifizierung noch Zertifikatfingerabdrücke verfügbar sind, kann der Benutzer die NTLM-Authentifizierung aktivieren. Wenn die NTLM-Authentifizierung verwendet wird, muss die Richtlinie Allow Fresh Credentials with NTLM-only Server Authentication (AllowFreshCredentialsWhenNTLMOnly) aktiviert sein, und der Richtlinie muss ein SPN mit dem WSMAN-Präfix hinzugefügt werden. Diese Einstellung ist weniger sicher als kerberos-Authentifizierung und Zertifikatfingerabdrücke, da Anmeldeinformationen an einen nicht authentifizierten Server gesendet werden.

    Weitere Informationen zur Richtlinie AllowFreshCredentialsWhenNTLMOnly finden Sie in der Richtlinienbeschreibung, die vom Gruppenrichtlinie wird. Die Richtlinie AllowFreshCredentialsWhenNTLMOnly befindet sich unter folgendem Pfad: Computerkonfiguration Administrative Vorlagen \ \ Delegierung von \ Systemanmeldeinformationen.

Verwenden der CredSSP-Authentifizierung mit expliziten Anmeldeinformationen

Ein Benutzer kann explizite Anmeldeinformationen über HTTP und HTTPS angeben. Der folgende Befehl veranschaulicht, wie Sie das Hilfsprogramm winrm verwenden, um einen Remotevorgang mit credSSP-Authentifizierung mit expliziten Anmeldeinformationen über HTTPS auszuführen:

winrm OPERATION -remote: https://myMachine -authentication:CredSSP -username:myUsername -password:myPassword