Multi-Hop-Unterstützung in WinRM
Windows-Remoteverwaltung (WinRM) unterstützt die Delegierung von Benutzeranmeldeinformationen über mehrere Remotecomputer hinweg. Die Multi-Hop-Unterstützungsfunktion kann jetzt credential Security Service Provider (CredSSP) für die Authentifizierung verwenden. CredSSP ermöglicht einer Anwendung, die Anmeldeinformationen des Benutzers vom Clientcomputer an den Zielserver zu delegieren.
Die CredSSP-Authentifizierung ist für Umgebungen vorgesehen, in denen die Kerberos-Delegierung nicht verwendet werden kann. Unterstützung für CredSSP wurde hinzugefügt, damit ein Benutzer eine Verbindung mit einem Remoteserver herstellen und auf einen Computer mit zweitem Hop zugreifen kann, z. B. eine Dateifreigabe.
Hinweis
WinRM-Clients und -Server unterstützen die CredSSP-Authentifizierung nur mit expliziten Anmeldeinformationen.
Einrichtung und Details zur Konfiguration der Multi-Hop-Unterstützung
Es gibt mehrere Mechanismen zum Konfigurieren von WinRM-Einstellungen. Im folgenden Verfahren werden das Hilfsprogramm winrm und Gruppenrichtlinie Editor (GPEdit.msc) verwendet. CredSSP kann auch für WinRM aktiviert werden, indem Windows PowerShell. Ausführliche Konfigurationsinformationen und Verwendungsbeispiele finden Sie in den Cmdlets Enable-WSManCredSSP, Get-WSManCredSSPund Disable-WSManCredS Windows PowerShell SP.
Die CredSSP-Delegierung muss in den Clienteinstellungen und in den Diensteinstellungen auf dem Remotecomputer aktiviert sein. Darüber hinaus erfordert die Verwendung von CredSSP das Einrichten eines HTTP- oder HTTPS-Listeners auf dem Server.
So konfigurieren Sie die Multi-Hop-Unterstützung mithilfe der CredSSP-Authentifizierung für WinRM
CredSSP muss in den Clientkonfigurationseinstellungen aktiviert sein. Dieses Flag kann manuell oder über eine Gruppenrichtlinie aktiviert werden. Die Standardeinstellung lautet Falsch. Die Richtlinie CredSSP-Authentifizierung zulassen befindet sich unter folgendem Pfad: Administrative Vorlage für Computerkonfiguration Windows \ Components Windows Remote Management \ \ (WinRM) \ WinRM Client.
Der folgende Befehl veranschaulicht die Verwendung des Hilfsprogramms winrm zum Aktivieren von CredSSP auf dem WinRM-Client:
winrm set winrm/config/client/auth @{CredSSP="true"}
CredSSP muss in den Konfigurationseinstellungen des WinRM-Diensts aktiviert sein. Dieses Flag kann manuell oder über eine Gruppenrichtlinie aktiviert werden. Die Standardeinstellung lautet Falsch. Die Richtlinie CredSSP-Authentifizierung zulassen befindet sich unter folgendem Pfad: Computerkonfiguration Administrative Vorlage Windows \ Components Windows Remote Management \ \ (WinRM) \ WinRM Service.
Der folgende Befehl veranschaulicht, wie Sie das Hilfsprogramm winrm verwenden, um CredSSP für den WinRM-Dienst zu aktivieren:
winrm set winrm/config/service/auth @{CredSSP="true"}
Die Richtlinieneinstellung Allow Delegating Fresh Credentials (AllowFreshCredentials) muss auf dem WinRM-Client aktiviert sein, und der Richtlinie muss ein Dienstprinzipalname (Service Principal Name, SPN) mit dem WSMAN-Präfix hinzugefügt werden. Der SPN stellt den Zielcomputer dar, an den die Benutzeranmeldeinformationen delegiert werden können. Der SPN kann auf einen oder mehrere Computer festgelegt werden. Die folgende Tabelle enthält Beispiele für gültige Formate für SPNs.
SPN BESCHREIBUNG WSMAN/myComputer.myDomain.com WinRM-Server, der auf myComputer.myDomain.com. WSMAN/ * .myDomain.com Alle WinRM-Server, die in myDomain.com. WSMAN/ * .fabrikam.myDomain.com Alle WinRM-Server, die in auf allen Computern in .fabrikam.myDomain.com. Weitere Informationen zum Festlegen von Gruppenrichtlinien finden Sie unter Installation und Konfiguration für Windows Remoteverwaltung.
Weitere Informationen zur AllowFreshCredentials-Richtlinie finden Sie in der Richtlinienbeschreibung, die vom Gruppenrichtlinie wird. Die Richtlinie AllowFreshCredentials befindet sich unter folgendem Pfad: Computerkonfiguration Administrative Vorlagen \ \ Delegierung von \ Systemanmeldeinformationen.
Ein HTTPS- oder HTTP-Listener muss auf dem Server konfiguriert werden. Der Zertifikatfingerabdruck, der zum Konfigurieren des HTTPS-Listeners verwendet wird, wird auch zum Konfigurieren der CertificateThumbprint-Einstellung unter den WinRM-Diensteinstellungen verwendet.
Der folgende Befehl veranschaulicht die Verwendung des Hilfsprogramms winrm zum Konfigurieren eines HTTPS-Listeners:
winrm quickconfig -transport:https
Wenn die Kerberos-Authentifizierung zwischen Client und Server nicht möglich ist, muss der Benutzer eine der folgenden Einstellungen für die Multi-Hop-Unterstützung konfigurieren:
Aus Sicherheitsgründen sollte der Benutzer der WinRM-Diensteinstellung das CertificateThumbprint-Attribut hinzufügen. Wenn der WinRM-Dienst mit einem CertificateThumbprint-Attribut konfiguriert ist, versucht der Dienst, das entsprechende Zertifikat im Speicher des lokalen Computers zu finden, und verwendet dieses Zertifikat für die CredSSP-Authentifizierung. Wenn der WinRM-Dienst ein Zertifikat aus dem Lokalen Computerspeicher zum Authentifizieren des Servers verwendet, muss dem Netzwerkdienstkonto Zugriff auf den privaten Schlüssel des Zertifikats gestattet werden.
Hinweis
Wenn die Diensteinstellung nicht konfiguriert ist, verwendet der WinRM-Server ein selbstsigniertes Zertifikat, das im Arbeitsspeicher erstellt wird, um an den Client gesendete Nachrichten zu verschlüsseln. Dieses Zertifikat wird jedoch nicht für die Authentifizierung verwendet.
Wenn weder Kerberos-Authentifizierung noch Zertifikatfingerabdrücke verfügbar sind, kann der Benutzer die NTLM-Authentifizierung aktivieren. Wenn die NTLM-Authentifizierung verwendet wird, muss die Richtlinie Allow Fresh Credentials with NTLM-only Server Authentication (AllowFreshCredentialsWhenNTLMOnly) aktiviert sein, und der Richtlinie muss ein SPN mit dem WSMAN-Präfix hinzugefügt werden. Diese Einstellung ist weniger sicher als kerberos-Authentifizierung und Zertifikatfingerabdrücke, da Anmeldeinformationen an einen nicht authentifizierten Server gesendet werden.
Weitere Informationen zur Richtlinie AllowFreshCredentialsWhenNTLMOnly finden Sie in der Richtlinienbeschreibung, die vom Gruppenrichtlinie wird. Die Richtlinie AllowFreshCredentialsWhenNTLMOnly befindet sich unter folgendem Pfad: Computerkonfiguration Administrative Vorlagen \ \ Delegierung von \ Systemanmeldeinformationen.
Verwenden der CredSSP-Authentifizierung mit expliziten Anmeldeinformationen
Ein Benutzer kann explizite Anmeldeinformationen über HTTP und HTTPS angeben. Der folgende Befehl veranschaulicht, wie Sie das Hilfsprogramm winrm verwenden, um einen Remotevorgang mit credSSP-Authentifizierung mit expliziten Anmeldeinformationen über HTTPS auszuführen:
winrm OPERATION -remote: https://myMachine -authentication:CredSSP -username:myUsername -password:myPassword