Прокси-серверы и WinRM

  • Статья

Служба удаленного управления Windows (WinRM) использует протоколы HTTP и HTTPS для отправки сообщений между клиентскими и серверными компьютерами. Как правило, клиент WinRM отправляет сообщения непосредственно на сервер WinRM. Клиенты WinRM также можно настроить для использования прокси-сервера.

Дополнительные сведения см. в следующих разделах.

Настройка прокси-сервера для WinRM 2.0

WinRM 2.0 поддерживает широкий спектр конфигураций прокси-сервера. Например, WinRM поддерживает прокси-серверы для транспорта HTTP и HTTPS, а также для прокси-серверов, прошедших проверку подлинности и не прошедших проверку подлинности.

Подключения прокси-сервера HTTPS-Based

Для повышения безопасности и сходства на основе подключений в качестве транспортного механизма следует использовать ПРОТОКОЛ HTTPS.

Если прокси-сервер требует проверки подлинности, клиенты и серверы WinRM должны использовать протокол HTTPS.

Примечание

Проверка подлинности на прокси-сервере не зависит от проверки подлинности на целевом сервере.

 

Подключения прокси-сервера HTTP-Based

Если проверка подлинности прокси-сервера не требуется, для транспорта можно использовать http или HTTP. Однако подключения на основе HTTP от клиента WinRM к серверу WinRM через прокси-сервер могут быть проблематичными.

При использовании подключений на основе HTTP могут возникнуть следующие проблемы:

  • Прокси-сервер не поддерживает проверку подлинности на основе подключений, что может привести к сбою проверки подлинности на целевом сервере с ошибкой отказа в доступе.
  • Для подключения к конечному серверу и прокси-серверу требуется несколько наборов учетных данных.
  • Прокси-серверы на основе HTTP могут не поддерживать возможность поддерживать связанные клиентские и серверные подключения. Если прокси-сервер не связывает клиент с сервером и не поддерживает подключение TCP/IP, клиенты без проверки подлинности могут получить доступ к данным. Кроме того, отсутствие сходства подключений может привести к сбою проверки подлинности на сервере.

Если в качестве транспорта необходимо использовать ПРОТОКОЛ HTTP, прокси-сервер должен поддерживать следующую конфигурацию, чтобы обеспечить более качественный ответ WinRM и предотвратить сбои при отказе в доступе для клиентов WinRM:

  • Поддержка HTTP/1.1. Протокол HTTP/1.1 является более строгим в сопоставлении подключений между клиентом и сервером.

  • Проверка подлинности на основе подключения для проверки подлинности Negotiate, Kerberos и CredSSP.

    Для проверки подлинности запроса требуется несколько циклов обмена данными между клиентом и сервером. Большинство согласований для проверки подлинности завершается после того, как сервер проверки подлинности (WinRM) отправляет клиенту ответ, который не является ответом 401 (Не авторизовано). Если сервер WinRM возвращает клиенту ответ, который не является ответом 401, прокси-сервер не должен закрывать подключение.

    Между клиентом и сервером можно отправить несколько пар "запрос-ответ" до отправки фактических данных пакета. WinRM 2.0 использует схемы проверки подлинности Negotiate и Kerberos с шифрованием, что может добавить дополнительные круговые пути. Данные не могут быть отправлены на сервер до завершения проверки подлинности.

    Сервер WinRM возвращает 200-уровневый ответ, указывающий, что проверка подлинности завершена. Прокси-серверы на основе HTTP могут завершить сопоставление проверки подлинности на основе подключения и закрыть подключение TCP/IP после получения ответа 200 уровня от сервера WinRM. Окончательный круговой путь от клиента к серверу не включает исходный пакет запроса. Если прокси-сервер закрывает подключение, сервер попытается повторно проверить подлинность клиента, и запрос клиента может никогда не быть отправлен на сервер. Если сходство на основе подключения не поддерживается, проверка подлинности на целевом сервере может завершиться ошибкой отказа в доступе.

  • Сохраняемость подключения. Клиентское подключение TCP/IP к прокси-серверу должно по-прежнему сопоставляться с тем же соединением TCP/IP от прокси-сервера к серверу. Поддержание этого подключения помогает достичь более высокого уровня производительности. Если подключение не поддерживается, каждый запрос должен проходить повторную проверку подлинности, что может повлиять на производительность.

Шифрование и WinRM 2.0

WinRM 2.0 поддерживает шифрование по протоколу HTTP с помощью схем проверки подлинности Negotiate, Kerberos и CredSSP. Если сервер WinRM поддерживает протокол HTTP и получает доступ через прокси-сервер, сервер WinRM должен принудительно применять шифрование и не разрешать незашифрованный сетевой трафик.

Незашифрованные HTTP-запросы ни при каких обстоятельствах не должны отправляться через прокси-серверы. Когда данные должны пройти через прокси-сервер перед отправкой на целевой сервер, очень важны следующие проблемы безопасности:

  • Возможно, вредоносный прокси-сервер может проверить каждую пару "запрос-ответ", включая учетные данные.
  • Если соединения TCP/IP не тесно сопоставлены между клиентом WinRM и прокси-сервером, а также между прокси-сервером и целевым сервером, несанкционированный клиент может подключиться к целевому серверу, используя то же соединение с прокси-сервером с целевым сервером с проверкой подлинности. Целевой сервер может разрешить клиенту доступ к данным без проверки подлинности. Если шифрование принудительно применяется, целевой сервер отправляет клиенту без проверки подлинности сообщение об отказе в доступе.

Использование шифрования позволит устранить эти потенциальные проблемы безопасности.

Настройка прокси-сервера для WinRM 1.1 и более ранних версий

Если для доступа к серверу WinRM требуется прокси-сервер, клиент WinRM использует конфигурацию прокси-сервера служб Windows HTTP (WinHTTP). По умолчанию WinHTTP не настроен для использования прокси-сервера. Конфигурацию прокси-сервера WinHTTP можно изменить с помощью служебных программ командной строкиProxyCfg.exe или netsh .

WinRM 1.1 и более ранние версии: WinRM не использует параметры прокси-сервера Обозреватель Интернета.