Прокси-серверы и WinRM

Windows Удаленное управление (WinRM) использует протоколы HTTP и HTTPS для отправки сообщений между клиентскими и серверными компьютерами. Как правило, клиент WinRM отправляет сообщения непосредственно на сервер WinRM. Клиенты WinRM также можно настроить для использования прокси-сервера.

Дополнительные сведения см. в следующих разделах.

Настройка прокси-сервера для WinRM 2,0

WinRM 2,0 поддерживает широкий спектр конфигураций прокси-сервера. Например, WinRM поддерживает прокси-серверы для транспортов HTTP и HTTPS, а для прокси-серверов с проверкой подлинности и без проверки подлинности.

HTTPS-Based прокси-подключений

Для повышения безопасности и сходства на основе подключений в качестве транспортного механизма должен использоваться протокол HTTPS.

Если прокси-сервер требует проверки подлинности, клиенты и серверы WinRM должны использовать протокол HTTPS.

Примечание

Проверка подлинности на прокси-сервере не зависит от проверки подлинности на целевом сервере.

HTTP-Based прокси-подключений

Если проверка подлинности прокси-сервера не требуется, для транспорта можно использовать протоколы HTTP или HTTPs. Однако подключения на основе HTTP от клиента WinRM к серверу WinRM через прокси-сервер могут быть проблематичными.

При использовании подключений на основе HTTP могут возникать следующие проблемы.

  • Прокси-сервер не поддерживает проверку подлинности на основе подключений, что может привести к сбою проверки подлинности на целевом сервере с ошибкой отказа в доступе.
  • Для подключения к целевому серверу и прокси-серверу требуется более одного набора учетных данных.
  • Прокси-серверы на основе HTTP могут не поддерживать возможность обслуживания связанных клиентских и серверных подключений. Если прокси-сервер не поддерживает строгое связывание клиента с сервером и поддерживает подключение по протоколу TCP/IP, клиенты, не прошедшие проверку подлинности, могут получить доступ к данным. Кроме того, отсутствие сходства соединений может привести к сбою проверки подлинности на сервере.

Если в качестве транспорта должен использоваться протокол HTTP, прокси-сервер должен поддерживать следующую конфигурацию для получения лучшего ответа WinRM и предотвращения отказа в доступе для клиентов WinRM:

  • Поддержка HTTP/1.1. Протокол HTTP/1.1 является более строгим в сопоставлении сходства соединений между клиентом и сервером.

  • Проверка подлинности на основе подключений для согласования, Kerberos и CredSSP.

    Для проверки подлинности запроса требуется несколько обращений между клиентом и сервером. Большинство случаев согласования для проверки подлинности завершается после того, как сервер проверки подлинности (WinRM) отправляет ответ клиенту, который не является ответом 401 (несанкционированный). Если сервер WinRM возвращает ответ клиенту, который не является ответом 401, прокси не должен закрывать подключение.

    Перед отправкой фактических данных пакетов можно отправлять несколько пар "запрос-ответ" между клиентом и сервером. WinRM 2,0 использует схемы проверки подлинности Negotiate и Kerberos с шифрованием, что позволяет добавлять дополнительные циклы обработки. Данные не могут быть отправлены на сервер до завершения проверки подлинности.

    Сервер WinRM возвращает ответ уровня 200, указывающий на завершение проверки подлинности. Прокси-серверы на основе HTTP могут завершить сопоставление проверки подлинности на основе подключений и закрыть подключение TCP/IP после получения ответа уровня 200 от сервера WinRM. Окончательное обмен данными между клиентом и сервером не включает исходный пакет запроса. Если прокси-сервер закрывает подключение, сервер попытается повторно пройти проверку подлинности клиента, а запрос клиента может никогда не отправляться на сервер. Если сходство на основе соединения не сохраняется, проверка подлинности на целевом сервере может завершиться ошибкой с ошибкой доступа.

  • Сохраняемость подключения. Подключение TCP/IP клиента к прокси-серверу должно продолжать сопоставляться с одним и тем же подключением TCP/IP от прокси-сервера. Поддержание этого соединения позволяет достичь более высокого уровня производительности. Если соединение не поддерживается, каждый запрос должен пройти повторную проверку подлинности, что может повлиять на производительность.

Шифрование и WinRM 2,0

WinRM 2,0 поддерживает шифрование по протоколу HTTP с помощью схем проверки подлинности Negotiate, Kerberos и CredSSP. Если сервер WinRM поддерживает протокол HTTP и доступен через прокси, сервер WinRM должен обеспечивать шифрование и запрещать незашифрованный сетевой трафик.

При отсутствии каких-либо ситуаций незашифрованные HTTP-запросы отправляются через прокси сервера. Если данные должны пройти через прокси-сервер перед отправкой на целевой сервер, очень важны следующие вопросы безопасности.

  • Возможно, что вредоносный прокси-сервер может проверить каждую пару "запрос-ответ", включая учетные данные.
  • Если подключения TCP/IP не имеют строгого сопоставления между клиентом WinRM и прокси-сервером и между прокси-сервером и сервером назначения, несанкционированный клиент может подключиться к целевому серверу, используя то же подключение, прошедшее проверку подлинности, с прокси-сервера на целевой сервер. Целевой сервер может разрешать доступ клиента без проверки подлинности к данным. Если шифрование применяется, целевой сервер отправляет сообщение об отказе в доступе клиенту, не прошедшему проверку подлинности.

Использование шифрования снижает опасность этих потенциальных проблем безопасности.

Настройка прокси-сервера для WinRM 1,1 и более ранних версий

если для доступа к серверу winrm требуется прокси-сервер, клиент WinRM полагается на конфигурацию прокси-сервера Windows служб HTTP (WinHTTP). По умолчанию служба WinHTTP не настроена для использования прокси-сервера. Конфигурацию прокси-сервера WinHTTP можно изменить с помощью ProxyCfg.exe или служебных программ командной строки netsh .

WinRM 1,1 и более ранних версий: Служба WinRM не использует параметры прокси-сервера Internet Explorer.