Назад | Перейти на главную страницу

Какой эффект будет иметь отключение методов аутентификации WinRM?

В разделе групповой политики WinRM Service у меня есть возможность отключить следующие механизмы аутентификации:

Помня о безопасности, я хотел бы отключить любые методы аутентификации, которые могут добавить дополнительные уязвимости в среде. Тем не менее, я хочу сделать все возможное, чтобы не нарушить ожидаемую функциональность системы, и понять, какой эффект будет иметь отключение методов аутентификации.

Тем не менее, каких эффектов я могу ожидать, если отключу CredSSP и Negotiate? Я надеюсь, что Kerberos будет использоваться для всего в среде AD, а Basic все равно будет отключен.

Kerberos будет выбран по умолчанию в домене AD. Но если что-то пойдет не так, клиент не сможет вернуться к любому из других механизмов аутентификации. Например, если имя участника-службы для службы не зарегистрировано, использование Kerberos невозможно, и соединение WinRM завершится ошибкой. Вы также не сможете использовать WinRM в других ситуациях, когда нельзя использовать Kerberos, например при подключении к компьютеру рабочей группы или компьютеру в ненадежном домене.

Редактировать:

Kerberos - это метод аутентификации по умолчанию, когда клиент находится в домене, а строка удаленного назначения не является одной из следующих: localhost, 127.0.0.1 или [:: 1].

Согласование - это метод по умолчанию, когда клиент находится в домене, но строка удаленного пункта назначения имеет одно из следующих значений: localhost, 127.0.0.1 или [:: 1].

Отсюда: http://msdn.microsoft.com/en-us/library/windows/desktop/aa384295%28v=vs.85%29.aspx

Аутентификация CredSSP предназначена для сред, в которых нельзя использовать делегирование Kerberos. Первоначально он был разработан для поддержки единого входа в службы удаленных рабочих столов, однако он также может использоваться другими технологиями, такими как удаленное взаимодействие PowerShell. CredSSP предоставляет механизм без ограничения для делегирования локальных учетных данных сеанса удаленному ресурсу.

Делегирование CredSSP необходимо включить в настройках клиента и в настройках службы на удаленном компьютере. Если у вас нет текущего кода или функциональности, которые полагаются на это, вероятно, это не повлияет.

Поддержка нескольких переходов в WinRM (Windows)
http://msdn.microsoft.com/en-us/library/windows/desktop/ee309365%28v=vs.85%29.aspx