Que efeito desabilitará os métodos de autenticação do WinRM?

2

Na seção Serviço do WinRM da Diretiva de Grupo, tenho a opção de desativar os seguintes mecanismos de autenticação:

  • Básico
  • CredSSP
  • Kerberos
  • Negociar

Com preocupações de segurança em mente, gostaria de desabilitar todos os métodos de autenticação que poderiam adicionar vulnerabilidades extras no ambiente. Dito isso, quero fazer o melhor possível para não quebrar a funcionalidade esperada do sistema e entender qual efeito a desativação dos métodos de autenticação terá.

Dito isso, quais efeitos posso esperar se eu desativar o CredSSP e o Negotiate? Espero que o Kerberos seja usado para tudo em um ambiente do AD, e o Basic será desativado independentemente disso.

    
por bshacklett 25.02.2013 / 16:00

2 respostas

2

O Kerberos será selecionado por padrão em um domínio do AD. Mas se algo der errado, o cliente não poderá voltar a nenhum dos outros mecanismos de autenticação. Por exemplo, se o SPN do serviço não estiver registrado, o Kerberos não poderá ser usado e a conexão do WinRM falhará. Você também não poderá usar o WinRM em outras situações em que o Kerberos não possa ser usado, como uma conexão com um computador de grupo de trabalho ou um computador em um domínio não confiável.

Editar:

Kerberos is the default method of authentication when the client is in a domain and the remote destination string is not one of the following: localhost, 127.0.0.1, or [::1].

Negotiate is the default method when the client is in domain, but the remote destination string is one of the following: localhost, 127.0.0.1, or [::1].

A partir daqui: link

    
por 25.02.2013 / 16:53
0

A autenticação do CredSSP é destinada a ambientes em que a delegação do Kerberos não pode ser usada. Ele foi desenvolvido originalmente para suportar o logon único dos Serviços de Área de Trabalho Remota, mas também pode ser aproveitado por outras tecnologias, como o recurso remoto do PowerShell. O CredSSP fornece um mecanismo sem freio para delegar as credenciais locais de uma sessão a um recurso remoto.

A delegação do CredSSP deve estar ativada nas configurações do cliente e nas configurações de serviço no computador remoto. Se você não tiver nenhum código ou funcionalidade atual que dependa disso, provavelmente não haverá impacto.

Suporte a vários saltos no WinRM (Windows)
link

    
por 25.02.2013 / 17:15