在组策略的 WinRM 服务部分,我可以选择禁用以下身份验证机制:
- 基本的
- 信誉SSP
- Kerberos
- 谈判
考虑到安全问题,我想禁用任何可能在环境中增加额外漏洞的身份验证方法。也就是说,我想尽最大努力不破坏系统的预期功能,并了解禁用身份验证方法会产生什么影响。
也就是说,如果我禁用 CredSSP 和 Negotiate,我会产生什么影响?我希望 Kerberos 将用于 AD 环境中的所有内容,并且无论如何都将禁用 Basic。
在组策略的 WinRM 服务部分,我可以选择禁用以下身份验证机制:
考虑到安全问题,我想禁用任何可能在环境中增加额外漏洞的身份验证方法。也就是说,我想尽最大努力不破坏系统的预期功能,并了解禁用身份验证方法会产生什么影响。
也就是说,如果我禁用 CredSSP 和 Negotiate,我会产生什么影响?我希望 Kerberos 将用于 AD 环境中的所有内容,并且无论如何都将禁用 Basic。
默认情况下,将在 AD 域中选择 Kerberos。但是,如果出现任何问题,那么客户端将无法回退到任何其他身份验证机制。例如,如果服务的 SPN 未注册,则无法使用 Kerberos,并且 WinRM 连接将失败。在无法使用 Kerberos 的其他情况下,您也将无法使用 WinRM,例如连接到工作组计算机或不受信任域中的计算机。
编辑:
从这里:http: //msdn.microsoft.com/en-us/library/windows/desktop/aa384295%28v=vs.85%29.aspx
CredSSP 身份验证适用于无法使用 Kerberos 委派的环境。它最初是为支持远程桌面服务单点登录而开发的,但它也可以被其他技术所利用,例如 PowerShell 远程处理。CredSSP 提供了一种非 kerb 机制来将会话的本地凭证委托给远程资源。
必须在客户端设置和远程计算机的服务设置中启用 CredSSP 委派。如果您没有依赖此的任何当前代码或功能,则可能不会有任何影响。
WinRM (Windows) 中的多跳支持
http://msdn.microsoft.com/en-us/library/windows/desktop/ee309365%28v=vs.85%29.aspx