在组策略的WinRM服务部分,我可以select禁用以下authentication机制:
考虑到安全性问题,我想禁用任何可能会增加环境中的额外漏洞的身份validation方法。 也就是说,我想尽我所能不要打破系统的预期function,并理解禁用身份validation方法会产生什么效果。
也就是说,如果我禁用CredSSP和Negotiate,我可以期待什么效果? 我希望Kerberos能用于AD环境中的所有东西,而Basic将被禁用。
Kerberos将在AD域中默认选中。 但是,如果出现任何问题,那么客户端将无法回退到任何其他身份validation机制。 例如,如果服务的SPN未注册,则不能使用Kerberos,并且WinRM连接将失败。 在其他Kerberos无法使用的情况下,例如连接到工作组计算机或不受信任的域中的计算机,也无法使用WinRM。
编辑:
当客户端在域中时,Kerberos是缺省的身份validation方法,远程目标string不是以下任一项:localhost,127.0.0.1或[:: 1]。
协商是客户端在域中时的默认方法,但远程目标string是以下其中一个:localhost,127.0.0.1或[:: 1]。
从这里: http : //msdn.microsoft.com/en-us/library/windows/desktop/aa384295%28v=vs.85%29.aspx
CredSSP身份validation适用于不能使用Kerberos委派的环境。 它最初是为支持远程桌面服务单点login而开发的,但是它也可以被其他技术(如PowerShell远程处理)所利用。 CredSSP提供非遏制机制将会话的本地凭据委托给远程资源。
CredSSP委托必须在远程计算机的客户端设置和服务设置中启用。 如果您没有任何依赖于此的代码或function,则可能不会有任何影响。
WinRM中的多跳支持(Windows)
http://msdn.microsoft.com/en-us/library/windows/desktop/ee309365%28v=vs.85%29.aspx