Für den Zugriff (z. B. per RemoteShell) auf einen Remoterechner ist eine Authentifizierung erforderlich. Dafür stehen verschiedene Verfahren zur Verfügung. Es muss sowohl der Client als auch der Server die entsprechende Authentifizierung unterstützen. WinRM erlaubt in der Grundkonfiguration die Basic- und CredSSP-Authentifizierung nicht. Mit folgenden Schlüsseln kann das entsprechende Authentifizierungverfahren zugelassen werden.
Bei der Basic-Authentifizierung werden der Benutzername und das Kennwort unverschlüsselt (Base64-codierte Zeichenfolge) über das Netzwerk (HTTP-Transport) übertragen. Aus Sicherheitsgründen sollte daher ein anderes Authentifizierungverfahren verwendet werden.
Bei der Verwendung der CredSSP-Authentifizierung (Credential Security Service Provider) werden die Anmeldeinformationen des Benutzers zur Authentifizierung an einen Remotecomputer übergeben. Dieses Verfahren erhöht das Sicherheitsrisiko und sollte daher möglichst vermieden werden. CredSSP kann z. B. verwendet werden, wenn auf einem Remotecomputer einen Hintergrundauftrag ausgeführt werden soll.
So geht's:
- Jede Starten Sie ...\windows\regedit.exe bzw. ...\winnt\regedt32.exe.
- Clientvorgabe / Clienteinstellung:
- Klicken Sie sich durch folgende Schlüssel (Ordner) hindurch:
HKEY_LOCAL_MACHINE
Software
Policies
Microsoft
Windows
WinRM
Client
Falls die letzten Schlüssel noch nicht existieren, dann müssen Sie diese erstellen. Dazu klicken Sie mit der rechten Maustaste in das rechte Fenster. Im Kontextmenü wählen Sie "Neu" > "Schlüssel".
- Servervorgabe / Servereinstellung:
- Klicken Sie sich durch folgende Schlüssel (Ordner) hindurch:
HKEY_LOCAL_MACHINE
Software
Policies
Microsoft
Windows
WinRM
Service
Falls die letzten Schlüssel noch nicht existieren, dann müssen Sie diese erstellen. Dazu klicken Sie mit der rechten Maustaste in das rechte Fenster. Im Kontextmenü wählen Sie "Neu" > "Schlüssel".
- Basic-Authentifizierung:
- Doppelklicken Sie auf den Schlüssel "AllowBasic".
Falls dieser Schlüssel noch nicht existiert, dann müssen Sie ihn erstellen. Dazu klicken Sie mit der rechten Maustaste in das rechte Fenster. Im Kontextmenü wählen Sie "Neu" > "DWORD-Wert" (REG_DWORD). Als Schlüsselnamen geben Sie "AllowBasic" ein.
- Ändern Sie den Wert ggf. von "0" (verweigern) auf "1" (zulassen).
- CredSSP-Authentifizierung:
- Doppelklicken Sie auf den Schlüssel "AllowCredSSP".
Falls dieser Schlüssel noch nicht existiert, dann müssen Sie ihn erstellen. Dazu klicken Sie mit der rechten Maustaste in das rechte Fenster. Im Kontextmenü wählen Sie "Neu" > "DWORD-Wert" (REG_DWORD). Als Schlüsselnamen geben Sie "AllowCredSSP" ein.
- Ändern Sie den Wert ggf. von "0" (verweigern) auf "1" (zulassen).
- Die Änderungen werden ggf. erst nach einem Neustart aktiv.
Hinweise:
- AllowBasic:
0 = Die Basic-Authentifizierung ist nicht zugelassen und kann nicht aktiviert werden.
1 = Die Basic-Authentifizierung ist zugelassen und kann verwendet werden.
- AllowCredSSP:
0 = Die CredSSP-Authentifizierung ist nicht zugelassen und kann nicht aktiviert werden.
1 = Die CredSSP-Authentifizierung ist zugelassen und kann verwendet werden.
- Damit ein Benutzer mit administrativen Rechten die Basic- bzw. CredSSP-Authentifizierung wieder selbst konfigurieren kann, müssen Sie den / die Schlüssel "AllowBasic" bzw. "AllowCredSSP" wiederum löschen. Klicken Sie dazu auf den / die Schlüssel und drücken die Taste "Entf".
- Ändern Sie bitte nichts anderes in der Registrierungsdatei. Dies kann zur Folge haben, dass Windows und/oder Anwendungsprogramme nicht mehr richtig arbeiten.
|