Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Windows Remote Management mantém a segurança da comunicação entre computadores ao suportar vários métodos padrão de autenticação e encriptação de mensagens.
Acesso de grupo padrão
Durante a instalação, o WinRM cria o grupo local WinRMRemoteWMIUsers__. Em seguida, o WinRM restringe o acesso remoto a qualquer usuário que não seja membro do grupo de administração local ou do grupo WinRMRemoteWMIUsers__. Você pode adicionar um usuário local, usuário de domínio ou grupo de domínio ao WinRMRemoteWMIUsers__ digitando net localgroup WinRMRemoteWMIUsers__ /add <domain>\<username> no prompt de comando. Opcionalmente, você pode usar a Diretiva de Grupo para adicionar um usuário ao grupo.
Configurações de autenticação padrão
As credenciais padrão, o nome de usuário e a senha são as credenciais da conta de usuário conectada que executa o script.
Para alterar para outra conta num computador remoto
- Especifique as credenciais em um ConnectionOptions ou objeto IWSManConnectionOptions e forneça-o para a chamada CreateSession.
- Defina o WSManFlagCredUserNamePassword no parâmetro sinalizadores durante a chamada para CreateSession.
A lista a seguir contém uma lista do que ocorre quando um script ou aplicativo é executado sob as credenciais padrão:
- Kerberos é o método padrão de autenticação quando o cliente está em um domínio e a cadeia de caracteres de destino remoto não é uma das seguintes: localhost, 127.0.0.1 ou [::1].
- Negociar é o método padrão quando o cliente não está em um domínio, mas a cadeia de caracteres de destino remoto é uma das seguintes: localhost, 127.0.0.1 ou [::1].
Se você fornecer credenciais explícitas com um objetoConnectionOptions, Negotiate será o método padrão. A negociação de autenticação determina se o método de autenticação contínua é Kerberos ou NTLM, dependendo se os computadores estão num domínio ou num grupo de trabalho. Se estiver se conectando a um computador de destino remoto usando uma conta local, a conta deverá ser prefixada com o nome do computador. Por exemplo, myComputer\myUsername.
Se você especificar a autenticação Negotiate, Digest ou Basic e não fornecer um objetoConnectionOptions, receberá um erro indicando que credenciais explícitas são necessárias. Se HTTPS não for o transporte, o computador remoto de destino deverá ser configurado na lista de computadores host confiáveis.
Para mais informações sobre os tipos de autenticação ativados nas definições de configuração padrão, consulte Instalação e Configuração para Windows Gestão Remota.
Autenticação básica
Para estabelecer explicitamente Basic autenticação na chamada para o WSMan.CreateSession, defina as flags WSManFlagUseBasic e WSManFlagCredUserNamePassword no parâmetro flags. A autenticação básica está desabilitada nas definições de configuração padrão para o cliente WinRM e o servidor WinRM.
Autenticação Digest
Para estabelecer explicitamente autenticação Digest na chamada para WSMan.CreateSession, defina o sinalizador WSManFlagUseDigest no parâmetro flags. Digest não é suportado. Ele não pode ser configurado, para o componente de servidor WinRM.
Negociar autenticação
Para estabelecer explicitamente a autenticação Negotiate, também conhecida como Windows Autenticação Integrada, na chamada a WSMan.CreateSession, defina a flag WSManFlagUseNegotiate no parâmetro flags.
Controle de Conta de Usuário (UAC) afeta o acesso ao serviço WinRM. Quando a autenticação Negociar é usada num grupo de trabalho, somente a conta de Administrador integrada pode acessar o serviço. Para permitir que todas as contas do grupo Administradores acessem o serviço, defina o seguinte valor do Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy = 1
Autenticação Kerberos
Para estabelecer explicitamente Kerberos na chamada de WSMan.CreateSession, defina o flag WSManFlagUseKerberos no parâmetro de flags. Os computadores cliente e servidor devem estar associados a um domínio. Se você usar Kerberos como método de autenticação, não poderá usar um endereço IP na chamada para WSMan.CreateSession ou IWSMan::CreateSession.
Autenticação baseada em certificado de cliente
Para estabelecer a autenticação baseada em certificado de cliente na chamada para WSMan.CreateSession, ative o sinalizador WSManFlagUseClientCertificate no parâmetro flags.
Você deve primeiro habilitar a autenticação de certificado no cliente e no serviço usando a ferramenta de linha de comando Winrm. Para obter mais informações, consulte Habilitando opções de autenticação. Você também deve criar uma entrada na tabela CertMapping no computador do servidor WinRM. Isso estabelece um mapeamento entre um ou mais certificados e uma conta local. Depois que o certificado tiver sido usado para autenticação e autorização, a conta local correspondente será usada para operações executadas pelo serviço WinRM.
O mapeamento pode ser criado para um URI de recurso específico. Para saber mais, incluindo como criar uma entrada de tabela CertMapping, digite winrm help certmapping no prompt de comando.
Observação
O certificado de tamanho máximo utilizável pelo WinRM neste contexto é de 16KB.
Ativando ou desativando opções de autenticação
A opção de autenticação padrão na instalação do sistema é Kerberos. Para obter mais informações, consulte Instalação e Configuração para a Gestão Remota do Windows.
Se o script ou aplicativo exigir um método de autenticação específico que não esteja habilitado, você deverá alterar a configuração para habilitar esse tipo de autenticação. Esta alteração pode ser feita usando a ferramenta de linha de comandos Winrm ou através da Estratégia de Grupo para o Objeto de Política de Grupo de Gestão Remota Windows . Você também pode optar por desativar determinados métodos de autenticação.
Para habilitar ou desabilitar a autenticação com a ferramenta Winrm
Para definir a configuração para o cliente WinRM, use o comando Winrm set e especifique o cliente. Por exemplo, o comando a seguir desabilita a autenticação digest para o cliente.
winrm set winrm/config/client/auth @{Digest="false"}
Para definir a configuração para o servidor WinRM, use o comando Winrm set e especifique o serviço. Por exemplo, o comando a seguir habilita a autenticação Kerberos para o serviço.
winrm set winrm/config/service/auth @{Kerberos="true"}
Tópicos relacionados