Cómo restaurar la configuración de administración remota de Windows cuando se deshabiliten todos los esquemas de autenticación en un equipo que ejecuta Windows Server 2008 R2

INTRODUCCIÓN

Este artículo explica cómo restaurar la configuración de administración remota de Windows cuando todos los métodos de autenticación están deshabilitados en Windows Server 2008 R2.

Más información

En Windows Remote Management 2.0, todas las operaciones se controlan como si proceden de un equipo remoto. Por tanto, las solicitudes que utilizan un destino de "localhost" requieren que se está ejecutando el servicio de administración remota de Windows y que están habilitados los métodos de autenticación correcto.



En concreto, administración remota de Windows le permite configurar los esquemas de autenticación que se permiten en ambos el cliente y en el lado del servidor. Estos valores son los siguientes:

C:\Windows\system32>winrm get winrm/config/client/authAuth
Basic = true
Digest = true
Kerberos = true
Negotiate = true
Certificate = true
CredSSP = false

C:\Windows\system32>winrm get winrm/config/service/authAuth
Basic = false
Kerberos = true
Negotiate = true
Certificate = false
CredSSP = false
CbtHardeningLevel = None [Source="GPO"]
Nota: El primer ejemplo muestra los esquemas de autenticación que se permiten en el cliente y en el segundo ejemplo hace lo mismo en el servidor.

Hay dos situaciones posibles donde un usuario puede eficazmente imposibilitar administración remota de Windows:
  • Si el usuario deshabilita todos los esquemas de autenticación para el servicio, el servicio ya no acepta solicitudes de cualquier cliente. En esta situación, una operación de administración remota de Windows no se puede pasar a través del servicio bloqueado. Por lo tanto, no se puede cambiar la configuración.
  • Si el usuario deshabilita todos los esquemas de autenticación para el cliente, el cliente ya no se puede conectar a cualquier extremo de administración remota de Windows. En esta situación, la administración remota de Windows no se puede conectar con el extremo local. Por lo tanto, no puede cambiar la configuración del cliente.
Administración remota de Windows es compatible con una operación de restauración de invocación que establece la configuración de volver a la configuración predeterminada. Sin embargo, esta operación se tiene que utilizar el servicio. Por lo tanto, esta operación es inútil en las situaciones mencionadas anteriormente.


Si se produce una de estas situaciones, lo siguiente es posible para restaurar la administración remota de Windows a un estado utilizable.

El usuario cambia la configuración de directiva de grupo pertinente para habilitar al menos un mecanismo de autenticación. El usuario puede ejecutar un comando de winrm para habilitar todos los mecanismos de autenticación necesaria en ambos el específica del cliente y en los valores de configuración específicos del servicio. A continuación, el usuario vuelve a la configuración de directiva de grupo vuelven a su estado original.


La configuración de directiva de grupo correspondiente se puede encontrar en la siguiente ubicación:
Plantillas administrativas > componentes de Windows > administración remota de Windows (WinRM)
Las siguientes son las directivas pertinentes:
WinRM Client > Allow Basic authenticationWinRM Client > Allow CredSSP authentication
WinRM Client > Disallow Digest authentication
WinRM Client > Disallow Kerberos authentication
WinRM Client > Disallow Negotiate authentication

WinRM Service > Allow Basic authentication
WinRM Service > Allow CredSSP authentication
WinRM Service > Disallow Kerberos authentication
WinRM Service > Disallow Negotiate authentication



Los siguientes ejemplos de comando Habilitar esquemas de autenticación determinado en el cliente de administración remota de Windows o en el servicio de administración remota de Windows:
winrm set winrm/config/cliente/Auth @{básica = "true"}
winrm set winrm/config/service/Auth @{básica = "true"}
Nota:  Estos ejemplos de comando habilitar la autenticación básica.
Propiedades

Id. de artículo: 978319 - Última revisión: 13 ene. 2017 - Revisión: 1

Comentarios