Evil-WinRM-Py项目中的WinRM认证机制与配置指南
项目地址: https://gitcode.com/gh_mirrors/ev/evil-winrm-py 前言
Windows远程管理(WinRM)是微软提供的一种基于SOAP协议的远程管理技术,它允许管理员通过命令行或脚本远程执行Windows系统上的管理任务。evil-winrm-py项目是一个功能强大的WinRM客户端工具,本文将深入解析WinRM的认证机制及相关配置方法。
WinRM认证类型详解
WinRM支持多种认证机制,每种机制都有其特点和适用场景:
1. 协商认证(Negotiate Authentication)
协商认证是Windows实现的一种单点登录认证机制,基于SPNEGO(简单且受保护的GSSAPI协商机制)。该机制会自动选择Kerberos或NTLM作为认证协议,其中Kerberos是首选方案。
技术特点:
- 自动选择最安全的认证协议
- 在Windows环境中也称为Windows集成认证
- 支持单点登录体验
2. 基本认证(Basic Authentication)
最简单的认证方式,但安全性最低,不建议在生产环境中使用。
3. 摘要认证(Digest Authentication)
比基本认证更安全,使用哈希算法保护凭据。
4. Kerberos认证
基于票据的安全认证协议,适用于域环境。
5. NTLM认证
Windows的传统认证协议,安全性低于Kerberos但兼容性更好。
6. 证书认证(Certificate Authentication)
使用数字证书进行认证,安全性高但配置复杂。
7. CredSSP认证
允许凭证委派,适用于需要多跳认证的场景。
关键配置实践
启用HTTPS自签名证书配置
为提高安全性,建议配置WinRM使用HTTPS协议:
# 创建自签名证书
$cert = New-SelfSignedCertificate -CertstoreLocation Cert:\LocalMachine\My -DnsName $env:COMPUTERNAME
# 启用PSRemoting
Enable-PSRemoting -SkipNetworkProfileCheck -Force
# 创建HTTPS监听器
New-Item -Path WSMan:\LocalHost\Listener -Transport HTTPS -Address * -CertificateThumbPrint $cert.Thumbprint –Force
# 配置防火墙规则
New-NetFirewallRule -DisplayName "Windows Remote Management (HTTPS-In)" -Name "Windows Remote Management (HTTPS-In)" -Profile Any -LocalPort 5986 -Protocol TCP
证书认证配置详解
证书认证提供了更高的安全性,以下是完整配置流程:
1. 生成客户端证书
$username = 'local-user'
$clientParams = @{
CertStoreLocation = 'Cert:\CurrentUser\My'
NotAfter = (Get-Date).AddYears(1)
Provider = 'Microsoft Software Key Storage Provider'
Subject = "CN=$username"
TextExtension = @("2.5.29.37={text}1.3.6.1.5.5.7.3.2","2.5.29.17={text}upn=$username@localhost")
Type = 'Custom'
}
$cert = New-SelfSignedCertificate @clientParams
2. 导出证书文件
# 导出PEM格式公钥
Set-Content -Path "cert.pem" -Value @(
"-----BEGIN CERTIFICATE-----"
[Convert]::ToBase64String($cert.RawData) -replace ".{64}", "$&`n"
"-----END CERTIFICATE-----"
)
# 导出PFX格式私钥
$certPfxBytes = $cert.Export('Pfx', '')
[System.IO.File]::WriteAllBytes("$pwd\cert.pfx", $certPfxBytes)
3. 导入证书到信任存储
$store = Get-Item -LiteralPath Cert:\LocalMachine\Root
$store.Open('ReadWrite')
$store.Add($cert)
$store.Dispose()
4. 映射证书到本地账户
$credential = Get-Credential local-user
$certChain = [System.Security.Cryptography.X509Certificates.X509Chain]::new()
[void]$certChain.Build($cert)
$caThumbprint = $certChain.ChainElements.Certificate[-1].Thumbprint
$certMapping = @{
Path = 'WSMan:\localhost\ClientCertificate'
Subject = $cert.GetNameInfo('UpnName', $false)
Issuer = $caThumbprint
Credential = $credential
Force = $true
}
New-Item @certMapping
5. 转换私钥格式(可选)
openssl pkcs12 \
-in cert.pfx \
-nocerts \
-nodes \
-passin pass: |
sed -ne '/-BEGIN PRIVATE KEY-/,/-END PRIVATE KEY-/p' > priv-key.pem
实用管理命令
查看当前WinRM配置
winrm get winrm/config
枚举WinRM监听器
winrm enumerate winrm/config/listener
安全建议
- 在生产环境中,建议使用企业CA颁发的证书而非自签名证书
- 定期轮换证书和密钥
- 限制可以访问WinRM服务的IP地址范围
- 启用日志记录以监控WinRM访问
结语
通过evil-winrm-py项目,我们可以充分利用WinRM的强大功能实现安全的远程管理。理解各种认证机制的特点和配置方法,有助于管理员根据实际需求选择最适合的方案。证书认证虽然配置复杂,但提供了最高的安全性,特别适合对安全性要求高的环境。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
