In PowerShell, welches Authentifizierungsschema sollte ich verwenden?

Question

Wenn Sie PowerShell-Remoting verwenden (z. B. mit dem Cmdlet Invoke-Command), ist ein Authentifizierungsschema erforderlich.

Die Optionen sind Kerberos, CredSSP, NTLM und Negotiate.

Was ist der Unterschied zwischen ihnen? Was soll ich verwenden?

Answer 1

Kerberos

Pro:

• Sehr sicher.
• Keine Notwendigkeit, implizite Anmeldeinformationen zu übergeben.

Nachteile:

• Erfordert einen SPN Rekord in der Domäne des Benutzers ausgeführt wird (nur registrierte automatisch auf die Domain des Computers Wenn es zwei verschiedene Domain ist - die SPN muss manuell registriert werden.).
• Unterstützt Remotedesktops nicht.

CredSSP

Etwas sicher - die Anmeldeinformationen werden an den Remote-Server übergeben und dort eingefangen werden können.

Vorteile:

• Unterstützt Second-Hop-Remoting.

Nachteile:

• Muss implizite Anmeldeinformationen übergeben.
• Benötigt spezielle Konfiguration auf dem Server & Client-Seite.

NTLM

Pro:

• Keine Notwendigkeit implizite Anmeldeinformationen zu übergeben.

Nachteile:

• nicht sehr sicher.
• Unterstützt Remotedesktops nicht.

Verhandeln

Kerberos Tries. Wenn fehlschlägt, Fallbacks zu NTLM. Manchmal sicher, manchmal nicht.

Vorteile:

• Keine Notwendigkeit implizite Anmeldeinformationen zu übergeben.

Nachteile:

• Nicht zweiten Hop-Remoting unterstützen.