不建议在生产环境中使用 CredSSP

Posted 2023-02-16

【中文标题】不建议在生产环境中使用 CredSSP

【英文标题】：CredSSP not recommended in Production environments

【发布时间】：2012-09-05 09:24:39

【问题描述】：

我尝试使用 PowerShell Remoting 部署 Sharepoint WSP 项目。

见https://sharepoint.stackexchange.com/questions/44880/powershell-remoting-sharepoint-2010-error

解决方案是为 Sharepoint 配置 CredSSP。

但微软说：

注意：凭据安全服务提供商 (CredSSP) 身份验证，其中用户的凭据被传递到远程 要进行身份验证的计算机，专为需要的命令而设计 对多个资源进行身份验证，例如访问远程 网络共享。这种机制增加了安全风险 远程操作。如果远程计算机受到威胁，则 传递给它的凭据可用于控制网络 会话。

参考：http://technet.microsoft.com/en-us/library/dd347668.aspx

不建议在生产环境中使用。

对使用 powershell 远程处理和共享点进行部署有什么建议吗？

Windows XP 更新

问题是 Windows XP SP3 中的 WinRM 2.0 不支持用于 PowerShell 的 CredSSP。

Powershell 2.0 - WinRM 2.0 + Windows XP SP3 + CredSSP + 为 Sharepoint 2010 部署 PS Remoting 是不可能的

http://social.technet.microsoft.com/Forums/is/winserverpowershell/thread/d86d7815-2d3a-43ae-95bd-5f4ebad3f263

【参考方案1】：

他们不建议这样做，因为如果第二个跃点受到威胁，则该远程处理链中的所有系统都存在受到威胁的风险。但是，如果您在安全的数据中心类型的环境中执行此操作，我认为没有任何风险。

但是，如果您仍需要更好的安全性，我建议您使用 SSL 端点。

【讨论】：

任何使用 PS Remoting 和“SSL 端点”的参考或良好示例（在我的情况下用于部署在 Sharepoint 服务器中）？

您无需为 SharePoint 执行任何特定操作，因为 PowerShell 远程处理独立于此。检查这是否有帮助：rcampi.blogspot.in/2011/10/powershell-remoting-using-ssl.html