Настройка удаленного WMI-подключения

  • Статья

Для подключения к пространству имен WMI на удаленном компьютере может потребоваться изменить параметры брандмауэра Windows, контроля учетных записей (UAC), DCOM или диспетчера объектов common information Model Object Manager (CIMOM).

В этой статье рассматриваются следующие разделы:

Параметры брандмауэра Windows

Параметры WMI для параметров брандмауэра Windows позволяют использовать только WMI-подключения, а не другие приложения DCOM.

Исключение должно быть задано в брандмауэре для WMI на удаленном целевом компьютере. Исключение для WMI позволяет WMI получать удаленные подключения и асинхронные обратные вызовы для Unsecapp.exe. Дополнительные сведения см. в разделе Настройка безопасности при асинхронном вызове.

Если клиентское приложение создает собственный приемник, этот приемник должен быть явно добавлен в исключения брандмауэра, чтобы обеспечить успешное выполнение обратных вызовов.

Исключение для WMI также работает, если WMI был запущен с фиксированным портом с помощью команды winmgmt /standalonehost . Дополнительные сведения см. в разделе Настройка фиксированного порта для WMI.

Вы можете включить или отключить трафик WMI с помощью пользовательского интерфейса брандмауэра Windows.

Включение или отключение трафика WMI с помощью пользовательского интерфейса брандмауэра

  1. В панель управления щелкните Безопасность, а затем — Брандмауэр Windows.
  2. Щелкните Изменить параметры , а затем перейдите на вкладку Исключения .
  3. В окне Исключения выберите поле проверка для инструментария управления Windows (WMI), чтобы включить трафик WMI через брандмауэр. Чтобы отключить трафик WMI, снимите флажок проверка.

Вы можете включить или отключить трафик WMI через брандмауэр в командной строке.

Включение или отключение трафика WMI в командной строке с помощью группы правил WMI

  • Используйте следующие команды в командной строке. Введите следующую команду, чтобы включить трафик WMI через брандмауэр.

    netsh advfirewall firewall set rule group="windows Management Instrumentation (wmi)" new enable=yes

    Введите следующую команду, чтобы отключить трафик WMI через брандмауэр.

    netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=no

Вместо одной команды группы правил WMI можно использовать отдельные команды для каждого из DCOM, службы WMI и приемника.

Включение трафика WMI с помощью отдельных правил для DCOM, WMI, приемника обратных вызовов и исходящих подключений

  1. Чтобы установить исключение брандмауэра для порта DCOM 135, используйте следующую команду.

    netsh advfirewall firewall add rule dir=in name="DCOM" program=%systemroot%\system32\svchost.exe service=rpcss action=allow protocol=TCP localport=135

  2. Чтобы установить исключение брандмауэра для службы WMI, используйте следующую команду.

    netsh advfirewall firewall add rule dir=in name ="WMI" program=%systemroot%\system32\svchost.exe service=winmgmt action = allow protocol=TCP localport=any

  3. Чтобы установить исключение брандмауэра для приемника, который получает обратные вызовы с удаленного компьютера, используйте следующую команду.

    netsh advfirewall firewall add rule dir=in name ="UnsecApp" program=%systemroot%\system32\wbem\unsecapp.exe action=allow

  4. Чтобы установить исключение брандмауэра для исходящих подключений к удаленному компьютеру, с которым локальный компьютер взаимодействует асинхронно, используйте следующую команду.

    netsh advfirewall firewall add rule dir=out name ="WMI_OUT" program=%systemroot%\system32\svchost.exe service=winmgmt action=allow protocol=TCP localport=any

Чтобы отключить исключения брандмауэра отдельно, используйте следующие команды.

Отключение трафика WMI с помощью отдельных правил для DCOM, WMI, приемника обратных вызовов и исходящих подключений

  1. Отключение исключения DCOM.

    netsh advfirewall firewall delete rule name="DCOM"

  2. Отключение исключения службы WMI.

    netsh advfirewall firewall delete rule name="WMI"

  3. Отключение исключения приемника.

    netsh advfirewall firewall delete rule name="UnsecApp"

  4. Отключение исходящего исключения.

    netsh advfirewall firewall delete rule name="WMI_OUT"

Параметры контроля учетных записей

Фильтрация маркеров доступа контроля учетных записей (UAC) может повлиять на то, какие операции разрешены в пространствах имен WMI или какие данные возвращаются. В разделе UAC все учетные записи в локальной группе Администраторы выполняются с маркером доступа обычного пользователя, который также называется фильтрацией маркеров доступа контроля учетных записей. Учетная запись администратора может выполнять скрипт с повышенными привилегиями — "Запуск от имени администратора".

Если вы не подключаетесь к встроенной учетной записи администратора, UAC по-разному влияет на подключения к удаленному компьютеру в зависимости от того, находятся ли два компьютера в домене или рабочей группе. Дополнительные сведения о UAC и удаленных подключениях см. в разделе Контроль учетных записей пользователей и WMI.

Параметры DCOM

Дополнительные сведения о параметрах DCOM см. в разделе Защита удаленного WMI-подключения. Однако контроль учетных записей влияет на подключения для учетных записей пользователей, не являющихся доменными. При подключении к удаленному компьютеру с помощью учетной записи пользователя, не являющейся доменом, включенной в локальную группу администраторов удаленного компьютера, необходимо явно предоставить удаленному DCOM доступ, активацию и запуск учетной записи.

Параметры CIMOM

Параметры CIMOM необходимо обновить, если удаленное подключение осуществляется между компьютерами, у которых нет отношения доверия; В противном случае произойдет сбой асинхронного подключения. Этот параметр не следует изменять для компьютеров в том же домене или в доверенных доменах.

Чтобы разрешить анонимные обратные вызовы, необходимо изменить следующую запись реестра:

HKEY_LOCAL_MACHINE\ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ\Microsoft\WBEM\CIMOM\AllowAnonymousCallback

               Тип данных

               REG\_DWORD

Если значение AllowAnonymousCallback равно 0, служба WMI предотвращает анонимные обратные вызовы для клиента. Если задано значение 1, служба WMI разрешает анонимные обратные вызовы клиенту.

Подключение к WMI на удаленном компьютере