Udostępnij przez

Zabezpieczanie zdalnego połączenia WMI

Aby nawiązać połączenie z komputerem zdalnym przy użyciu usługi WMI, upewnij się, że dla połączenia są włączone prawidłowe ustawienia dcOM i ustawienia zabezpieczeń przestrzeni nazw usługi WMI.

Usługa WMI ma domyślne ustawienia personifikacji, uwierzytelniania i metody uwierzytelniania (NTLM lub Kerberos), których wymaga komputer docelowy w połączeniu zdalnym. Komputer lokalny może używać różnych wartości domyślnych, które system docelowy nie akceptuje. Te ustawienia można zmienić w wywołaniu połączenia.

W tym temacie omówiono następujące sekcje:

Ustawienia personifikacji i uwierzytelniania modelu DCOM dla usługi WMI

WMI ma domyślne ustawienia personifikacji, uwierzytelniania i usługi uwierzytelniania (NTLM lub Kerberos), których wymaga system zdalny. System lokalny może używać różnych wartości domyślnych, które system zdalny docelowy nie akceptuje. Te ustawienia można zmienić w wywołaniu połączenia. Aby uzyskać więcej informacji, zobacz sekcję „Setting Client Application Process Security”. Jednak w przypadku usługi uwierzytelniania zaleca się określenie RPC_C_AUTHN_DEFAULT i zezwolenie DCOM na wybranie odpowiedniej usługi dla komputera docelowego.

Ustawienia można podać w parametrach dla wywołań CoInitializeSecurity lub CoSetProxyBlanket w języku C++. W skryptach można ustanowić ustawienia zabezpieczeń w wywołaniach do SWbemLocator.ConnectServer, w obiekcie SWbemSecurity lub w ciągu monikera skryptów.

Aby uzyskać listę wszystkich stałych impersonacji C++, zobacz sekcję Ustawianie przy użyciu C++ domyślnego poziomu zabezpieczeń procesu. Aby zobaczyć stałe i ciągi skryptowe języka Visual Basic dotyczące użycia połączenia moniker, zobacz Ustawianie domyślnego poziomu zabezpieczeń procesu przy użyciu języka VBScript.

W poniższej tabeli wymieniono domyślne ustawienia impersonacji DCOM, uwierzytelniania i usługi uwierzytelniania wymagane przez komputer docelowy (komputer B) w połączeniu zdalnym. Aby uzyskać więcej informacji, zobacz Zabezpieczanie zdalnego połączenia WMI.

System operacyjny komputera B Ciąg skryptu na poziomie podszywania się Ciąg skryptów na poziomie uwierzytelniania Usługa uwierzytelniania
Windows Vista lub nowszy Podszywać się Pkt Kerberos

 

Na połączenia zdalne usługi WMI mają wpływ Kontrola konta użytkownika (UAC) i Zapora systemu Windows. Aby uzyskać więcej informacji, zobacz Łączenie z WMI zdalnie zaczynając od Vista oraz Łączenie przez Zaporę systemu Windows.

Należy pamiętać, że nawiązywanie połączenia z usługą WMI na komputerze lokalnym ma domyślny poziom uwierzytelniania PktPrivacy.

Ustawianie zabezpieczeń modelu DCOM w celu zezwolenia użytkownikowi na zdalny dostęp do komputera

Zabezpieczenia w WMI są związane z nawiązywaniem połączenia z przestrzenią nazw WMI. Usługa WMI używa DCOM do obsługi wywołań zdalnych. Jedną z przyczyn niepowodzenia w łączeniu się z komputerem zdalnym jest błąd DCOM ("Odmowa dostępu DCOM" błąd -2147024891 w systemie dziesiętnym lub 0x80070005 w systemie szesnastkowym). Aby uzyskać więcej informacji na temat zabezpieczeń DCOM w usłudze WMI dla aplikacji języka C++, zobacz Setting Client Application Process Security.

Ustawienia modelu DCOM dla usługi WMI można skonfigurować przy użyciu narzędzia DCOM Config (DCOMCnfg.exe) znajdującego się w Narzędzia administracyjne w panelu sterowania . To narzędzie uwidacznia ustawienia, które umożliwiają niektórym użytkownikom zdalne łączenie się z komputerem za pośrednictwem modelu DCOM. Członkowie grupy Administratorzy mogą domyślnie łączyć się zdalnie z komputerem. Za pomocą tego narzędzia można ustawić zabezpieczenia, aby uruchomić, uzyskać dostęp i skonfigurować usługę WMI.

W poniższej procedurze opisano sposób udzielania uprawnień do zdalnego uruchamiania i aktywacji modelu DCOM dla niektórych użytkowników i grup. Jeśli komputer A łączy się zdalnie z komputerem B, możesz ustawić te uprawnienia na komputerze B, aby zezwolić użytkownikowi lub grupie, która nie jest częścią grupy Administratorzy na komputerze B do wykonywania wywołań uruchamiania i aktywacji DCOM na komputerze B.

Aby udzielić uprawnień do zdalnego uruchamiania i aktywacji DCOM dla użytkownika lub grupy

  1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz DCOMCNFG, a następnie kliknij przycisk OK.

  2. W oknie dialogowym Usługi składników, rozwiń Usługi składników, rozwiń Komputery, a następnie kliknij prawym przyciskiem myszy na Mój komputer i kliknij Właściwości.

  3. W oknie dialogowym Właściwości Mojego Komputera kliknij kartę COM Security.

  4. W sekcji Uprawnienia do uruchamiania i aktywacjikliknij Edytuj limity.

  5. W oknie dialogowym Uruchom uprawnienie wykonaj następujące kroki, jeśli nazwa użytkownika lub grupa nie jest wyświetlana na liście Grupy lub nazwy użytkowników:

    1. W oknie dialogowym Uruchom uprawnienie kliknij przycisk Dodaj.
    2. W oknie dialogowym Wybierz użytkowników, komputery lub grupy dodaj swoje imię i grupę w polu Wprowadź nazwy obiektów do wybrania, a następnie kliknij OK.

  6. W oknie dialogowym Uprawnienia uruchamiania wybierz użytkownika i grupę w nazwach grup lub użytkowników. W kolumnie Zezwalaj na w obszarze Uprawnienia dla użytkownika, wybierz pozycję Zdalne uruchamianie i wybierz pozycję Zdalna aktywacja, a następnie kliknij przycisk OK.

Poniższa procedura opisuje sposób udzielania uprawnień dostępu zdalnego DCOM dla niektórych użytkowników i grup. Jeśli komputer A łączy się zdalnie z komputerem B, możesz ustawić te uprawnienia na komputerze B, aby zezwolić użytkownikowi lub grupie, która nie jest częścią grupy Administratorzy na komputerze B, aby połączyć się z komputerem B.

Aby udzielić uprawnień dostępu zdalnego DCOM

  1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz DCOMCNFG, a następnie kliknij przycisk OK.
  2. W oknie dialogowym Usługi składników rozwiń węzeł Usługi składników, rozwiń węzeł Komputery, a następnie kliknij prawym przyciskiem myszy pozycję Mój komputer i kliknij pozycję Właściwości.
  3. W oknie dialogowym Właściwości Mojego Komputera kliknij kartę Zabezpieczeń COM.
  4. W sekcji Zezwolenia dostępukliknij Edytuj limity.
  5. W oknie dialogowym uprawnienia dostępu wybierz nazwa logowania anonimowego w Grupa lub nazwy użytkowników. W kolumnie Zezwalaj na w obszarze uprawnienia użytkownikawybierz pozycję dostępu zdalnego, a następnie kliknij przycisk OK.

Udzielanie użytkownikom dostępu do określonej przestrzeni nazw WMI

Możesz zezwolić lub uniemożliwić użytkownikom dostęp do określonej przestrzeni nazw usługi WMI, ustawiając uprawnienie "Zdalne włączanie" w kontrolce usługi WMI dla przestrzeni nazw. Jeśli użytkownik spróbuje nawiązać połączenie z przestrzenią nazw, do której nie ma dostępu, zostanie wyświetlony błąd 0x80041003. Domyślnie to uprawnienie jest włączone tylko dla administratorów. Administrator może włączyć zdalny dostęp do określonych przestrzeni nazw usługi WMI dla użytkownika niebędącego administratorem.

Poniższa procedura ustawia uprawnienia zdalnego włączania dla użytkownika niebędącego administratorem.

Aby ustawić uprawnienia włączania zdalnego

  1. Nawiąż połączenie z komputerem zdalnym przy użyciu kontrolki WMI.

    Aby uzyskać więcej informacji na temat kontrolki WMI, zobacz Ustawianie zabezpieczeń przestrzeni nazw za pomocą kontrolki WMI.

  2. Na karcie zabezpieczeń wybierz przestrzeń nazw i kliknij pozycję Zabezpieczenia.

  3. Znajdź odpowiednie konto i zaznacz Remote Enable na liście Uprawnienia.

Ustawianie zabezpieczeń przestrzeni nazw na wymaganie szyfrowania danych dla połączeń zdalnych

Administrator lub plik MOF może skonfigurować przestrzeń nazw usługi WMI tak, aby żadne dane nie zostały zwrócone, chyba że używasz prywatności pakietów (RPC_C_AUTHN_LEVEL_PKT_PRIVACY lub PktPrivacy jako pseudonim w skryfcie) w połączeniu z tą przestrzenią nazw. Dzięki temu dane są szyfrowane w miarę przekraczania sieci. Jeśli spróbujesz ustawić niższy poziom uwierzytelniania, otrzymasz komunikat o odmowie dostępu. Aby uzyskać więcej informacji, zobacz Wymaganie szyfrowanego połączenia z przestrzenią nazw.

Poniższy przykład kodu VBScript pokazuje, jak nawiązać połączenie z zaszyfrowaną przestrzenią nazw przy użyciu polecenia "pktPrivacy".

strComputer = "RemoteComputer"
Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate,authenticationLevel=pktPrivacy}!\\" _
                              & strComputer & "\root\EncryptedNamespace")

Delegowanie przy użyciu usługi WMI

Zdalne Tworzenie Procesów za Pomocą Usługi WMI

Zabezpieczanie klientów i dostawców języka C++

zabezpieczanie klientów skryptów

 

 

  • Last updated on