Configuración de una conexión WMI remota

  • Artículo

La conexión a un espacio de nombres WMI en un equipo remoto puede requerir que cambie la configuración de Firewall de Windows, Control de cuentas de usuario (UAC), DCOM o Common Information Model Object Manager (CIMOM).

En este tema se describen las secciones siguientes:

Configuración de Windows Firewall

La configuración de WMI para la configuración del Firewall de Windows solo habilita conexiones WMI, en lugar de otras aplicaciones de DCOM.

Se debe establecer una excepción en el firewall para WMI en el equipo de destino remoto. La excepción de WMI permite que WMI reciba conexiones remotas y devoluciones de llamada asincrónicas a Unsecapp.exe. Para más información, consulte Establecimiento de la seguridad en una llamada asincrónica.

Si una aplicación cliente crea su propio receptor, ese receptor se debe agregar explícitamente a las excepciones de firewall para permitir que las devoluciones de llamada se realicen correctamente.

La excepción de WMI también funciona si WMI se ha iniciado con un puerto fijo, mediante el comando winmgmt /standalonehost. Para más información, vea Configurar un puerto fijo para WMI.

Puede habilitar o deshabilitar el tráfico de WMI a través de la interfaz de usuario del Firewall de Windows.

Para habilitar o deshabilitar el tráfico de WMI mediante la interfaz de usuario del firewall

  1. En el Panel de Control, haga clic en Seguridad y, a continuación, haga clic en Firewall de Windows.
  2. Haga clic en Cambiar configuración y, a continuación, haga clic en la pestaña Excepciones.
  3. En la ventana Excepciones, seleccione la casilla para Instrumental de administración de Windows (WMI) para permitir el tráfico de WMI a través del firewall. Para deshabilitar el tráfico de WMI, desactive la casilla.

Puede habilitar o deshabilitar el tráfico de WMI a través del firewall en el símbolo del sistema.

Para habilitar o deshabilitar el tráfico de WMI en el símbolo del sistema mediante el grupo de reglas de WMI

  • Use los comandos siguientes en un símbolo del sistema. Escriba lo siguiente para habilitar el tráfico de WMI a través del firewall.

    netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=yes

    Escriba el siguiente comando para deshabilitar el tráfico de WMI a través del firewall.

    netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=no

En lugar de usar el único comando de grupo de reglas de WMI, también puede usar comandos individuales para cada uno de los DCOM, el servicio WMI y el receptor.

Para habilitar el tráfico de WMI mediante reglas independientes para DCOM, WMI, receptor de devolución de llamada y conexiones salientes

  1. Para establecer una excepción de firewalls para el puerto DCOM 135, use el siguiente comando.

    netsh advfirewall firewall add rule dir=in name="DCOM" program=%systemroot%\system32\svchost.exe service=rpcss action=allow protocol=TCP localport=135

  2. Para establecer una excepción de firewalls para el servicio WMI, use el siguiente comando.

    netsh advfirewall firewall add rule dir=in name ="WMI" program=%systemroot%\system32\svchost.exe service=winmgmt action = allow protocol=TCP localport=any

  3. Para establecer una excepción de firewalls para el receptor que recibe llamadas de retorno de un equipo remoto, use el siguiente comando.

    netsh advfirewall firewall add rule dir=in name ="UnsecApp" program=%systemroot%\system32\wbem\unsecapp.exe action=allow

  4. Para establecer una excepción de firewalls para las conexiones salientes a un equipo remoto con el que el equipo local se está comunicando de forma asíncrona, use el siguiente comando.

    netsh advfirewall firewall add rule dir=out name ="WMI_OUT" program=%systemroot%\system32\svchost.exe service=winmgmt action=allow protocol=TCP localport=any

Para deshabilitar las excepciones de firewall por separado, use los siguientes comandos.

Para deshabilitar el tráfico de WMI mediante reglas independientes para DCOM, WMI, receptor de devolución de llamada y conexiones salientes

  1. Para deshabilitar la excepción de DCOM.

    netsh advfirewall firewall delete rule name="DCOM"

  2. Para deshabilitar la excepción del servicio WMI.

    netsh advfirewall firewall delete rule name="WMI"

  3. Para deshabilitar la excepción de receptor.

    netsh advfirewall firewall delete rule name="UnsecApp"

  4. Para deshabilitar la excepción saliente.

    netsh advfirewall firewall delete rule name="WMI_OUT"

Configuración de Control de cuentas de usuario

El filtrado de tokens de acceso de Control de cuentas de usuario (UAC) puede afectar a qué operaciones se permiten en los espacios de nombres de WMI o qué datos se devuelven. En UAC, todas las cuentas del grupo administradores locales se ejecutan con un token de acceso de usuario estándar, también conocido como filtrado de tokens de acceso de UAC. Una cuenta de administrador puede ejecutar un script con privilegios elevados: "Ejecutar como administrador".

Cuando no se conecta a la cuenta de administrador integrada, UAC afecta a las conexiones a un equipo remoto de forma diferente en función de si los dos equipos están en un dominio o en un grupo de trabajo. Para más información sobre UAC y las conexiones remotas, vea Control de cuentas de usuario y WMI.

Configuración de DCOM

Para más información sobre la configuración de DCOM, consulte Protección de una conexión de WMI remota. Sin embargo, UAC afecta a las conexiones de las cuentas de usuario que no pertenecen al dominio. Si se conecta a un equipo remoto usando una cuenta de usuario ajena al dominio incluida en el grupo local Administradores del equipo remoto, deberá conceder explícitamente a la cuenta los derechos de acceso, activación e inicio de DCOM remoto.

Configuración de CIMOM

La configuración de CIMOM debe actualizarse si la conexión remota está entre equipos que no tienen una relación de confianza; de lo contrario, se producirá un error en una conexión asincrónica. Esta configuración no se debe modificar para los equipos del mismo dominio o en dominios de confianza.

La siguiente entrada del Registro debe modificarse para permitir devoluciones de llamada anónimas:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\AllowAnonymousCallback

               Tipo de datos

               REG\_DWORD

Si el valor AllowAnonymousCallback se establece en 0, el servicio WMI impide devoluciones de llamada anónimas al cliente. Si el valor se establece en 1, el servicio WMI permite devoluciones de llamada anónimas al cliente.

Conexión a WMI en un equipo remoto