Menyiapkan Koneksi WMI Jarak Jauh

  • Artikel

Menyambungkan ke namespace WMI pada komputer jarak jauh mungkin mengharuskan Anda mengubah pengaturan untuk Windows Firewall, User Account Control (UAC), DCOM, atau Common Information Model Object Manager (CIMOM).

Bagian berikut dibahas dalam topik ini:

Pengaturan Firewall Windows

Pengaturan WMI untuk pengaturan Windows Firewall hanya mengaktifkan koneksi WMI, bukan aplikasi DCOM lainnya juga.

Pengecualian harus diatur dalam firewall untuk WMI pada komputer target jarak jauh. Pengecualian untuk WMI memungkinkan WMI menerima koneksi jarak jauh dan panggilan balik asinkron ke Unsecapp.exe. Untuk informasi selengkapnya, lihat Mengatur Keamanan pada Panggilan Asinkron.

Jika aplikasi klien membuat sink sendiri, sink tersebut harus ditambahkan secara eksplisit ke pengecualian firewall untuk memungkinkan panggilan balik berhasil.

Pengecualian untuk WMI juga berfungsi jika WMI telah dimulai dengan port tetap, menggunakan perintah winmgmt /standalonehost . Untuk informasi selengkapnya, lihat Menyiapkan Port Tetap untuk WMI.

Anda dapat mengaktifkan atau menonaktifkan lalu lintas WMI melalui UI Windows Firewall.

Untuk mengaktifkan atau menonaktifkan lalu lintas WMI menggunakan UI firewall

  1. Di Panel Kontrol, klik Keamanan lalu klik Windows Firewall.
  2. Klik Ubah Pengaturan lalu klik tab Pengecualian .
  3. Di jendela Pengecualian, pilih kotak centang untuk Instrumentasi Manajemen Windows (WMI) untuk mengaktifkan lalu lintas WMI melalui firewall. Untuk menonaktifkan lalu lintas WMI, kosongkan kotak centang.

Anda dapat mengaktifkan atau menonaktifkan lalu lintas WMI melalui firewall di prompt perintah.

Untuk mengaktifkan atau menonaktifkan lalu lintas WMI pada prompt perintah menggunakan grup aturan WMI

  • Gunakan perintah berikut pada prompt perintah. Ketik yang berikut ini untuk mengaktifkan lalu lintas WMI melalui firewall.

    netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=yes

    Ketik perintah berikut untuk menonaktifkan lalu lintas WMI melalui firewall.

    netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=no

Daripada menggunakan perintah grup aturan WMI tunggal, Anda juga dapat menggunakan perintah individual untuk setiap DCOM, layanan WMI, dan sink.

Untuk mengaktifkan lalu lintas WMI menggunakan aturan terpisah untuk DCOM, WMI, sink panggilan balik, dan koneksi keluar

  1. Untuk membuat pengecualian firewall untuk port DCOM 135, gunakan perintah berikut.

    firewall advfirewall netsh menambahkan aturan dir=in name="DCOM" program=%systemroot%\system32\svchost.exe service=rpcss action=allow protocol=TCP localport=135

  2. Untuk membuat pengecualian firewall untuk layanan WMI, gunakan perintah berikut.

    netsh advfirewall firewall tambahkan aturan dir=in name ="WMI" program=%systemroot%\system32\svchost.exe service=winmgmt action = allow protocol=TCP localport=any

  3. Untuk membuat pengecualian firewall untuk sink yang menerima panggilan balik dari komputer jarak jauh, gunakan perintah berikut.

    netsh advfirewall firewall tambahkan aturan dir=in name ="UnsecApp" program=%systemroot%\system32\wbem\unsecapp.exe action=allow

  4. Untuk membuat pengecualian firewall untuk koneksi keluar ke komputer jarak jauh yang berkomunikasi dengan komputer lokal secara asinkron, gunakan perintah berikut.

    firewall netsh advfirewall menambahkan aturan dir=out name ="WMI_OUT" program=%systemroot%\system32\svchost.exe service=winmgmt action=allow protocol=TCP localport=any

Untuk menonaktifkan pengecualian firewall secara terpisah, gunakan perintah berikut.

Untuk menonaktifkan lalu lintas WMI menggunakan aturan terpisah untuk DCOM, WMI, sink panggilan balik, dan koneksi keluar

  1. Untuk menonaktifkan pengecualian DCOM.

    netsh advfirewall firewall delete rule name="DCOM"

  2. Untuk menonaktifkan pengecualian layanan WMI.

    netsh advfirewall firewall delete rule name="WMI"

  3. Untuk menonaktifkan pengecualian sink.

    netsh advfirewall firewall delete rule name="UnsecApp"

  4. Untuk menonaktifkan pengecualian keluar.

    netsh advfirewall firewall delete rule name="WMI_OUT"

Pengaturan Kontrol Akun Pengguna

Pemfilteran token akses Kontrol Akun Pengguna (UAC) dapat memengaruhi operasi mana yang diizinkan di namespace layanan WMI atau data apa yang dikembalikan. Di bawah UAC, semua akun di grup Administrator lokal berjalan dengan token akses pengguna standar, juga dikenal sebagai pemfilteran token akses UAC. Akun administrator dapat menjalankan skrip dengan hak istimewa yang ditinggikan—"Jalankan sebagai Administrator".

Ketika Anda tidak tersambung ke akun Administrator bawaan, UAC mempengaruhi koneksi ke komputer jarak jauh secara berbeda tergantung pada apakah kedua komputer tersebut berada dalam domain atau grup kerja. Untuk informasi selengkapnya tentang UAC dan koneksi jarak jauh, lihat Kontrol Akun Pengguna dan WMI.

Pengaturan DCOM

Untuk informasi selengkapnya tentang pengaturan DCOM, lihat Mengamankan Koneksi WMI Jarak Jauh. Namun, UAC memengaruhi koneksi untuk akun pengguna nondomain. Jika Anda tersambung ke komputer jarak jauh menggunakan akun pengguna nondomain yang disertakan dalam grup Administrator lokal komputer jarak jauh, maka Anda harus secara eksplisit memberikan akses DCOM jarak jauh, aktivasi, dan meluncurkan hak ke akun.

Pengaturan CIMOM

Pengaturan CIMOM perlu diperbarui jika koneksi jarak jauh berada di antara komputer yang tidak memiliki hubungan kepercayaan; jika tidak, koneksi asinkron akan gagal. Pengaturan ini tidak boleh dimodifikasi untuk komputer di domain yang sama atau di domain tepercaya.

Entri registri berikut perlu dimodifikasi untuk memungkinkan panggilan balik anonim:

\ HKEY_LOCAL_MACHINE PERANGKAT LUNAK\Microsoft\WBEM\CIMOM\AllowAnonymousCallback

               Jenis Data

               REG\_DWORD

Jika nilai AllowAnonymousCallback diatur ke 0, layanan WMI mencegah panggilan balik anonim ke klien. Jika nilai diatur ke 1, layanan WMI memungkinkan panggilan balik anonim ke klien.

Menyambungkan ke WMI pada Komputer Jarak Jauh