Mengamankan Koneksi WMI Jarak Jauh

  • Artikel

Untuk menyambungkan ke komputer jarak jauh menggunakan WMI, pastikan bahwa pengaturan DCOM yang benar dan pengaturan keamanan namespace layanan WMI diaktifkan untuk koneksi.

WMI memiliki pengaturan peniruan, autentikasi, dan layanan autentikasi default (NTLM atau Kerberos) yang diperlukan komputer target dalam koneksi jarak jauh. Komputer lokal Anda mungkin menggunakan default yang berbeda yang tidak diterima sistem target. Anda dapat mengubah pengaturan ini dalam panggilan koneksi.

Bagian berikut dibahas dalam topik ini:

Pengaturan Peniruan dan Autentikasi DCOM untuk WMI

WMI memiliki pengaturan peniruan identitas, autentikasi, dan autentikasi DCOM default (NTLM atau Kerberos) yang diperlukan sistem jarak jauh. Sistem lokal Anda mungkin menggunakan default berbeda yang tidak diterima sistem jarak jauh target. Anda dapat mengubah pengaturan ini dalam panggilan koneksi. Untuk informasi selengkapnya, lihat Mengatur Keamanan Proses Aplikasi Klien. Namun, untuk layanan autentikasi, disarankan agar Anda menentukan RPC_C_AUTHN_DEFAULT dan mengizinkan DCOM memilih layanan yang sesuai untuk komputer target.

Anda dapat menyediakan pengaturan dalam parameter untuk panggilan ke CoInitializeSecurity atau CoSetProxyBlanket di C++. Dalam skrip, Anda dapat membuat pengaturan keamanan dalam panggilan ke SWbemLocator.KoneksiServer, dalam objek SWbemSecurity, atau dalam string moniker pembuatan skrip.

Untuk daftar semua konstanta peniruan C++, lihat Mengatur Tingkat Keamanan Proses Default Menggunakan C++. Untuk konstanta Visual Basic dan string skrip untuk menggunakan koneksi moniker, lihat Mengatur Tingkat Keamanan Proses Default Menggunakan VBScript.

Tabel berikut mencantumkan pengaturan layanan peniruan, autentikasi, dan autentikasi DCOM default yang diperlukan oleh komputer target (Komputer B) dalam koneksi jarak jauh. Untuk informasi selengkapnya, lihat Mengamankan Koneksi WMI Jarak Jauh.

Sistem operasi Komputer B String skrip tingkat peniruan identitas String skrip tingkat autentikasi Layanan autentikasi
Windows Vista atau yang lebih baru Meniru Pkt Kerberos

 

Koneksi jarak jauh WMI dipengaruhi oleh Kontrol Akun Pengguna (UAC) dan Windows Firewall. Untuk informasi selengkapnya, lihat Koneksi ke WMI Dari Jarak Jauh Dimulai dengan Vista dan Koneksi Melalui Windows Firewall.

Ketahuilah bahwa menyambungkan ke WMI di komputer lokal memiliki tingkat autentikasi default PktPrivacy.

Mengatur Keamanan DCOM untuk Mengizinkan Pengguna Mengakses Komputer Dari Jarak Jauh

Keamanan di WMI terkait dengan menyambungkan ke namespace layanan WMI. WMI menggunakan DCOM untuk menangani panggilan jarak jauh. Salah satu alasan kegagalan untuk terhubung ke komputer jarak jauh adalah karena kegagalan DCOM (kesalahan "Akses DCOM Ditolak" desimal -2147024891 atau hex 0x80070005). Untuk informasi selengkapnya tentang keamanan DCOM di WMI untuk aplikasi C++, lihat Mengatur Keamanan Proses Aplikasi Klien.

Anda dapat mengonfigurasi pengaturan DCOM untuk WMI menggunakan utilitas Konfigurasi DCOM (DCOMCnfg.exe) yang ditemukan di Alat Administratif di Panel Kontrol. Utilitas ini mengekspos pengaturan yang memungkinkan pengguna tertentu untuk terhubung ke komputer dari jarak jauh melalui DCOM. Anggota grup Administrator diizinkan untuk terhubung dari jarak jauh ke komputer secara default. Dengan utilitas ini, Anda dapat mengatur keamanan untuk memulai, mengakses, dan mengonfigurasi layanan WMI.

Prosedur berikut menjelaskan cara memberikan izin startup dan aktivasi jarak jauh DCOM untuk pengguna dan grup tertentu. Jika Komputer A tersambung dari jarak jauh ke Komputer B, Anda dapat mengatur izin ini pada Komputer B untuk memperbolehkan pengguna atau grup yang bukan bagian dari grup Administrator di Komputer B untuk menjalankan panggilan mulai dan aktivasi DCOM di Komputer B.

Untuk memberikan izin peluncuran dan aktivasi jarak jauh DCOM untuk pengguna atau grup

  1. Klik Mulai, klik Jalankan, ketik DCOMCNFG, lalu klik OK.

  2. Dalam kotak dialog Layanan Komponen, perluas Layanan Komponen, perluas Komputer, lalu klik kanan Komputer Saya dan klik Properti.

  3. Dalam kotak dialog Properti Komputer Saya, klik tab Keamanan COM.

  4. Di bawah Izin Luncurkan dan Aktivasi, klik Edit Batas.

  5. Dalam kotak dialog Luncurkan Izin , ikuti langkah-langkah ini jika nama atau grup Anda tidak muncul di daftar Grup atau nama pengguna:

    1. Dalam kotak dialog Luncurkan Izin , klik Tambahkan.
    2. Dalam kotak dialog Pilih Pengguna, Komputer, atau Grup , tambahkan nama dan grup Anda di kotak Masukkan nama objek untuk dipilih , lalu klik OK.

  6. Dalam kotak dialog Luncurkan Izin , pilih pengguna dan grup Anda di kotak Nama grup atau pengguna. Di kolom Izinkan di bawah Izin untuk Pengguna, pilih Luncur Jarak Jauh dan pilih Aktivasi Jarak Jauh, lalu klik OK.

Prosedur berikut menjelaskan cara memberikan izin akses jarak jauh DCOM untuk pengguna dan grup tertentu. Jika Komputer A tersambung dari jarak jauh ke Komputer B, Anda bisa menyetel izin ini pada Komputer B untuk memperbolehkan pengguna atau grup yang bukan bagian dari grup Administrator pada Komputer B untuk tersambung ke Komputer B.

Untuk memberikan izin akses jarak jauh DCOM

  1. Klik Mulai, klik Jalankan, ketik DCOMCNFG, lalu klik OK.
  2. Dalam kotak dialog Layanan Komponen, perluas Layanan Komponen, perluas Komputer, lalu klik kanan Komputer Saya dan klik Properti.
  3. Dalam kotak dialog Properti Komputer Saya, klik tab Keamanan COM.
  4. Di bawah Izin Akses, klik Edit Batas.
  5. Dalam kotak dialog Izin Akses, pilih Nama MASUK ANONIM dalam kotak Nama grup atau pengguna. Di kolom Izinkan di bawah Izin untuk Pengguna, pilih Akses Jarak Jauh, lalu klik OK.

Mengizinkan Pengguna Mengakses Namespace Layanan WMI Tertentu

Anda dapat mengizinkan atau melarang pengguna mengakses namespace layanan WMI tertentu dengan mengatur izin "Aktifkan Jarak Jauh" di Kontrol WMI untuk namespace layanan. Jika pengguna mencoba menyambungkan ke namespace layanan tempat mereka tidak diizinkan mengakses, mereka akan menerima kesalahan 0x80041003. Secara default, izin ini hanya diaktifkan untuk administrator. Administrator dapat mengaktifkan akses jarak jauh ke namespace layanan WMI tertentu untuk pengguna nonadministrator.

Prosedur berikut menetapkan izin aktifkan jarak jauh untuk pengguna non-administrator.

Untuk mengatur izin pengaktifan jarak jauh

  1. Koneksi ke komputer jarak jauh menggunakan Kontrol WMI.

    Untuk informasi selengkapnya tentang Kontrol WMI, lihat Mengatur Keamanan Namespace dengan Kontrol WMI.

  2. Di tab Keamanan , pilih namespace layanan dan klik Keamanan.

  3. Temukan akun yang sesuai dan centang Aktifkan Jarak Jauh di daftar Izin .

Mengatur Keamanan Namespace layanan untuk Memerlukan Enkripsi Data untuk Koneksi Jarak Jauh

Administrator atau file MOF dapat mengonfigurasi namespace layanan WMI sehingga tidak ada data yang dikembalikan kecuali Anda menggunakan privasi paket (RPC_C_AUTHN_LEVEL_PKT_PRIVACY atau PktPrivacy sebagai moniker dalam skrip) dalam koneksi ke namespace tersebut. Ini memastikan bahwa data dienkripsi saat melintasi jaringan. Jika Anda mencoba mengatur tingkat autentikasi yang lebih rendah, Anda akan mendapatkan pesan akses ditolak. Untuk informasi selengkapnya, lihat Memerlukan Koneksi Terenkripsi ke Namespace.

Contoh kode VBScript berikut menunjukkan cara menyambungkan ke namespace terenkripsi menggunakan "pktPrivacy".

strComputer = "RemoteComputer"
Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate,authenticationLevel=pktPrivacy}!\\" _
                              & strComputer & "\root\EncryptedNamespace")

Mendelegasikan dengan WMI

Membuat Proses Dari Jarak Jauh dengan WMI

Mengamankan Klien dan Penyedia C++

Mengamankan Klien Scripting