Configurazione di una connessione WMI remota

  • Articolo

La connessione a uno spazio dei nomi WMI in un computer remoto potrebbe richiedere di modificare le impostazioni per Windows Firewall, Controllo dell'account utente, DCOM o Common Information Model Object Manager (CIMOM).

In questo argomento vengono illustrate le sezioni seguenti:

Impostazioni di Windows Firewall

Le impostazioni WMI per le impostazioni di Windows Firewall consentono solo le connessioni WMI, anziché altre applicazioni DCOM.

È necessario impostare un'eccezione nel firewall per WMI nel computer di destinazione remota. L'eccezione per WMI consente a WMI di ricevere connessioni remote e callback asincroni per Unsecapp.exe. Per altre informazioni, vedere Impostazione della sicurezza in una chiamata asincrona.

Se un'applicazione client crea un sink personalizzato, tale sink deve essere aggiunto in modo esplicito alle eccezioni del firewall per consentire il successo dei callback.

L'eccezione per WMI funziona anche se WMI è stato avviato con una porta fissa, usando il comando winmgmt /standalonehost . Per altre informazioni, vedere Configurazione di una porta fissa per WMI.

È possibile abilitare o disabilitare il traffico WMI tramite l'interfaccia utente di Windows Firewall.

Per abilitare o disabilitare il traffico WMI tramite l'interfaccia utente del firewall

  1. Nel Pannello di controllo fare clic su Sicurezza e quindi su Windows Firewall.
  2. Fare clic su Modifica impostazioni e quindi sulla scheda Eccezioni .
  3. Nella finestra Eccezioni selezionare la casella di controllo Strumentazione gestione Windows (WMI) per abilitare il traffico WMI attraverso il firewall. Per disabilitare il traffico WMI, deselezionare la casella di controllo.

È possibile abilitare o disabilitare il traffico WMI attraverso il firewall al prompt dei comandi.

Per abilitare o disabilitare il traffico WMI al prompt dei comandi tramite il gruppo di regole WMI

  • Usare i comandi seguenti al prompt dei comandi. Digitare quanto segue per abilitare il traffico WMI attraverso il firewall.

    netsh advfirewall firewall set rule group="Strumentazione gestione Windows (wmi)" new enable=yes

    Digitare il comando seguente per disabilitare il traffico WMI attraverso il firewall.

    netsh advfirewall firewall set rule group="Strumentazione gestione Windows (wmi)" new enable=no

Invece di usare il singolo comando del gruppo di regole WMI, è anche possibile usare singoli comandi per ogni DCOM, servizio WMI e sink.

Per abilitare il traffico WMI usando regole separate per DCOM, WMI, sink di callback e connessioni in uscita

  1. Per stabilire un'eccezione del firewall per la porta DCOM 135, usare il comando seguente.

    netsh advfirewall firewall add rule dir=in name="DCOM" program=%systemroot%\system32\svchost.exe service=rpcss action=allow protocol=TCP localport=135

  2. Per stabilire un'eccezione del firewall per il servizio WMI, usare il comando seguente.

    netsh advfirewall firewall add rule dir=in name ="WMI" program=%systemroot%\system32\svchost.exe service=winmgmt action = allow protocol=TCP localport=any

  3. Per stabilire un'eccezione del firewall per il sink che riceve i callback da un computer remoto, usare il comando seguente.

    netsh advfirewall firewall add rule dir=in name ="UnsecApp" program=%systemroot%\system32\wbem\unsecapp.exe action=allow

  4. Per stabilire un'eccezione del firewall per le connessioni in uscita a un computer remoto con cui il computer locale comunica in modo asincrono, usare il comando seguente.

    netsh advfirewall firewall add rule dir=out name ="WMI_OUT" program=%systemroot%\system32\svchost.exe service=winmgmt action=allow protocol=TCP localport=any

Per disabilitare separatamente le eccezioni del firewall, usare i comandi seguenti.

Per disabilitare il traffico WMI usando regole separate per DCOM, WMI, sink di callback e connessioni in uscita

  1. Per disabilitare l'eccezione DCOM.

    netsh advfirewall firewall delete rule name="DCOM"

  2. Per disabilitare l'eccezione del servizio WMI.

    netsh advfirewall firewall delete rule name="WMI"

  3. Per disabilitare l'eccezione sink.

    netsh advfirewall firewall delete rule name="UnsecApp"

  4. Per disabilitare l'eccezione in uscita.

    netsh advfirewall firewall delete rule name="WMI_OUT"

Impostazioni di Controllo dell'account utente

Il filtro dei token di accesso del controllo dell'account utente può influire sulle operazioni consentite negli spazi dei nomi WMI o sui dati restituiti. In Controllo dell'account utente tutti gli account nel gruppo Administrators locale vengono eseguiti con un token di accesso utente standard, noto anche come filtro del token di accesso di Controllo dell'account utente. Un account amministratore può eseguire uno script con privilegi elevati: "Esegui come amministratore".

Quando non ci si connette all'account Amministratore predefinito, controllo dell'account utente influisce sulle connessioni a un computer remoto in modo diverso a seconda che i due computer si trovino in un dominio o in un gruppo di lavoro. Per altre informazioni su Controllo dell'account utente e connessioni remote, vedere Controllo dell'account utente e WMI.

Impostazioni DCOM

Per altre informazioni sulle impostazioni DCOM, vedere Protezione di una connessione WMI remota. Tuttavia, controllo dell'account utente influisce sulle connessioni per gli account utente non di dominio. Se ci si connette a un computer remoto usando un account utente non di dominio incluso nel gruppo Administrators locale del computer remoto, è necessario concedere in modo esplicito diritti di accesso, attivazione e avvio remoti all'account.

Impostazioni CIMOM

Le impostazioni CIMOM devono essere aggiornate se la connessione remota è tra computer che non hanno una relazione di trust; in caso contrario, una connessione asincrona avrà esito negativo. Questa impostazione non deve essere modificata per i computer nello stesso dominio o in domini attendibili.

Per consentire i callback anonimi, è necessario modificare la voce del Registro di sistema seguente:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\AllowAnonymousCallback

               Tipo di dati

               REG\_DWORD

Se il valore AllowAnonymousCallback è impostato su 0, il servizio WMI impedisce i callback anonimi al client. Se il valore è impostato su 1, il servizio WMI consente callback anonimi al client.

Connessione a WMI in un computer remoto