원격 WMI 연결 설정

  • 아티클

원격 컴퓨터에서 WMI 네임스페이스에 연결하려면 Windows 방화벽, UAC(사용자 계정 컨트롤), DCOM 또는 CIMOM(Common Information Model Object Manager)에 대한 설정을 변경해야 할 수 있습니다.

이 항목에서 다루는 섹션은 다음과 같습니다.

Windows 방화벽 설정

Windows 방화벽 설정에 대한 WMI 설정은 다른 DCOM 애플리케이션이 아닌 WMI 연결만 사용하도록 설정합니다.

원격 대상 컴퓨터의 WMI에 대한 방화벽에서 예외를 설정해야 합니다. WMI에 대한 예외를 사용하면 WMI가 원격 연결 및 Unsecapp.exe에 대한 비동기 콜백을 수신할 수 있습니다. 자세한 내용은 비동기 호출에서 보안 설정을 참조하세요.

클라이언트 애플리케이션이 자체 싱크를 만드는 경우 콜백이 성공할 수 있도록 해당 싱크를 방화벽 예외에 명시적으로 추가해야 합니다.

WMI가 winmgmt /standalonehost 명령을 사용하여 고정 포트로 시작된 경우에도 WMI에 대한 예외가 작동합니다. 자세한 내용은 WMI에 대한 고정 포트 설정을 참조하세요.

Windows 방화벽 UI를 통해 WMI 트래픽을 사용하거나 사용하지 않도록 설정할 수 있습니다.

방화벽 UI를 사용하여 WMI 트래픽을 사용하거나 사용하지 않도록 설정하려면

  1. 제어판에서 보안을 클릭한 다음, Windows 방화벽을 클릭합니다.
  2. 설정 변경을 클릭한 다음, 예외 탭을 클릭합니다.
  3. 예외 창에서 WMI(Windows Management Instrumentation)에 대한 확인란을 선택하여 방화벽을 통해 WMI 트래픽을 사용하도록 설정합니다. WMI 트래픽을 사용하지 않도록 설정하려면 이 확인란의 선택을 취소합니다.

명령 프롬프트에서 방화벽을 통해 WMI 트래픽을 사용하거나 사용하지 않도록 설정할 수 있습니다.

WMI 규칙 그룹을 사용하여 명령 프롬프트에서 WMI 트래픽을 사용하거나 사용하지 않도록 설정하려면

  • 명령 프롬프트에서 다음 명령을 사용합니다. 다음을 입력하여 방화벽을 통해 WMI 트래픽을 사용하도록 설정합니다.

    netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=yes

    다음 명령을 입력하여 방화벽을 통해 WMI 트래픽을 사용하지 않도록 설정합니다.

    netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=no

단일 WMI 규칙 그룹 명령을 사용하는 대신 각 DCOM, WMI 서비스 및 싱크에 대해 개별 명령을 사용할 수도 있습니다.

DCOM, WMI, 콜백 싱크 및 나가는 연결에 대한 별도의 규칙을 사용하여 WMI 트래픽을 사용하도록 설정하려면

  1. DCOM 포트 135에 대한 방화벽 예외를 설정하려면 다음 명령을 사용합니다.

    netsh advfirewall firewall add rule dir=in name="DCOM" program=%systemroot%\system32\svchost.exe service=rpcss action=allow protocol=TCP localport=135

  2. WMI 서비스에 대한 방화벽 예외를 설정하려면 다음 명령을 사용합니다.

    netsh advfirewall firewall add rule dir=in name ="WMI" program=%systemroot%\system32\svchost.exe service=winmgmt action = allow protocol=TCP localport=any

  3. 원격 컴퓨터에서 콜백을 수신하는 싱크에 대한 방화벽 예외를 설정하려면 다음 명령을 사용합니다.

    netsh advfirewall firewall add rule dir=in name ="UnsecApp" program=%systemroot%\system32\wbem\unsecapp.exe action=allow

  4. 로컬 컴퓨터가 비동기적으로 통신하는 원격 컴퓨터에 대한 나가는 연결에 대해 방화벽 예외를 설정하려면 다음 명령을 사용합니다.

    netsh advfirewall firewall add rule dir=out name ="WMI_OUT" program=%systemroot%\system32\svchost.exe service=winmgmt action=allow protocol=TCP localport=any

방화벽 예외를 별도로 사용하지 않도록 설정하려면 다음 명령을 사용합니다.

DCOM, WMI, 콜백 싱크 및 나가는 연결에 대한 별도의 규칙을 사용하여 WMI 트래픽을 사용하지 않도록 설정하려면

  1. DCOM 예외를 사용하지 않도록 설정하려면

    netsh advfirewall firewall delete rule name="DCOM"

  2. WMI 서비스 예외를 사용하지 않도록 설정하려면

    netsh advfirewall firewall delete rule name="WMI"

  3. 싱크 예외를 사용하지 않도록 설정하려면

    netsh advfirewall firewall delete rule name="UnsecApp"

  4. 나가는 예외를 사용하지 않도록 설정하려면

    netsh advfirewall firewall delete rule name="WMI_OUT"

사용자 계정 컨트롤 설정

UAC(사용자 계정 컨트롤) 액세스 토큰 필터링은 WMI 네임스페이스에서 허용되는 작업 또는 반환되는 데이터에 영향을 줄 수 있습니다. UAC에서 로컬 관리자 그룹의 모든 계정은 표준 사용자 액세스 토큰(UAC 액세스 토큰 필터링이라고도 함)을 사용하여 실행됩니다. 관리자 계정은 관리자 권한으로 스크립트를 실행할 수 있습니다("관리자 권한으로 실행").

기본 제공 관리자 계정에 연결하지 않는 경우 UAC는 두 컴퓨터가 도메인에 있는지 또는 작업 그룹에 있는지에 따라 원격 컴퓨터에 대한 연결에 다르게 영향을 줍니다. UAC 및 원격 연결에 대한 자세한 내용은 사용자 계정 컨트롤 및 WMI를 참조하세요.

DCOM 설정

DCOM 설정에 대한 자세한 내용은 원격 WMI 연결 보안을 참조하세요. 그러나 UAC는 비도메인 사용자 계정에 대한 연결에 영향을 줍니다. 원격 컴퓨터의 로컬 Administrators 그룹에 포함된 비도메인 사용자 계정을 사용하여 원격 컴퓨터에 연결하는 경우 계정에 대한 원격 DCOM 액세스, 활성화 및 시작 권한을 명시적으로 부여해야 합니다.

CIMOM 설정

신뢰 관계가 없는 컴퓨터 간에 원격 연결이 있는 경우 CIMOM 설정을 업데이트해야 합니다. 그렇지 않으면 비동기 연결이 실패합니다. 동일한 도메인 또는 신뢰할 수 있는 도메인의 컴퓨터에 대해서는 이 설정을 수정해서는 안 됩니다.

익명 콜백을 허용하려면 다음 레지스트리 항목을 수정해야 합니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\AllowAnonymousCallback

               데이터 형식

               REG\_DWORD

AllowAnonymousCallback 값이 0으로 설정된 경우 WMI 서비스는 클라이언트에 대한 익명 콜백을 방지합니다. 값이 1로 설정된 경우 WMI 서비스는 클라이언트에 대한 익명 콜백을 허용합니다.

원격 컴퓨터에서 WMI에 연결