Compartilhar via


Configurando uma conexão WMI remota

Conectar-se a um namespace do WMI em um computador remoto pode exigir alterar as configurações do Firewall do Windows, UAC (Controle de Conta de Usuário), DCOM ou CIMOM (Common Information Model Object Manager).

As seções a seguir serão abordadas neste tópico:

Configurações de Firewall do Windows

As configurações de WMI para configurações de Firewall do Windows permitem apenas conexões do WMI, em vez de outros aplicativos do DCOM também.

Uma exceção deve ser definida no firewall para o WMI no computador de destino remoto. A exceção para o WMI permite que o WMI receba conexões remotas e retornos de chamada assíncronos para Unsecapp.exe. Para obter mais informações, confira Configurar a segurança em uma chamada assíncrona.

Se um aplicativo cliente criar seu próprio coletor, esse coletor deverá ser explicitamente adicionado às exceções de firewall para permitir que os retornos de chamada tenham êxito.

A exceção para WMI também funcionará se o WMI foi iniciado com uma porta fixa, usando o comando winmgmt /standalonehost. Para obter mais informações, consulte Configurando uma porta fixa para o WMI.

Habilite ou desabilite o tráfego do WMI por meio da interface do usuário do Firewall do Windows.

Para habilitar ou desabilitar o tráfego do WMI usando a interface do usuário do firewall

  1. No Painel de Controle, selecione Segurança e, em seguida, selecione Firewall do Windows.
  2. Selecione Alterar configurações e na guia Exceções.
  3. Na janela Exceções, marque a caixa de seleção para a WMI (Instrumentação de Gerenciamento do Windows) para habilitar o tráfego de WMI através do firewall. Para desabilitar o tráfego do WMI, limpe a caixa de seleção.

Habilitar e desabilite o tráfego do WMI através do firewall no prompt de comando.

Para habilitar ou desabilitar o tráfego de WMI no prompt de comando usando o grupo de regras WMI

  • Use os comandos a seguir em um prompt de comando. Digite o seguinte para habilitar o tráfego do WMI por meio do firewall.

    netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=yes

    Digite o comando a seguir para desabilitar o tráfego do WMI por meio do firewall.

    netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=no

Em vez de usar o único comando de grupo de regras do WMI, você também pode usar comandos individuais para cada um dos DCOM, serviço de WMI e coletor.

Para habilitar o tráfego de WMI usando regras separadas para DCOM, WMI, coletor de retorno de chamada e conexões de saída

  1. Para estabelecer uma exceção de firewall para a porta DCOM 135, use o seguinte comando.

    netsh advfirewall firewall add rule dir=in name="DCOM" program=%systemroot%\system32\svchost.exe service=rpcss action=allow protocol=TCP localport=135

  2. Para estabelecer uma exceção de firewall para o serviço do WMI, use o seguinte comando.

    netsh advfirewall firewall add rule dir=in name ="WMI" program=%systemroot%\system32\svchost.exe service=winmgmt action = allow protocol=TCP localport=any

  3. Para estabelecer uma exceção de firewall para o coletor que recebe retornos de chamada de um computador remoto, use o seguinte comando.

    netsh advfirewall firewall add rule dir=in name ="UnsecApp" program=%systemroot%\system32\wbem\unsecapp.exe action=allow

  4. Para estabelecer uma exceção de firewall para conexões de saída com um computador remoto com o qual o computador local está se comunicando de forma assíncrona, use o seguinte comando.

    netsh advfirewall firewall add rule dir=out name ="WMI_OUT" program=%systemroot%\system32\svchost.exe service=winmgmt action=allow protocol=TCP localport=any

Para desabilitar as exceções de firewall separadamente, use os comandos a seguir.

Para desabilitar o tráfego de WMI usando regras separadas para DCOM, WMI, coletor de retorno de chamada e conexões de saída

  1. Para desabilitar a exceção do DCOM.

    netsh advfirewall firewall delete rule name="DCOM"

  2. Para desabilitar a exceção de serviço do WMI.

    netsh advfirewall firewall delete rule name="WMI"

  3. Para desabilitar a exceção do coletor.

    netsh advfirewall firewall delete rule name="UnsecApp"

  4. Para desabilitar a exceção de saída.

    netsh advfirewall firewall delete rule name="WMI_OUT"

Configurações de controle de conta de usuário

A filtragem de token de acesso do UAC (Controle de Conta de Usuário) pode afetar quais operações são permitidas em namespaces do WMI ou quais dados são retornados. Em UAC, todas as contas no grupo local Administradores são executadas com um token de acesso de usuário padrão, também conhecido como filtragem de token de acesso ao UAC. Uma conta de administrador pode executar um script com privilégios elevados— "Executar como Administrador".

Quando você não está se conectando à conta interna de Administrador, o UAC afeta as conexões com um computador remoto de forma diferente, dependendo se os dois computadores estão em um domínio ou grupo de trabalho. Para obter mais informações sobre o UAC e conexões remotas, consulte Controle de Conta de Usuário e o WMI.

Configurações de DCOM

Para obter mais informações sobre as configurações de DCOM, consulte Proteger uma conexão WMI remota. No entanto, o UAC afeta as conexões para contas de usuário que não são do domínio. Caso se conecte a um computador remoto usando uma conta de usuário fora do domínio incluída no grupo local Administradores do computador remoto, deverá conceder explicitamente acesso remoto ao DCOM, ativação e direitos de inicialização à conta.

Configurações de CIMOM

As configurações de CIMOM precisarão ser atualizadas se a conexão remota estiver entre computadores que não têm uma relação de confiança, caso contrário, uma conexão assíncrona falhará. Essa configuração não deve ser modificada para computadores no mesmo domínio ou em domínios confiáveis.

A seguinte entrada do Registro precisa ser modificada para permitir retornos de chamada anônimos:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\AllowAnonymousCallback

               Tipo de dados

               REG\_DWORD

Se o valor AllowAnonymousCallback for definido como 0, o serviço do WMI impedirá retornos de chamada anônimos para o cliente. Se o valor for definido como 1, o serviço do WMI permitirá retornos de chamada anônimos para o cliente.

Conexão ao WMI em um computador remoto