Настройка удаленного подключения WMI

  • Статья

При подключении к пространству имен WMI на удаленном компьютере может потребоваться изменить параметры для Windows брандмауэра, контроля учетных записей (UAC), DCOM или диспетчера объектов common Information Model (CIMOM).

В этом разделе рассматриваются следующие разделы:

Параметры брандмауэра Windows

Параметры WMI для параметров брандмауэра Windows также позволяют использовать только подключения WMI, а не другие приложения DCOM.

Исключение должно быть задано в брандмауэре для WMI на удаленном целевом компьютере. Исключение для WMI позволяет WMI получать удаленные подключения и асинхронные обратные вызовы для Unsecapp.exe. Дополнительные сведения см. в разделе "Настройка безопасности для асинхронного вызова".

Если клиентское приложение создает собственный приемник, этот приемник необходимо явно добавить в исключения брандмауэра, чтобы разрешить обратные вызовы успешно выполняться.

Исключение для WMI также работает, если WMI был запущен с фиксированным портом с помощью команды winmgmt /standalonehost . Дополнительные сведения см. в разделе "Настройка фиксированного порта для WMI".

Трафик WMI можно включить или отключить с помощью пользовательского интерфейса брандмауэра Windows.

Включение или отключение трафика WMI с помощью пользовательского интерфейса брандмауэра

  1. В панель управления щелкните "Безопасность" и выберите пункт Windows Брандмауэр.
  2. Нажмите кнопку "Изменить Параметры", а затем перейдите на вкладку "Исключения".
  3. В окне исключений установите флажок для Windows инструментария управления (WMI), чтобы включить трафик WMI через брандмауэр. Чтобы отключить трафик WMI, снимите флажок.

Вы можете включить или отключить трафик WMI через брандмауэр в командной строке.

Включение или отключение трафика WMI в командной строке с помощью группы правил WMI

  • Используйте следующие команды в командной строке. Введите следующую команду, чтобы включить трафик WMI через брандмауэр.

    netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=yes

    Введите следующую команду, чтобы отключить трафик WMI через брандмауэр.

    netsh advfirewall firewall set rule group="инструментарий управления Windows (wmi)" new enable=no

Вместо использования одной команды группы правил WMI можно также использовать отдельные команды для каждой службы DCOM, службы WMI и приемника.

Включение трафика WMI с помощью отдельных правил для DCOM, WMI, приемника вызовов и исходящих подключений

  1. Чтобы установить исключение брандмауэра для порта DCOM 135, используйте следующую команду.

    netsh advfirewall firewall add rule dir=in name="DCOM" program=%systemroot%\system32\svchost.exe service=rpcss action=allow protocol=TCP localport=135

  2. Чтобы установить исключение брандмауэра для службы WMI, используйте следующую команду.

    netsh advfirewall firewall add rule dir=in name ="WMI" program=%systemroot%\system32\svchost.exe service=winmgmt action = allow protocol=TCP localport=any

  3. Чтобы установить исключение брандмауэра для приемника, который получает обратные вызовы с удаленного компьютера, используйте следующую команду.

    netsh advfirewall firewall add rule dir=in name ="UnsecApp" program=%systemroot%\system32\wbem\unsecapp.exe action=allow

  4. Чтобы установить исключение брандмауэра для исходящих подключений к удаленному компьютеру, с которым локальный компьютер взаимодействует асинхронно, используйте следующую команду.

    netsh advfirewall firewall add rule dir=out name ="WMI_OUT" program=%systemroot%\system32\svchost.exe service=winmgmt action=allow protocol=TCP localport=any

Чтобы отключить исключения брандмауэра отдельно, используйте следующие команды.

Отключение трафика WMI с помощью отдельных правил для DCOM, WMI, приемника вызовов и исходящих подключений

  1. Отключение исключения DCOM.

    netsh advfirewall firewall delete name="DCOM"

  2. Отключение исключения службы WMI.

    netsh advfirewall firewall delete rule name="WMI"

  3. Отключение исключения приемника.

    netsh advfirewall firewall delete name="UnsecApp"

  4. Отключение исходящего исключения.

    netsh advfirewall firewall delete rule name="WMI_OUT"

Параметры контроля учетных записей

Фильтрация маркеров доступа контроля учетных записей (UAC) может повлиять на то, какие операции разрешены в пространствах имен WMI или какие данные возвращаются. В UAC все учетные записи в локальной группе администраторов выполняются с помощью стандартного маркера доступа пользователя, также известного как фильтрация маркеров доступа UAC. Учетная запись администратора может запускать скрипт с повышенными привилегиями — "Запуск от имени администратора".

Если вы не подключаетесь к встроенной учетной записи администратора, UAC влияет на подключения к удаленному компьютеру по-разному в зависимости от того, находятся ли два компьютера в домене или рабочей группе. Дополнительные сведения об UAC и удаленных подключениях см. в разделе "Контроль учетных записей пользователей" и WMI.

Параметры DCOM

Дополнительные сведения о параметрах DCOM см. в разделе "Защита удаленного WMI-подключения". Однако UAC влияет на подключения для учетных записей пользователей, не являющихся доменами. При подключении к удаленному компьютеру с помощью учетной записи пользователя, не включенной в локальную группу администраторов удаленного компьютера, необходимо явно предоставить доступ к удаленному DCOM, активацию и запуск учетной записи.

CIMOM Параметры

Параметры CIMOM необходимо обновить, если удаленное подключение находится между компьютерами, у которых нет отношения доверия; в противном случае асинхронное подключение завершится ошибкой. Этот параметр не следует изменять для компьютеров в одном домене или в доверенных доменах.

Чтобы разрешить анонимные обратные вызовы, необходимо изменить следующую запись реестра:

HKEY_LOCAL_MACHINE\ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ\Microsoft\WBEM\CIMOM\AllowAnonymousCallback

               Тип данных

               REG\_DWORD

Если для значения AllowAnonymousCallback задано значение 0, служба WMI предотвращает анонимные обратные вызовы клиенту. Если значение равно 1, служба WMI разрешает анонимные обратные вызовы клиенту.

Подключение к WMI на удаленном компьютере