Поделиться через


Защита удаленного Подключение WMI

Чтобы подключиться к удаленному компьютеру с помощью WMI, убедитесь, что для подключения включены правильные параметры DCOM и параметры безопасности пространства имен WMI.

WMI имеет параметры олицетворения, проверки подлинности и проверки подлинности по умолчанию (NTLM или Kerberos), необходимые целевому компьютеру в удаленном подключении. Локальный компьютер может использовать разные значения по умолчанию, которые целевая система не принимает. Эти параметры можно изменить в вызове подключения.

В этом разделе рассматриваются следующие разделы:

Олицетворение и проверка подлинности DCOM Параметры для WMI

WMI имеет параметры олицетворения DCOM, проверки подлинности и проверки подлинности (NTLM или Kerberos), необходимые удаленной системе. Локальная система может использовать разные значения по умолчанию, которые целевая удаленная система не принимает. Эти параметры можно изменить в вызове подключения. Дополнительные сведения см. в разделе "Настройка безопасности процесса клиентского приложения". Однако для службы проверки подлинности рекомендуется указать RPC_C_AUTHN_DEFAULT и разрешить DCOM выбрать соответствующую службу для целевого компьютера.

Параметры можно указать в параметрах для вызовов CoInitializeSecurity или CoSetProxyBlanket в C++. В сценариях можно установить параметры безопасности в вызовах SWbemLocator.ПодключениеСервер, в объекте SWbemSecurity или в строке моникера скрипта.

Список всех констант олицетворения C++ см. в разделе "Настройка уровня безопасности процесса по умолчанию с помощью C++". Сведения о константах и строках скриптов Visual Basic для использования подключения моникера см. в разделе "Настройка уровня безопасности процесса по умолчанию с помощью VBScript".

В следующей таблице перечислены параметры службы DCOM по умолчанию, проверки подлинности и проверки подлинности, необходимые целевому компьютеру (компьютер B) в удаленном подключении. Дополнительные сведения см. в разделе "Защита удаленного Подключение WMI".

Операционная система "Компьютер B" Строка скриптов уровня олицетворения Строка скриптов уровня проверки подлинности Служба проверки подлинности
Windows Vista или более поздней версии Impersonate Pkt Kerberos

 

Удаленные подключения WMI влияют на управление учетными записями пользователей (UAC) и брандмауэр Windows. Дополнительные сведения см. в статье Подключение удаленного запуска WMI с Vista и Подключение через брандмауэр Windows.

Помните, что подключение к WMI на локальном компьютере имеет уровень проверки подлинности по умолчанию PktPrivacy.

Настройка безопасности DCOM для разрешения пользователю удаленного доступа к компьютеру

Безопасность в WMI связана с подключением к пространству имен WMI. WMI использует DCOM для обработки удаленных вызовов. Одна из причин сбоя подключения к удаленному компьютеру вызвана сбоем DCOM (ошибка "Отказано в доступе DCOM" с десятичным 2147024891 или шестнадцатеричным 0x80070005). Дополнительные сведения о безопасности DCOM в WMI для приложений C++ см. в разделе "Настройка безопасности процесса клиентского приложения".

Параметры DCOM для WMI можно настроить с помощью служебной программы конфигурации DCOM (DCOMCnfg.exe), найденной в Администратор istrative Tools в панель управления. Эта программа предоставляет параметры, позволяющие определенным пользователям подключаться к компьютеру удаленно через DCOM. Члены группы Администратор istrators по умолчанию могут удаленно подключаться к компьютеру. С помощью этой служебной программы можно настроить безопасность для запуска, доступа и настройки службы WMI.

В следующей процедуре описывается предоставление разрешений удаленного запуска и активации DCOM для определенных пользователей и групп. Если компьютер A подключается удаленно к компьютеру B, эти разрешения можно задать на компьютере B, чтобы разрешить пользователю или группе, которая не входит в группу Администратор istrators на компьютере B, чтобы выполнить вызовы запуска и активации DCOM на компьютере B.

Предоставление разрешений удаленного запуска и активации DCOM для пользователя или группы

  1. Нажмите кнопку "Пуск", нажмите кнопку "Запустить", введите DCOMCNFG и нажмите кнопку "ОК".

  2. В диалоговом окне "Службы компонентов" разверните службы компонентов, разверните узел "Компьютеры", а затем щелкните правой кнопкой мыши "Мой компьютер" и выберите пункт "Свойства".

  3. В диалоговом окне "Свойства моего компьютера" перейдите на вкладку "Безопасность COM".

  4. В разделе "Разрешения на запуск и активацию" нажмите кнопку "Изменить ограничения".

  5. В диалоговом окне "Разрешение запуска" выполните следующие действия, если ваше имя или группа не отображается в списке имен групп или пользователей:

    1. В диалоговом окне "Разрешение запуска" нажмите кнопку "Добавить".
    2. В диалоговом окне "Выбор пользователей,компьютеров" или "Группы" добавьте имя и группу в поле "Ввод имен объектов" и нажмите кнопку "ОК".
  6. В диалоговом окне "Разрешение запуска" выберите пользователя и группу в поле "Группы" или "Имена пользователей". В столбце "Разрешить" в разделе "Разрешения для пользователя" выберите "Удаленный запуск" и выберите "Удаленная активация" и нажмите кнопку "ОК".

В следующей процедуре описывается предоставление разрешений удаленного доступа DCOM для определенных пользователей и групп. Если компьютер A подключается удаленно к компьютеру B, эти разрешения можно задать на компьютере B, чтобы разрешить пользователю или группе, которая не входит в группу Администратор istrators на компьютере B, чтобы подключиться к Computer B.

Предоставление разрешений удаленного доступа DCOM

  1. Нажмите кнопку "Пуск", нажмите кнопку "Запустить", введите DCOMCNFG и нажмите кнопку "ОК".
  2. В диалоговом окне "Службы компонентов" разверните службы компонентов, разверните узел "Компьютеры", а затем щелкните правой кнопкой мыши "Мой компьютер" и выберите пункт "Свойства".
  3. В диалоговом окне "Свойства моего компьютера" перейдите на вкладку "Безопасность COM".
  4. В разделе "Разрешения доступа" нажмите кнопку "Изменить ограничения".
  5. В диалоговом окне "Разрешение доступа" выберите имя АНОНИМНОГО ВХОДА в поле "Группа" или "Имена пользователей". В столбце "Разрешить" в разделе "Разрешения для пользователя" выберите "Удаленный доступ" и нажмите кнопку "ОК".

Разрешение пользователям доступа к определенному пространству имен WMI

Вы можете разрешить или запретить пользователям доступ к определенному пространству имен WMI, задав разрешение "Remote Enable" в элементе управления WMI для пространства имен. Если пользователь пытается подключиться к пространству имен, к которому им запрещен доступ, он получит ошибку 0x80041003. По умолчанию это разрешение включено только для администраторов. Администратор может включить удаленный доступ к определенным пространствам имен WMI для неадминистатора пользователя.

Следующая процедура задает разрешения удаленного включения для пользователя без администратора.

Настройка разрешений удаленного включения

  1. Подключение на удаленный компьютер с помощью элемента управления WMI.

    Дополнительные сведения об элементе управления WMI см. в разделе "Настройка безопасности пространства имен" с помощью элемента управления WMI.

  2. На вкладке "Безопасность" выберите пространство имен и нажмите кнопку "Безопасность".

  3. Найдите соответствующую учетную запись и проверка удаленного включения в списке разрешений.

Настройка безопасности пространства имен для требования шифрования данных для удаленных Подключение

Администратор или MOF-файл могут настроить пространство имен WMI таким образом, чтобы данные не возвращались, если вы не используете конфиденциальность пакетов (RPC_C_AUTHN_LEVEL_PKT_PRIVACY или PktPrivacy в качестве моникера в скрипте) в соединении с этим пространством имен. Это гарантирует, что данные шифруются по мере пересечения сети. При попытке установить более низкий уровень проверки подлинности вы получите сообщение об отказе в доступе. Дополнительные сведения см. в разделе "Требование зашифрованного Подключение в пространство имен".

В следующем примере кода VBScript показано, как подключиться к зашифрованным пространствам имен с помощью pktPrivacy.

strComputer = "RemoteComputer"
Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate,authenticationLevel=pktPrivacy}!\\" _
                              & strComputer & "\root\EncryptedNamespace")

Делегирование с помощью WMI

Удаленное создание процессов с помощью WMI

Защита клиентов и поставщиков C++

Защита клиентов сценариев