Поделиться через

Настройка удаленного подключения WMI

  • Статья

Подключение к пространству имен WMI на удаленном компьютере может потребовать изменения параметров для брандмауэра Windows, контроля учетных записей пользователей (UAC), DCOM или диспетчера объектов common Information Model (CIMOM).

В этом разделе рассматриваются следующие разделы:

Параметры брандмауэра Windows

Параметры WMI для настроек брандмауэра Windows разрешают только подключения WMI, исключая другие приложения DCOM.

Исключение должно быть задано в брандмауэре для WMI на удаленном целевом компьютере. Исключение для WMI позволяет WMI получать удаленные подключения и асинхронные обратные вызовы на Unsecapp.exe. Дополнительные сведения см. в разделе Настройка безопасности для асинхронного вызова.

Если клиентское приложение создает собственный приемник, необходимо явно добавить его в исключения брандмауэра, чтобы обратные вызовы проходили успешно.

Исключение для WMI также работает, если WMI был запущен с фиксированным портом, используя команду winmgmt /standalonehost. Для получения дополнительной информации см. о настройке фиксированного порта для WMI.

Вы можете включить или отключить трафик WMI через пользовательский интерфейс брандмауэра Windows.

Включение или отключение трафика WMI с помощью пользовательского интерфейса брандмауэра

  1. На панели управления щелкните Безопасность, а затем — на Брандмауэр Windows.
  2. Щелкните Изменить параметры и перейдите на вкладку Исключения.
  3. В окне исключений установите флажок Windows Management Instrumentation (WMI), чтобы разрешить трафик WMI через брандмауэр. Чтобы отключить трафик WMI, снимите флажок.

Вы можете включить или отключить трафик WMI через брандмауэр в командной строке.

Включение или отключение трафика WMI в командной строке с помощью группы правил WMI

  • Используйте следующие команды в командной строке. Введите следующую команду, чтобы включить трафик WMI через брандмауэр.

    netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=yes

    Введите следующую команду, чтобы отключить трафик WMI через брандмауэр.

    netsh advfirewall firewall set rule group="Инструментарий управления Windows (WMI)" new enable=no

Вместо использования одной команды группы правил WMI можно также использовать отдельные команды для каждой службы DCOM, службы WMI и приемника.

Включение трафика WMI с помощью отдельных правил для DCOM, WMI, приемника вызовов и исходящих подключений

  1. Чтобы установить исключение брандмауэра для порта DCOM 135, используйте следующую команду.

    netsh advfirewall firewall add rule dir=in name="DCOM" program=%systemroot%\system32\svchost.exe service=rpcss action=allow protocol=TCP localport=135

  2. Чтобы установить исключение брандмауэра для службы WMI, используйте следующую команду.

    netsh advfirewall firewall add rule dir=in name ="WMI" program=%systemroot%\system32\svchost.exe service=winmgmt action = allow protocol=TCP localport=any

  3. Чтобы установить исключение брандмауэра для приемника, получающего обратные вызовы с удаленного компьютера, используйте следующую команду.

    брандмауэр netsh advfirewall add rule dir=in name ="UnsecApp" program=%systemroot%\system32\wbem\unsecapp.exe action=allow

  4. Чтобы установить исключение брандмауэра для исходящих подключений к удаленному компьютеру, с которым локальный компьютер взаимодействует асинхронно, используйте следующую команду.

    брандмауэр netsh advfirewall add rule dir=out name ="WMI_OUT" program=%systemroot%\system32\svchost.exe service=winmgmt action=allow protocol=TCP localport=any

Чтобы отключить исключения брандмауэра отдельно, используйте следующие команды.

Отключение трафика WMI с помощью отдельных правил для DCOM, WMI, приемника вызовов и исходящих подключений

  1. Чтобы отключить исключение DCOM.

    netsh advfirewall firewall delete rule name="DCOM"

  2. Отключить исключение службы WMI.

    netsh advfirewall firewall delete rule name="WMI"

  3. Отключить исключение приемника.

    netsh advfirewall firewall удалить правило name="UnsecApp"

  4. Отключить исходящее исключение.

    netsh advfirewall firewall delete rule name="WMI_OUT"

Параметры управления учетными записями пользователей

Фильтрация маркеров доступа в рамках Управления учетными записями пользователей (UAC) может повлиять на то, какие операции разрешены в пространствах имен WMI или какие данные возвращаются. В рамках UAC все учетные записи в локальной группе администраторов запускаются с маркером доступа стандартного пользователя , известного как фильтрация маркеров доступа UAC. Учетная запись администратора может запускать скрипт с повышенными привилегиями — "Запуск от имени администратора".

Если вы не подключаетесь к встроенной учетной записи администратора, UAC влияет на подключения к удаленному компьютеру по-разному в зависимости от того, находятся ли два компьютера в домене или рабочей группе. Дополнительные сведения об UAC и удаленных подключениях см. в разделе Контроль учетных записей пользователей иWMI.

Параметры DCOM

Дополнительные сведения о параметрах DCOM см. в обеспечении безопасности удаленного подключения WMI. Однако UAC влияет на подключения для учетных записей пользователей, не относящихся к домену. Если вы подключаетесь к удаленному компьютеру, используя учетную запись пользователя, не входящую в домен, но включенную в локальную группу администраторов удаленного компьютера, вам необходимо явно предоставить этой учетной записи права на удаленный доступ к DCOM, активацию и запуск.

Параметры CIMOM

Параметры CIMOM необходимо обновить, если удаленное подключение осуществляется между компьютерами, которые не имеют доверительных отношений, иначе асинхронное подключение завершится ошибкой. Этот параметр не следует изменять для компьютеров в одном домене или в доверенных доменах.

Чтобы разрешить анонимные обратные вызовы, необходимо изменить следующую запись реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Майкрософт\WBEM\CIMOM\AllowAnonymousCallback

               Тип данных

               REG\_DWORD

Если для параметра AllowAnonymousCallback задано значение 0, служба WMI предотвращает анонимные обратные вызовы клиенту. Если для значения задано значение 1, служба WMI разрешает анонимные обратные вызовы клиенту.

Подключение к WMI на удаленном компьютере