Sdílet prostřednictvím

Zabezpečení vzdáleného připojení rozhraní WMI

  • Článek

Pokud se chcete připojit ke vzdálenému počítači pomocí rozhraní WMI, ujistěte se, že jsou pro připojení povolená správná nastavení DCOM a nastavení zabezpečení oboru názvů WMI.

Rozhraní WMI má výchozí nastavení zosobnění, ověřování a ověřovací služby (NTLM nebo Kerberos), které vyžaduje cílový počítač ve vzdáleném připojení. Místní počítač může používat jiné výchozí hodnoty, které cílový systém nepřijímá. Tato nastavení můžete změnit při volání připojení.

V tomto tématu jsou popsány následující části:

Zosobnění modelu DCOM a nastavení ověřování pro rozhraní WMI

WMI má výchozí nastavení zosobnění DCOM, ověřování a ověřovací služby (NTLM nebo Kerberos), které vzdálený systém vyžaduje. Místní systém může používat jiné výchozí hodnoty, které cílový vzdálený systém nepřijímá. Tato nastavení můžete změnit v rámci hovoru o připojení. Další informace naleznete v tématu Nastavení zabezpečení procesu klientské aplikace. U ověřovací služby se ale doporučuje zadat RPC_C_AUTHN_DEFAULT a povolit modelu DCOM zvolit odpovídající službu pro cílový počítač.

Můžete zadat nastavení pro volání CoInitializeSecurity nebo CoSetProxyBlanket v jazyce C++. Ve skriptech můžete nastavit zabezpečení při volání SWbemLocator.ConnectServer, v objektu SWbemSecurity , nebo v řetězci monikeru skriptování .

Seznam všech konstant zosobnění jazyka C++ naleznete v tématu Nastavení výchozí úrovně zabezpečení procesu pomocí C++. Konstanty a skriptovací řetězce jazyka Visual Basic pro použití připojení moniker najdete v dokumentaci Nastavení výchozí úrovně zabezpečení procesu pomocí jazyka VBScript.

Následující tabulka uvádí výchozí nastavení zosobnění DCOM, ověřování a nastavení ověřovacích služeb vyžadovaných cílovým počítačem (počítač B) pro vzdálené připojení. Další informace naleznete v tématu Zabezpečení vzdáleného připojení rozhraní WMI.

Operační systém počítače B Řetězec skriptování na úrovni napodobení Skriptovací řetězec na úrovni ověřování Ověřovací služba
Windows Vista nebo novější Vydávat se za někoho Pkt Kerberos

 

Vzdálená připojení rozhraní WMI jsou ovlivněna Řízením uživatelských účtů (UAC) a Windows Firewallem. Další informace naleznete v tématech Připojení k rozhraní WMI vzdáleně počínaje systémem Vista a Připojení přes bránu Windows Firewall.

Mějte na paměti, že připojení k rozhraní WMI v místním počítači má výchozí úroveň ověřování PktPrivacy.

Nastavení zabezpečení modelu DCOM tak, aby uživatel mohl vzdáleně přistupovat k počítači

Zabezpečení ve službě WMI souvisí s připojením k oboru názvů WMI. WMI používá DCOM k zpracování vzdálených volání. Jedním z důvodů selhání připojení ke vzdálenému počítači je selhání DCOM (chyba "Přístup DCOM odepřen" v desetinném formátu -2147024891 nebo v šestnáctkovém formátu 0x80070005). Další informace o zabezpečení modelu DCOM ve službě WMI pro aplikace C++ naleznete v tématu Nastavení zabezpečení procesu klientské aplikace.

Nastavení modelu DCOM pro rozhraní WMI můžete nakonfigurovat pomocí nástroje konfigurace DCOM (DCOMCnfg.exe), který najdete v nástrojích pro správu nástroje pro správu v ovládacích panelech . Tento nástroj zveřejňuje nastavení, která umožňují určitým uživatelům připojit se k počítači vzdáleně prostřednictvím modelu DCOM. Členové skupiny Administrators se ve výchozím nastavení můžou vzdáleně připojovat k počítači. Pomocí tohoto nástroje můžete nastavit zabezpečení pro spuštění, přístup a konfiguraci služby WMI.

Následující postup popisuje, jak udělit oprávnění vzdáleného spuštění a aktivace modelu DCOM určitým uživatelům a skupinám. Pokud se počítač A připojuje vzdáleně k počítači B, můžete tato oprávnění nastavit v počítači B tak, aby umožňovala uživateli nebo skupině, která není součástí skupiny Administrators v počítači B, spouštět spouštěcí a aktivační volání modelu DCOM v počítači B.

Udělení oprávnění vzdáleného spuštění a aktivace modelu DCOM pro uživatele nebo skupinu

  1. Klikněte na Start, klikněte na Spustit, zadejte DCOMCNFG, a potom klikněte na OK.

  2. V dialogovém okně Služby komponent rozbalte Služby komponent, poté rozbalte Počítače, klepněte pravým tlačítkem na Můj počítač a klikněte na Vlastnosti.

  3. V dialogovém okně Vlastnosti počítače klepněte na kartu zabezpečení COM.

  4. V části Oprávnění ke spuštění a aktivaciklikněte na Upravit limity.

  5. V dialogovém okně Spustit oprávnění postupujte podle těchto kroků, pokud se vaše jméno nebo skupina nezobrazí v seznamu Skupiny nebo uživatelská jména:

    1. V dialogovém okně Spustit oprávnění klepněte na tlačítko Přidat.
    2. V dialogovém okně Vyberte uživatele, počítače nebo skupiny přidejte své jméno a skupinu do Zadejte názvy objektů a vyberte pole a klikněte na tlačítko OK.

  6. V dialogovém okně Spustit oprávnění vyberte uživatele a skupinu v poli Skupina nebo uživatelská jména. Ve sloupci Povolit v části Oprávnění pro uživatelevyberte Vzdálené spuštění a vyberte Vzdálenou aktivaci, poté klikněte na OK.

Následující postup popisuje, jak udělit oprávnění vzdáleného přístupu modelu DCOM určitým uživatelům a skupinám. Pokud se počítač A připojuje vzdáleně k počítači B, můžete tato oprávnění nastavit v počítači B tak, aby se uživatel nebo skupina, která není součástí skupiny Administrators v počítači B, připojila k počítači B.

Udělit oprávnění vzdáleného přístupu DCOM

  1. Klikněte na Start, klikněte na Spustit, zadejte DCOMCNFGa potom klikněte na OK.
  2. V dialogovém okně Služby komponent rozbalte Služby komponent, rozbalte Počítačea poté klikněte pravým tlačítkem na Můj počítač a klikněte na Vlastnosti.
  3. V dialogovém okně Vlastnosti tohoto počítače klepněte na kartu Zabezpečení COM.
  4. V části Oprávnění k přístupuklepněte na Upravit omezení.
  5. V dialogovém okně Oprávnění k přístupu vyberte ANONYMNÍ PŘIHLÁŠENÍ jméno v poli Skupina nebo uživatelská jména. Ve sloupci Povolit pod Oprávnění pro uživatelevyberte vzdálený přístupa klikněte na OK.

Povolení uživatelského přístupu ke konkrétnímu jmennému prostoru WMI

Uživatelům můžete povolit nebo zakázat přístup ke konkrétnímu oboru názvů rozhraní WMI tím, že v ovládacím panelu WMI pro obor názvů nastavíte oprávnění "Remote Enable". Pokud se uživatel pokusí připojit k oboru názvů, ke kterému nemá povolený přístup, zobrazí se mu chyba 0x80041003. Ve výchozím nastavení je toto oprávnění povolené jenom pro správce. Správce může povolit vzdálený přístup ke konkrétním oborům názvů služby WMI pro uživatele bez oprávnění správce.

Následující postup nastaví oprávnění vzdáleného povolení pro uživatele bez oprávnění správce.

Nastavení oprávnění pro povolení vzdáleného přístupu

  1. Připojte se ke vzdálenému počítači pomocí ovládacího prvku WMI.

    Další informace o ovládacím prvku WMI naleznete v tématu Nastavení zabezpečení oboru názvů pomocí ovládacího prvku WMI.

  2. Na kartě Zabezpečení vyberte obor názvů a klikněte na Zabezpečení.

  3. Vyhledejte příslušný účet a v seznamu oprávnění zkontrolujte Vzdálené zapnutí.

Nastavení zabezpečení oboru názvů pro vyžadování šifrování dat pro vzdálená připojení

Správce nebo soubor MOF můžou nakonfigurovat obor názvů služby WMI tak, aby se nevracela žádná data, pokud nepoužíváte soukromí paketů (RPC_C_AUTHN_LEVEL_PKT_PRIVACY nebo PktPrivacy jako moniker ve skriptu) v připojení k danému oboru názvů. Tím se zajistí, že se data šifrují, protože překračují síť. Pokud se pokusíte nastavit nižší úroveň ověřování, zobrazí se zpráva o odepření přístupu. Další informace najdete v tématu Vyžadování šifrovaného připojení k oboru názvů.

Následující příklad kódu VBScript ukazuje, jak se připojit k šifrovanému oboru názvů pomocí "pktPrivacy".

strComputer = "RemoteComputer"
Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate,authenticationLevel=pktPrivacy}!\\" _
                              & strComputer & "\root\EncryptedNamespace")

Delegování s použitím rozhraní WMI

vzdálené vytváření procesů pomocí rozhraní WMI

zabezpečení klientů a poskytovatelů C++

zabezpečení skriptovacího klienta