Skydda en fjärr-WMI-anslutning

Om du vill ansluta till en fjärrdator med WMI kontrollerar du att rätt DCOM-inställningar och säkerhetsinställningar för WMI-namnområdet är aktiverade för anslutningen.

WMI har standardinställningar för personifiering, autentisering och autentiseringstjänst (NTLM eller Kerberos) som måldatorn i en fjärranslutning kräver. Din lokala dator kan använda olika standardvärden som målsystemet inte accepterar. Du kan ändra de här inställningarna i anslutningsanropet.

Följande avsnitt beskrivs i det här avsnittet:

• Inställningar för DCOM-efterliknande och autentisering för WMI
• ställa in DCOM-säkerhet för att tillåta att en användare får åtkomst till en dator via fjärranslutning
• Att ge användare åtkomst till ett specifikt WMI-namnområde
• Ställ in namnområdessäkerhet på att kräva datakryptering för fjärranslutningar
• Relaterade ämnen

Inställningar för DCOM-personifiering och autentisering för WMI

WMI har standardinställningar för DCOM-personifiering, autentisering och autentiseringstjänst (NTLM eller Kerberos) som ett fjärrsystem kräver. Det lokala systemet kan använda olika standardvärden som målfjärrsystemet inte accepterar. Du kan ändra de här inställningarna i anslutningsanropet. Mer information finns i Ställa in klientprogramprocesssäkerhet. För autentiseringstjänsten rekommenderar vi dock att du anger RPC_C_AUTHN_DEFAULT och låter DCOM välja lämplig tjänst för måldatorn.

Du kan ange inställningar i parametrar för anropen till CoInitializeSecurity eller CoSetProxyBlanket i C++. I skript kan du upprätta säkerhetsinställningar i anrop till SWbemLocator.ConnectServer, i ett SWbemSecurity-objekt eller i skriptet moniker sträng.

En lista över alla C++-personifieringskonstanter finns i Ange standardnivån för processsäkerhet med C++. För Visual Basic-konstanter och skriptsträngar för användning av monikeranslutningen, se Ange standardprocesssäkerhetsnivå med VBScript-.

I följande tabell visas standardinställningarna för DCOM-personifiering, autentisering och autentiseringstjänst som behövs för måldatorn (dator B) vid en fjärranslutning. Mer information finns i Skydda en fjärr-WMI-anslutning.

WMI-fjärranslutningar påverkas av UAC (User Account Control) och Windows-brandväggen. Mer information finns i Ansluta till WMI via fjärranslutning med Vista och Ansluta via Windows-brandväggen.

Tänk på att anslutningen till WMI på den lokala datorn har en standardautentiseringsnivå på PktPrivacy-.

Ställa in DCOM-säkerhet för att tillåta en användare att komma åt en dator via fjärranslutning

Säkerhet i WMI är relaterat till anslutning till ett WMI-namnområde. WMI använder DCOM för att hantera fjärranrop. En orsak till att det inte gick att ansluta till en fjärrdator beror på ett DCOM-fel (felet "DCOM-åtkomst nekad" decimal -2147024891 eller hex 0x80070005). Mer information om DCOM-säkerhet i WMI för C++-program finns i Ange klientprogramprocesssäkerhet.

Du kan konfigurera DCOM-inställningar för WMI med hjälp av verktyget DCOM Config (DCOMCnfg.exe) som finns i Administrationsverktyg i Kontrollpanelen. Det här verktyget visar de inställningar som gör att vissa användare kan ansluta till datorn via DCOM. Medlemmar i gruppen Administratörer kan fjärransluta till datorn som standard. Med det här verktyget kan du ställa in säkerheten för att starta, komma åt och konfigurera WMI-tjänsten.

Följande procedur beskriver hur du beviljar DCOM fjärrstart- och aktiveringsbehörigheter för vissa användare och grupper. Om dator A ansluter via fjärranslutning till dator B kan du ange dessa behörigheter på dator B så att en användare eller grupp som inte ingår i gruppen Administratörer på dator B kan köra DCOM-start- och aktiveringsanrop på dator B.

Om du vill bevilja DCOM fjärrstarts- och aktiveringsbehörigheter för en användare eller grupp

1. Klicka på Starta, klicka på Kör, skriv DCOMCNFGoch klicka sedan på OK.

2. I dialogrutan Component Services expanderar du Component Services, expanderar Datoreroch högerklickar sedan på Min dator och klickar på Egenskaper.

3. I dialogrutan Egenskaper för min dator klickar du på fliken COM Security.

4. Under Start- och aktiveringsbehörigheterklickar du på Redigera gränser.

5. I dialogrutan Starta behörighet följer du dessa steg om ditt namn eller din grupp inte visas i listan grupper eller användarnamn:

   1. I dialogrutan Startbehörighet klickar du på Lägg till.
   2. I dialogrutan Välj användare, datorer eller grupper lägger du till ditt namn och gruppen i Ange objektnamnen för att välja och klickar sedan på OK.

6. I dialogrutan Starta behörighet väljer du din användare och grupp i rutan Grupp eller användarnamn. I kolumnen Tillåt under Behörigheter för användareväljer du Fjärrstart och väljer Fjärraktiveringoch klickar sedan på OK.

Följande procedur beskriver hur du beviljar DCOM fjärråtkomstbehörigheter för vissa användare och grupper. Om dator A ansluter via fjärranslutning till dator B kan du ange dessa behörigheter på dator B så att en användare eller grupp som inte ingår i gruppen Administratörer på dator B kan ansluta till dator B.

Bevilja DCOM fjärråtkomstbehörigheter

1. Klicka på Starta, klicka på Kör, skriv DCOMCNFGoch klicka sedan på OK.
2. I dialogrutan Component Services expanderar du Component Services, expanderar Datoreroch högerklickar sedan på Min dator och klickar på Egenskaper.
3. I dialogrutan Egenskaper för min dator klickar du på fliken COM Security.
4. Under Åtkomstbehörigheterklickar du på Redigera gränser.
5. I dialogrutan Åtkomstbehörighet väljer du namnet ANONYM INLOGGNING i rutan Grupp eller användarnamn. I kolumnen Tillåt under Behörigheter för användareväljer du Fjärråtkomstoch klickar sedan på OK.

Ge användare åtkomst till ett specifikt WMI-namnområde

Du kan tillåta eller neka användare åtkomst till ett specifikt WMI-namnområde genom att ange behörigheten "Fjärraktivera" i WMI-kontrollen för ett namnområde. Om en användare försöker ansluta till ett namnområde som de inte har åtkomst till får de felmeddelandet 0x80041003. Som standard är den här behörigheten endast aktiverad för administratörer. En administratör kan aktivera fjärråtkomst till specifika WMI-namnområden för en icke-administratörsanvändare.

Följande procedur anger fjärraktiveringsbehörigheter för en icke-administratörsanvändare.

Ange fjärraktiveringsbehörigheter

1. Anslut till fjärrdatorn med hjälp av WMI-kontrollen.

   Mer information om WMI-kontrollen finns i Inställning av namnområdessäkerhet med WMI-kontrollen.

2. På fliken Security väljer du namnområdet och klickar på Security.

3. Hitta rätt konto och markera Fjärraktivera i listan Behörigheter.

Ange namnområdessäkerhet till Kräv datakryptering för fjärranslutningar

En administratör eller en MOF-fil kan konfigurera ett WMI-namnområde så att inga data returneras om du inte använder paketsekretess (RPC_C_AUTHN_LEVEL_PKT_PRIVACY eller PktPrivacy som moniker i ett skript) i en anslutning till det namnområdet. Detta säkerställer att data krypteras när de passerar nätverket. Om du försöker ange en lägre autentiseringsnivå får du ett meddelande om nekad åtkomst. Mer information finns i Kräver en krypterad anslutning till ett namnområde.

Följande VBScript-kodexempel visar hur du ansluter till ett krypterat namnområde med hjälp av "pktPrivacy".

strComputer = "RemoteComputer"
Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate,authenticationLevel=pktPrivacy}!\\" _
                              & strComputer & "\root\EncryptedNamespace")

Relaterade ämnen

Delegera med WMI

Att skapa processer via fjärranslutning med WMI

Skydda C++-klienter och leverantörer

skydda skriptklienter