Delen via

Een externe WMI-verbinding beveiligen

  • Artikel

Als u verbinding wilt maken met een externe computer met WMI, moet u ervoor zorgen dat de juiste DCOM-instellingen en WMI-naamruimtebeveiligingsinstellingen zijn ingeschakeld voor de verbinding.

WMI heeft standaardimpersonatie-, authenticatie- en authenticatieservice-instellingen (NTLM of Kerberos) die nodig zijn voor de doelcomputer in een externe verbinding. Uw lokale computer kan verschillende standaardwaarden gebruiken die het doelsysteem niet accepteert. U kunt deze instellingen wijzigen in de verbindingsaanroep.

In dit onderwerp worden de volgende secties besproken:

DCOM-imitatie- en verificatie-instellingen voor WMI

WMI heeft standaard DCOM-imitatie-, verificatie- en verificatieserviceinstellingen (NTLM of Kerberos) die het externe systeem vereist. Uw lokale systeem kan verschillende standaardwaarden gebruiken die het externe doelsysteem niet accepteert. U kunt deze instellingen wijzigen in de verbindingsaanroep. Zie Client Application Process Security-instellen voor meer informatie. Voor de verificatieservice is het echter raadzaam om RPC_C_AUTHN_DEFAULT op te geven en DCOM de juiste service voor de doelcomputer te laten kiezen.

U kunt instellingen opgeven in parameters voor de aanroepen naar CoInitializeSecurity of CoSetProxyBlanket in C++. In scripts kunt u beveiligingsinstellingen instellen in aanroepen naar SWbemLocator.ConnectServer, in een SWbemSecurity-object of in de scripting moniker tekenreeks.

Zie voor een lijst met alle C++-imitatieconstanten Het standaardniveau voor procesbeveiliging instellen met behulp van C++. Zie voor de Visual Basic-constanten en scriptreeksen voor het gebruik van de moniker-verbinding het standaardniveau voor procesbeveiliging instellen met behulp van VBScript.

De volgende tabel bevat de standaardinstellingen voor DCOM-imitatie, verificatie en verificatieservice die vereist zijn voor de doelcomputer (Computer B) in een externe verbinding. Zie Een externe WMI-verbinding beveiligen voor meer informatie.

Computer B-besturingssysteem Scriptreeks op imitatieniveau Scriptreeks op verificatieniveau Verificatieservice
Windows Vista of hoger Imiteren Pkt Kerberos

 

Externe WMI-verbindingen worden beïnvloed door UAC- (User Account Control) en Windows Firewall-. Zie Verbinding maken met WMI op afstand vanaf Vista en Verbinding maken via Windows Firewallvoor meer informatie.

Houd er rekening mee dat het maken van verbinding met WMI op de lokale computer een standaardverificatieniveau van PktPrivacy-heeft.

DCOM-beveiliging instellen om een gebruiker toegang te geven tot een computer op afstand

Beveiliging in WMI is gerelateerd aan het maken van verbinding met een WMI-naamruimte. WMI maakt gebruik van DCOM voor het verwerken van externe aanroepen. Een van de redenen voor het niet maken van verbinding met een externe computer is het gevolg van een DCOM-fout (fout 'DCOM-toegang geweigerd' decimale -2147024891 of hex 0x80070005). Zie Client Application Process Securityinstellen voor meer informatie over DCOM-beveiliging in WMI voor C++-toepassingen.

U kunt DCOM-instellingen voor WMI configureren met behulp van het hulpprogramma DCOM Config (DCOMCnfg.exe) in Systeembeheerprogramma's in Configuratiescherm. Met dit hulpprogramma worden de instellingen weergegeven waarmee bepaalde gebruikers op afstand verbinding kunnen maken met de computer via DCOM. Leden van de groep Administrators mogen standaard extern verbinding maken met de computer. Met dit hulpprogramma kunt u de beveiliging instellen om de WMI-service te starten, te openen en te configureren.

In de volgende procedure wordt beschreven hoe u externe opstart- en activeringsmachtigingen voor DCOM kunt verlenen voor bepaalde gebruikers en groepen. Als Computer A extern verbinding maakt met Computer B, kunt u deze machtigingen instellen op Computer B om een gebruiker of groep die geen deel uitmaakt van de groep Administrators op Computer B toe te staan DCOM-opstart- en activeringsaanroepen uit te voeren op Computer B.

DCOM externe start- en activeringsmachtigingen verlenen voor een gebruiker of groep

  1. Klik op Start, klik op uitvoeren, typ DCOMCNFG-en klik vervolgens op OK-.

  2. Vouw in het dialoogvenster Component ServicesComponent Servicesuit, vouw Computersuit en klik met de rechtermuisknop op Mijn computer en klik op Eigenschappen.

  3. Klik in het dialoogvenster Eigenschappen van mijn computer op het tabblad COM Security.

  4. Klik onder Start- en activatievergunningenop Limieten bewerken.

  5. Voer in het dialoogvenster Startmachtiging de volgende stappen uit als uw naam of groep niet wordt weergegeven in de lijst groepen of gebruikersnamen:

    1. Klik in het dialoogvenster Machtiging starten op Toevoegen.
    2. Voeg in het dialoogvenster Gebruikers, computers of groepen selecteren uw naam en de groep toe in het vak Voer de objectnamen in om te selecteren en klik vervolgens op OK.

  6. Selecteer in het dialoogvenster Machtiging starten uw eigen gebruiker en groep in het vak Groep of gebruikersnamen. Selecteer in de kolom toestaan onder Machtigingen voor gebruikersexterne start en selecteer externe activeringen klik vervolgens op OK.

In de volgende procedure wordt beschreven hoe u DCOM-machtigingen voor externe toegang verleent voor bepaalde gebruikers en groepen. Als Computer A extern verbinding maakt met Computer B, kunt u deze machtigingen instellen op Computer B zodat een gebruiker of groep die geen deel uitmaakt van de groep Administrators op Computer B verbinding kan maken met Computer B.

DCOM machtigingen voor externe toegang verlenen

  1. Klik op Start, klik op uitvoeren, typ DCOMCNFG-en klik vervolgens op OK-.
  2. Vouw in het dialoogvenster Component ServicesComponent Servicesuit, vouw Computersuit en klik met de rechtermuisknop op Mijn computer en klik op Eigenschappen.
  3. Klik in het dialoogvenster Eigenschappen van mijn computer op het tabblad COM Security.
  4. Klik onder toegangsmachtigingenop Limieten bewerken.
  5. Selecteer in het dialoogvenster Toegangsmachtiging de naam Anonieme aanmelding in het vak Groep of gebruikersnamen. Selecteer in de kolom toestaan onder machtigingen voor gebruikerexterne toegangen klik vervolgens op OK.

Gebruikers toegang geven tot een specifieke WMI-naamruimte

U kunt gebruikers toegang tot een specifieke WMI-naamruimte toestaan of weigeren door de machtiging Extern inschakelen in het WMI-besturingselement in te stellen voor een naamruimte. Als een gebruiker verbinding probeert te maken met een naamruimte waar hij of zij geen toegang toe heeft, wordt de fout 0x80041003 weergegeven. Deze machtiging is standaard alleen ingeschakeld voor beheerders. Een beheerder kan externe toegang tot specifieke WMI-naamruimten inschakelen voor een niet-beheerdergebruiker.

Met de volgende procedure stelt u machtigingen voor extern inschakelen in voor een gebruiker die geen beheerder is.

Machtigingen voor extern inschakelen instellen

  1. Maak verbinding met de externe computer met behulp van het WMI-besturingselement.

    Voor meer informatie over het WMI-besturingselement, zie Naamruimtebeveiliging instellen met het WMI-besturingselement.

  2. Selecteer op het tabblad Security de naamruimte en klik op Security.

  3. Zoek het juiste account en controleer Externe toegang inschakelen in de lijst Machtigingen.

Naamruimtebeveiliging instellen op Gegevensversleuteling vereisen voor externe verbindingen

Een beheerder of een MOF-bestand kan een WMI-naamruimte zo configureren dat er geen gegevens worden geretourneerd, tenzij u pakketprivacy (RPC_C_AUTHN_LEVEL_PKT_PRIVACY of PktPrivacy- als moniker in een script) gebruikt in een verbinding met die naamruimte. Dit zorgt ervoor dat gegevens worden versleuteld wanneer deze het netwerk kruisen. Als u een lager verificatieniveau probeert in te stellen, krijgt u een bericht dat de toegang is geweigerd. Zie Een versleutelde verbinding met een naamruimtevereisen voor meer informatie.

In het volgende VBScript-codevoorbeeld ziet u hoe u verbinding maakt met een versleutelde naamruimte met behulp van pktPrivacy.

strComputer = "RemoteComputer"
Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate,authenticationLevel=pktPrivacy}!\\" _
                              & strComputer & "\root\EncryptedNamespace")

Het delegeren met WMI

Processen op afstand maken met WMI-

C++-clients en -providers beveiligen

scriptclients beveiligen