Einrichten einer WMI-Remoteverbindung

Beim Herstellen einer Verbindung mit einem WMI-Namespace auf einem Remotecomputer müssen Sie möglicherweise die Einstellungen für die Windows-Firewall, die Benutzerkontensteuerung (User Account Control, UAC), DCOM oder CIMOM (Common Information Model Object Manager) ändern.

Dieses Thema umfasst die folgenden Abschnitte:

Windows-Firewalleinstellungen

Die WMI-Einstellungen für Windows-Firewalleinstellungen ermöglichen nur WMI-Verbindungen und keine anderen DCOM-Anwendungen.

Auf dem Remotezielcomputer muss in der Firewall eine Ausnahme für WMI festgelegt werden. Die Ausnahme für WMI ermöglicht es WMI, Remoteverbindungen und asynchrone Rückrufe an „Unsecapp.exe“ zu empfangen. Weitere Informationen finden Sie unter Festlegen der Sicherheit für einen asynchronen Aufruf.

Wenn eine Clientanwendung eine eigene Senke erstellt, muss diese Senke explizit den Firewallausnahmen hinzugefügt werden, damit Rückrufe erfolgreich sind.

Die Ausnahme für WMI funktioniert auch, wenn WMI mit einem festen Port mit dem Befehl winmgmt /standalonehost gestartet wurde. Weitere Informationen finden Sie unter Einrichten eines festen Ports für WMI.

Sie können WMI-Datenverkehr über die Benutzeroberfläche der Windows-Firewall aktivieren oder deaktivieren.

So aktivieren oder deaktivieren Sie WMI-Datenverkehr über die Firewallbenutzeroberfläche

  1. Klicken Sie in der Systemsteuerung auf Sicherheit, und wählen Sie dann Windows-Firewall aus.
  2. Klicken Sie auf Einstellungen ändern und dann auf die Registerkarte Ausnahmen.
  3. Aktivieren Sie im Fenster „Ausnahmen“ das Kontrollkästchen für Windows-Verwaltungsinstrumentation (WMI), um den WMI-Datenverkehr durch die Firewall zu ermöglichen. Deaktivieren Sie das Kontrollkästchen, um WMI-Datenverkehr zu deaktivieren.

Sie können den WMI-Datenverkehr durch die Firewall an der Eingabeaufforderung aktivieren oder deaktivieren.

So aktivieren oder deaktivieren Sie WMI-Datenverkehr an der Eingabeaufforderung mithilfe der WMI-Regelgruppe

  • Geben Sie an der Eingabeaufforderung folgende Befehle ein. Geben Sie Folgendes ein, um WMI-Datenverkehr durch die Firewall zu aktivieren:

    netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=yes

    Geben Sie Folgendes ein, um WMI-Datenverkehr durch die Firewall zu deaktivieren:

    netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=no

Anstatt den einzelnen WMI-Regelgruppenbefehl zu verwenden, können Sie auch einzelne Befehle für DCOM, WMI-Dienst und Senke verwenden.

So aktivieren Sie WMI-Datenverkehr mithilfe separater Regeln für DCOM, WMI, Rückrufsenke und ausgehende Verbindungen

  1. Geben Sie den folgenden Befehl ein, um eine Firewallausnahme für den DCOM-Port 135 einzurichten:

    netsh advfirewall firewall add rule dir=in name="DCOM" program=%systemroot%\system32\svchost.exe service=rpcss action=allow protocol=TCP localport=135

  2. Geben Sie den folgenden Befehl ein, um eine Firewallausnahme für den WMI-Dienst einzurichten:

    netsh advfirewall firewall add rule dir=in name ="WMI" program=%systemroot%\system32\svchost.exe service=winmgmt action = allow protocol=TCP localport=any

  3. Geben Sie den folgenden Befehl ein, um eine Firewallausnahme für die Senke einzurichten, die Rückrufe von einem Remotecomputer empfängt:

    netsh advfirewall firewall add rule dir=in name ="UnsecApp" program=%systemroot%\system32\wbem\unsecapp.exe action=allow

  4. Geben Sie den folgenden Befehl ein, um eine Firewallausnahme für ausgehende Verbindungen mit einem Remotecomputer einzurichten, mit dem der lokale Computer asynchron kommuniziert:

    netsh advfirewall firewall add rule dir=out name ="WMI_OUT" program=%systemroot%\system32\svchost.exe service=winmgmt action=allow protocol=TCP localport=any

Verwenden Sie die folgenden Befehle, um die Firewallausnahmen separat zu deaktivieren.

So deaktivieren Sie WMI-Datenverkehr mithilfe separater Regeln für DCOM, WMI, Rückrufsenke und ausgehende Verbindungen

  1. So deaktivieren Sie die DCOM-Ausnahme

    netsh advfirewall firewall delete rule name="DCOM"

  2. So deaktivieren Sie die WMI-Dienstausnahme

    netsh advfirewall firewall delete rule name="WMI"

  3. So deaktivieren Sie die Ausnahme für die Senke

    netsh advfirewall firewall delete rule name="UnsecApp"

  4. So deaktivieren Sie die Ausnahme für ausgehende Verbindungen

    netsh advfirewall firewall delete rule name="WMI_OUT"

Einstellungen der Benutzerkontensteuerung

Die Zugriffstokenfilterung der Benutzerkontensteuerung (User Account Control, UAC) kann sich darauf auswirken, welche Vorgänge in WMI-Namespaces zulässig sind oder welche Daten zurückgegeben werden. Unter der UAC werden alle Konten in der lokalen Administratorgruppe mit einem standardmäßigen Benutzerzugriffstoken ausgeführt. Dies wird auch als UAC-Zugriffstokenfilterung bezeichnet. Ein Administratorkonto kann ein Skript mit erhöhten Berechtigungen ausführen: Als Administrator ausführen“.

Wenn Sie keine Verbindung mit dem integrierten Administratorkonto herstellen, wirkt sich die UAC auf Verbindungen mit einem Remotecomputer unterschiedlich aus, je nachdem, ob sich die beiden Computer in einer Domäne oder einer Arbeitsgruppe befinden. Weitere Informationen zu UAC und Remoteverbindungen finden Sie unter Benutzerkontensteuerung und WMI.

DCOM-Einstellungen

Weitere Informationen zu DCOM-Einstellungen finden Sie unter Schützen einer WMI-Remoteverbindung. Die UAC wirkt sich jedoch auf Verbindungen für Benutzerkonten ohne Domänenzugehörigkeit aus. Wenn Sie eine Verbindung mit einem Remotecomputer mithilfe eines Benutzerkontos ohne Domänenzugehörigkeit herstellen, das in der lokalen Administratorgruppe des Remotecomputers enthalten ist, müssen Sie dem Konto explizit DCOM-Remotezugriffs-, Aktivierungs- und Startberechtigungen gewähren.

CIMOM-Einstellungen

Die CIMOM-Einstellungen müssen aktualisiert werden, wenn die Remoteverbindung zwischen Computern besteht, die keine Vertrauensstellung haben. Andernfalls tritt bei einer asynchronen Verbindung ein Fehler auf. Diese Einstellung sollte für Computer in derselben Domäne oder in vertrauenswürdigen Domänen nicht geändert werden.

Der folgende Registrierungseintrag muss geändert werden, um anonyme Rückrufe zuzulassen:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\AllowAnonymousCallback

               Datentyp

               REG\_DWORD

Wenn der Wert AllowAnonymousCallback auf „0“ festgelegt ist, verhindert der WMI-Dienst anonyme Rückrufe an den Client. Wenn der Wert auf „1“ festgelegt ist, lässt der WMI-Dienst anonyme Rückrufe an den Client zu.

Herstellen einer Verbindung mit WMI auf einem Remotecomputer