Protezione di un Connessione WMI remoto

Per connettersi a un computer remoto tramite WMI, assicurarsi che le impostazioni DCOM corrette e le impostazioni di sicurezza dello spazio dei nomi WMI siano abilitate per la connessione.

WMI ha impostazioni predefinite di rappresentazione, autenticazione e servizio di autenticazione (NTLM o Kerberos) richieste dal computer di destinazione in una connessione remota. Il computer locale può usare impostazioni predefinite diverse che il sistema di destinazione non accetta. È possibile modificare queste impostazioni nella chiamata di connessione.

Le sezioni seguenti sono descritte in questo argomento:

Impostazioni di rappresentazione e autenticazione DCOM per WMI

WMI ha impostazioni predefinite di rappresentazione, autenticazione e servizio di autenticazione DCOM (NTLM o Kerberos) richieste dal sistema remoto. Il sistema locale può usare impostazioni predefinite diverse che il sistema remoto di destinazione non accetta. È possibile modificare queste impostazioni nella chiamata di connessione. Per altre informazioni, vedere Impostazione della sicurezza del processo dell'applicazione client. Tuttavia, per il servizio di autenticazione, è consigliabile specificare RPC_C_AUTHN_DEFAULT e consentire a DCOM di scegliere il servizio appropriato per il computer di destinazione.

È possibile specificare le impostazioni nei parametri per le chiamate a CoInitializeSecurity o CoSetProxyBlanket in C++. Negli script è possibile stabilire le impostazioni di sicurezza nelle chiamate a SWbemLocator.ConnessioneServer, in un oggetto SWbemSecurity o nella stringa del moniker di scripting.

Per un elenco di tutte le costanti di rappresentazione C++, vedere Impostazione del livello di sicurezza del processo predefinito con C++. Per le costanti e le stringhe di scripting di Visual Basic per l'uso della connessione moniker, vedere Impostazione del livello di sicurezza del processo predefinito tramite VBScript.

Nella tabella seguente sono elencate le impostazioni predefinite di rappresentazione, autenticazione e servizio di autenticazione DCOM richieste dal computer di destinazione (Computer B) in una connessione remota. Per altre informazioni, vedere Protezione di un Connessione WMI remoto.

Sistema operativo Computer B Stringa di scripting a livello di rappresentazione Stringa di scripting a livello di autenticazione Servizio di autenticazione
Windows Vista o versione successiva Impersonate Pkt Kerberos

 

Le connessioni remote WMI sono interessate dal controllo dell'account utente e da Windows Firewall. Per altre informazioni, vedere Connessione ing to WMI Remotely Starting with Vista and Connessione ing through Windows Firewall .For more information, see Connessione ing to WMI Remotely Starting with Vista and Connessione ing through Windows Firewall.

Tenere presente che la connessione a WMI nel computer locale ha un livello di autenticazione predefinito PktPrivacy.

Impostazione della sicurezza DCOM su Consenti a un utente di accedere a un computer in modalità remota

La sicurezza in WMI è correlata alla connessione a uno spazio dei nomi WMI. WMI usa DCOM per gestire le chiamate remote. Un motivo per cui non è possibile connettersi a un computer remoto è dovuto a un errore DCOM (errore "DCOM Access Denied" decimal -2147024891 o hex 0x80070005). Per altre informazioni sulla sicurezza DCOM in WMI per le applicazioni C++, vedere Impostazione della sicurezza del processo dell'applicazione client.

È possibile configurare le impostazioni DCOM per WMI usando l'utilità di configurazione DCOM (DCOMCnfg.exe) disponibile in Amministrazione istrative Tools in Pannello di controllo. Questa utilità espone le impostazioni che consentono a determinati utenti di connettersi al computer in remoto tramite DCOM. I membri del gruppo Amministrazione istrators possono connettersi in remoto al computer per impostazione predefinita. Con questa utilità è possibile impostare la sicurezza per avviare, accedere e configurare il servizio WMI.

La procedura seguente descrive come concedere autorizzazioni di avvio e attivazione remote DCOM per determinati utenti e gruppi. Se il computer A si connette in remoto al computer B, è possibile impostare queste autorizzazioni sul computer B per consentire a un utente o a un gruppo che non fa parte del gruppo Amministrazione istrators nel computer B di eseguire chiamate di avvio e attivazione DCOM nel computer B.

Per concedere autorizzazioni di attivazione e avvio remoto DCOM per un utente o un gruppo

  1. Fare clic su Start, scegliere Esegui, digitare DCOMCNFG e quindi fare clic su OK.

  2. Nella finestra di dialogo Servizi componenti espandere Servizi componenti, computere quindi fare clic con il pulsante destro del mouse su Computer e scegliere Proprietà.

  3. Nella finestra di dialogo Proprietà computer fare clic sulla scheda Sicurezza COM.

  4. In Autorizzazioni di avvio e attivazione fare clic su Modifica limiti.

  5. Nella finestra di dialogo Avvia autorizzazione seguire questa procedura se il nome o il gruppo non viene visualizzato nell'elenco Gruppi o nomi utente:

    1. Nella finestra di dialogo Avvia autorizzazione fare clic su Aggiungi.
    2. Nella finestra di dialogo Seleziona utenti, computer o gruppi aggiungere il nome e il gruppo nella casella Immettere i nomi degli oggetti da selezionare e quindi fare clic su OK.
  6. Nella finestra di dialogo Avvia autorizzazione selezionare l'utente e il gruppo nella casella Nome gruppo o utente. Nella colonna Consenti in Autorizzazioni per utente selezionare Avvio remoto e selezionare Attivazione remota, quindi fare clic su OK.

La procedura seguente descrive come concedere autorizzazioni di accesso remoto DCOM per determinati utenti e gruppi. Se il computer A si connette in remoto al computer B, è possibile impostare queste autorizzazioni sul computer B per consentire a un utente o a un gruppo che non fa parte del gruppo Amministrazione istrators nel computer B per connettersi al computer B.

Per concedere le autorizzazioni di accesso remoto DCOM

  1. Fare clic su Start, scegliere Esegui, digitare DCOMCNFG e quindi fare clic su OK.
  2. Nella finestra di dialogo Servizi componenti espandere Servizi componenti, computere quindi fare clic con il pulsante destro del mouse su Computer e scegliere Proprietà.
  3. Nella finestra di dialogo Proprietà computer fare clic sulla scheda Sicurezza COM.
  4. In Autorizzazioni di accesso fare clic su Modifica limiti.
  5. Nella finestra di dialogo Autorizzazione di accesso selezionare NOME ACCESSO ANONIMO nella casella Nome gruppo o utente . Nella colonna Consenti in Autorizzazioni per utente selezionare Accesso remoto e quindi fare clic su OK.

Consentire agli utenti di accedere a uno spazio dei nomi WMI specifico

È possibile consentire o impedire agli utenti di accedere a uno spazio dei nomi WMI specifico impostando l'autorizzazione "Abilitazione remota" nel controllo WMI per uno spazio dei nomi. Se un utente tenta di connettersi a uno spazio dei nomi a cui non è consentito l'accesso, riceverà un errore 0x80041003. Per impostazione predefinita, questa autorizzazione è abilitata solo per gli amministratori. Un amministratore può abilitare l'accesso remoto a spazi dei nomi WMI specifici per un utente non amministratore.

La procedura seguente imposta le autorizzazioni di abilitazione remota per un utente non amministratore.

Per impostare le autorizzazioni di abilitazione remota

  1. Connessione al computer remoto usando il controllo WMI.

    Per altre informazioni sul controllo WMI, vedere Impostazione della sicurezza dello spazio dei nomi con il controllo WMI.

  2. Nella scheda Sicurezza selezionare lo spazio dei nomi e fare clic su Sicurezza.

  3. Individuare l'account appropriato e selezionare Abilita remota nell'elenco Autorizzazioni .

Impostazione della sicurezza dello spazio dei nomi su Richiedi crittografia dei dati per le Connessione remote

Un amministratore o un file MOF può configurare uno spazio dei nomi WMI in modo che non vengano restituiti dati a meno che non si usi la privacy dei pacchetti (RPC_C_AUTHN_LEVEL_PKT_PRIVACY o PktPrivacy come moniker in uno script) in una connessione a tale spazio dei nomi. In questo modo si garantisce che i dati vengano crittografati mentre attraversano la rete. Se si tenta di impostare un livello di autenticazione inferiore, verrà visualizzato un messaggio di accesso negato. Per altre informazioni, vedere Richiedere un Connessione crittografato a uno spazio dei nomi.

Nell'esempio di codice VBScript seguente viene illustrato come connettersi a uno spazio dei nomi crittografato usando "pktPrivacy".

strComputer = "RemoteComputer"
Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate,authenticationLevel=pktPrivacy}!\\" _
                              & strComputer & "\root\EncryptedNamespace")

Delega con WMI

Creazione di processi in remoto con WMI

Protezione di client e provider C++

Protezione dei client di scripting