Configuration d’une connexion WMI à distance
La connexion à un espace de noms WMI sur un ordinateur distant peut nécessiter la modification des paramètres du Pare-feu Windows, du contrôle de compte d’utilisateur (UAC), de DCOM ou de CIMOM (Common Information Model Object Manager).
Voici les sections qui sont abordées dans cette rubrique :
- Paramètres du Pare-feu Windows
- Paramètres du contrôle de compte d’utilisateur
- Paramètres de DCOM
- Paramètres de CIMOM
- Rubriques connexes
Paramètres de pare-feu Windows
Les paramètres WMI pour les paramètres du Pare-feu Windows activent uniquement les connexions WMI, et pas d’autres applications DCOM.
Une exception doit être définie dans le pare-feu pour WMI sur l’ordinateur cible distant. L’exception pour WMI autorise WMI à recevoir des connexions à distance et des rappels asynchrones sur Unsecapp.exe. Pour plus d’informations, consultez Définition de la sécurité sur un appel asynchrone.
Si une application cliente crée son propre récepteur, celui-ci doit être explicitement ajouté aux exceptions du pare-feu pour permettre la réussite des rappels.
L’exception pour WMI s’applique également si WMI a été démarré sur un port fixe, avec la commande winmgmt /standalonehost. Pour plus d’informations, consultez Configuration d’un port fixe pour WMI.
Vous pouvez activer ou désactiver le trafic WMI via l’interface utilisateur du Pare-feu Windows.
Pour activer ou désactiver le trafic WMI avec l’interface utilisateur du pare-feu
- Dans le Panneau de configuration, cliquez sur Sécurité, puis cliquez sur Pare-feu Windows.
- Cliquez sur Modifier les paramètres, puis cliquez sur l’onglet Exceptions.
- Dans la fenêtre Exceptions, cochez la case Windows Management Instrumentation (WMI) pour autoriser le trafic WMI à travers le pare-feu. Pour désactiver le trafic WMI, décochez la case.
Vous pouvez activer ou désactiver le trafic WMI via le pare-feu à l’invite de commandes.
Pour activer ou désactiver le trafic WMI à l’invite de commandes avec un groupe de règles WMI
Utilisez les commandes suivantes à l’invite de commandes. Tapez ce qui suit pour activer le trafic WMI via le pare-feu.
netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=yes
Tapez la commande suivante pour désactiver le trafic WMI via le pare-feu.
netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=no
Au lieu d’utiliser la commande de groupe de règles WMI unique, vous pouvez aussi utiliser des commandes individuelles pour chaque DCOM, service WMI et récepteur.
Pour activer le trafic WMI en utilisant des règles distinctes pour DCOM, WMI, le récepteur de rappels et les connexions sortantes
Pour établir une exception de pare-feu sur le port DCOM 135, utilisez la commande suivante.
netsh advfirewall firewall add rule dir=in name="DCOM" program=%systemroot%\system32\svchost.exe service=rpcss action=allow protocol=TCP localport=135
Pour établir une exception de pare-feu pour le service WMI, utilisez la commande suivante.
netsh advfirewall firewall add rule dir=in name ="WMI" program=%systemroot%\system32\svchost.exe service=winmgmt action = allow protocol=TCP localport=any
Pour établir une exception de pare-feu pour le récepteur des rappels provenant d’un ordinateur distant, utilisez la commande suivante.
netsh advfirewall firewall add rule dir=in name ="UnsecApp" program=%systemroot%\system32\wbem\unsecapp.exe action=allow
Pour établir une exception de pare-feu pour les connexions sortantes vers un ordinateur distant avec lequel l’ordinateur local communique de manière asynchrone, utilisez la commande suivante.
netsh advfirewall firewall add rule dir=out name ="WMI_OUT" program=%systemroot%\system32\svchost.exe service=winmgmt action=allow protocol=TCP localport=any
Pour désactiver les exceptions de pare-feu séparément les unes des autres, utilisez les commandes suivantes.
Pour désactiver le trafic WMI en utilisant des règles distinctes pour DCOM, WMI, le récepteur de rappels et les connexions sortantes
Pour désactiver l’exception pour DCOM.
netsh advfirewall firewall delete rule name="DCOM"
Pour désactiver l’exception pour le service WMI.
netsh advfirewall firewall delete rule name="WMI"
Pour désactiver l’exception pour le récepteur.
netsh advfirewall firewall delete rule name="UnsecApp"
Pour désactiver l’exception pour les connexions sortantes.
netsh advfirewall firewall delete rule name="WMI_OUT"
Paramètres du contrôle de compte d’utilisateur
Le filtrage des jetons d’accès par le contrôle de compte d’utilisateur (UAC) peut impacter les opérations qui sont ou non autorisées dans les espaces de noms WMI, ou impacter les données qui sont retournées. Sous le contrôle de compte d’utilisateur, tous les comptes du groupe Administrateurs local s’exécutent avec un jeton d’accès d’utilisateur standard, également appelé filtrage des jetons d’accès du contrôle de compte d’utilisateur. Un compte administrateur peut exécuter un script en mode élevé : « Exécuter en tant qu’administrateur».
Si vous ne vous connectez pas au compte Administrateur intégré, le contrôle de compte d’utilisateur impacte les connexions à un ordinateur distant de manière différente selon que les deux ordinateurs se trouvent dans un domaine ou dans un groupe de travail. Pour plus d’informations sur le contrôle de compte d’utilisateur et les connexions à distance, consultez Contrôle de compte d’utilisateur et WMI.
Paramètres de DCOM
Pour plus d’informations sur les paramètres de DCOM, consultez Sécurisation d’une connexion WMI à distance. Toutefois, le contrôle de compte d’utilisateur impacte les connexions pour les comptes d’utilisateur hors domaine. Si vous vous connectez à un ordinateur distant avec un compte d’utilisateur hors domaine qui est membre du groupe Administrateurs local sur l’ordinateur distant, vous devez accorder explicitement au compte des droits d’accès, d’activation et de lancement à distance de DCOM.
Paramètres de CIMOM
Les paramètres de CIMOM doivent être mis à jour si la connexion à distance est établie entre des ordinateurs qui n’ont aucune relation d’approbation ; sinon, toute connexion asynchrone échouera. Ce paramètre ne doit pas être modifié pour les ordinateurs du même domaine ou des domaines approuvés.
L’entrée de Registre suivante doit être modifiée pour autoriser les rappels anonymes :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\AllowAnonymousCallback
-
Type de données
- REG\_DWORD
Si la valeur AllowAnonymousCallback est définie sur 0, le service WMI bloque les rappels anonymes sur le client. Si la valeur est définie sur 1, le service WMI autorise les rappels anonymes sur le client.
Rubriques connexes