Řekněme, že se chcete připojit na vzdálený počítač pomocí WMI (Windows Management Instrumentation). A přitom nejste administrátoři. Hned v dalším článku zjistíte, proč to někdo třeba může chtít. Jenže ono to samo od sebe nejde. Ve výchozím nastavení se k WMI může vzdáleně dostat jen člen lokální skupiny Administrators. Tenhle problém je o to zajímavější, že WMI používá DCOM a tak to je poměrně složitá konfigurace.
Nejprve si musíte zkontrolovat, že máte vůbec vzdálený přístup na DCOM povolen. To prověříte pomocí konzole Component Services tak, jak je na obrázku.
DCOM má základní omezení přístupu nazvané Limits, které se vztahuje na všechno, co běží na daném počítači. Pokud tímto prvním filtrem neprojdete, dál vás DCOM nepustí. Vytvořil jsem si tedy skupinu, jejímž členům umožním vzdálený přístup na WMI, tak jak je na obrázcích. Všimněte si, že WMI potřebuje jen oprávnění Remote Activation.
Tohle bylo nastavení pro celý počítač. Dál musíme povolit přístup na konkrétní DCOM aplikaci, v našem případě tedy na WMI (aplikace Windows Management and Instrumentation). Takže se použije položka Component Services – Computers – My Computer – DCOM Config – Windows Management and Instrumentation. Opět povoluju jen oprávnění (permission) Remote Activation..
I když se prokoušete vzdáleným připojením až sem, tak ještě stále není vyhráno. I samotné WMI má vlastní omezení přístupu. Lokální oprávnění k jeho použití mají všichni (Authenticated Users), vzdálené jen skupina Administrators. Musíte si tedy povolit ještě vzdálený přístup k WMI. Nastavení najdete v konzoli Computer Management – Services and Applications – WMI Control.
A hurá, hotovo! Jak to ale vyzkoušíte? Ideálně pomocí MSINFO32. To je takový jednoduchý prohlížeč WMI, který máte v každém novějším operačním systému. Perfektně se tím tedy testuje WMI přístup. Spustíte si to z příkazové řádky a připojíte se ke vzdálenému stroji. Na následujícím obrázku vidíte, že jsem se skutečně připojil,
ale protože nejsem člen skupiny Administrators, nevidím všechny informace. Podívejte se například co jsem schopen zjistit o procesech a nebo o službách na vzdáleném počítači.
Poznámky na konec
Jen pro pořádek. K tomu, abyste se připojili na vzdálený stroj, musíte ještě před tím, než vůbec dojde na zabezpečení samotného DCOM splnit nějaké další věci.
- musíte se být schopni připojit přes síť. To vyžaduje TCP port 135 a dynamický DCOM port. Ve Windows Firewall with Advanced Security na to máte přímo nachystanou výjimku.
- musíte být schopni se ověřit buď lokálně, nebo na doméně pomocí Kerberosu.
- musíte mít uživatelské právo Access this Computer from Network, což taky není vždycky ve výchozím stavu (výchozí je Everyone). Je vhodné to připojení nejprve vyzkoušet pro člena lokální skupiny Administrators a pak teprve pokusovat dál. Druhý dobrý test je, jestli se tam váš uživatel dostane na nějaký sdílený adresář. Tím se vyřeší otázka bodu A a B.
A proč to vůbec řeším si přečtěte v dalším článku o sledování lidí na vzdálené ploše.