Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Vzdálené připojení k WMI
březen 30
Vzdálené připojení k WMI

Řekněme, že se chcete připojit na vzdálený počítač pomocí WMI (Windows Management Instrumentation). A přitom nejste administrátoři. Hned v dalším článku zjistíte, proč to někdo třeba může chtít. Jenže ono to samo od sebe nejde. Ve výchozím nastavení se k WMI může vzdáleně dostat jen člen lokální skupiny Administrators. Tenhle problém je o to zajímavější, že WMI používá DCOM a tak to je poměrně složitá konfigurace.

Nejprve si musíte zkontrolovat, že máte vůbec vzdálený přístup na DCOM povolen. To prověříte pomocí konzole Component Services tak, jak je na obrázku.

DCOM má základní omezení přístupu nazvané Limits, které se vztahuje na všechno, co běží na daném počítači. Pokud tímto prvním filtrem neprojdete, dál vás DCOM nepustí. Vytvořil jsem si tedy skupinu, jejímž členům umožním vzdálený přístup na WMI, tak jak je na obrázcích. Všimněte si, že WMI potřebuje jen oprávnění Remote Activation.

Tohle bylo nastavení pro celý počítač. Dál musíme povolit přístup na konkrétní DCOM aplikaci, v našem případě tedy na WMI (aplikace Windows Management and Instrumentation). Takže se použije položka Component Services – Computers – My Computer – DCOM Config – Windows Management and Instrumentation. Opět povoluju jen oprávnění (permission) Remote Activation..

I když se prokoušete vzdáleným připojením až sem, tak ještě stále není vyhráno. I samotné WMI má vlastní omezení přístupu. Lokální oprávnění k jeho použití mají všichni (Authenticated Users), vzdálené jen skupina Administrators. Musíte si tedy povolit ještě vzdálený přístup k WMI. Nastavení najdete v konzoli Computer Management – Services and Applications – WMI Control.

A hurá, hotovo! Jak to ale vyzkoušíte? Ideálně pomocí MSINFO32. To je takový jednoduchý prohlížeč WMI, který máte v každém novějším operačním systému. Perfektně se tím tedy testuje WMI přístup. Spustíte si to z příkazové řádky a připojíte se ke vzdálenému stroji. Na následujícím obrázku vidíte, že jsem se skutečně připojil,

ale protože nejsem člen skupiny Administrators, nevidím všechny informace. Podívejte se například co jsem schopen zjistit o procesech a nebo o službách na vzdáleném počítači.

Poznámky na konec

Jen pro pořádek. K tomu, abyste se připojili na vzdálený stroj, musíte ještě před tím, než vůbec dojde na zabezpečení samotného DCOM splnit nějaké další věci.

  1.  musíte se být schopni připojit přes síť. To vyžaduje TCP port 135 a dynamický DCOM port. Ve Windows Firewall with Advanced Security na to máte přímo nachystanou výjimku.
  2. musíte být schopni se ověřit buď lokálně, nebo na doméně pomocí Kerberosu.
  3. musíte mít uživatelské právo Access this Computer from Network, což taky není vždycky ve výchozím stavu (výchozí je Everyone). Je vhodné to připojení nejprve vyzkoušet pro člena lokální skupiny Administrators a pak teprve pokusovat dál. Druhý dobrý test je, jestli se tam váš uživatel dostane na nějaký sdílený adresář. Tím se vyřeší otázka bodu A a B.

A proč to vůbec řeším si přečtěte v dalším článku o sledování lidí na vzdálené ploše.

Comments

There are no comments for this post.

Add Comment

Sorry comments are disable due to the constant load of spam *


Omlouvám se, ale příval spamu nelze kontrolovat, takže mi prosím pošlete email, pokud máte nějaký dotaz, nebo připomínku.

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments