Массовый удаленный доступ к WMI

Внедряя SberMobile в больших сетях, часто необходимо включить WMI на сотнях и даже тысячах рабочих станций. Эта статья представляет собой пошаговую инструкцию для осуществления этого действия.

Нужно завершить две операции верхнего уровня:

  • Настройка групповой политики
  • Запуск конфигурационного скрипта WMI

    • 1. Настройка групповой политики

    Групповая политика создается и настраивается на машине Контроллер Доменов.

    2.1 включите сервер и сервисы удаленных реестров

    Используйте групповую политику для включения Сервера и сервиса Удаленный Реестр.

    2.2 включите доступ DCOM

    Используйте групповую политику для включения доступа DCOM.

    2.2.1. Дважды нажмите на политике DCOM: Ограничения доступа машины, затем используйте кнопку Редактировать безопасность, чтобы добавить пользователя, чьи параметры доступа будут использоваться для мониторинга.

    Предоставьте этому пользователю права доступа Удаленный доступ.

    2.2.2. Нажмите дважды на политике DCOM: Ограничения при запуске машины, затем используйте кнопку Редактировать безопасность, чтобы добавить пользователя, чьи параметры доступа будут использоваться для мониторинга.

    Предоставьте этму пользователю права доступа Локальный запуск, Удаленный запуск, Локальная активация и Удаленная активация.

    2.2.3. Дважды нажмите на политике Доступ к сети: совместное использование и модель обеспечения защиты для локальных учетных записей, в раскрывающемся списке выберите Классическая - пользователи аутентифицируются как они сами.

    2.3 настройте или выключите брандмауэр windows

    Перенастройте Брандмауэр Windows с использованием групповой политики, если необходимо.

    В некоторых случаях Брандмауэр Windows настраивается для блокировки протокола DCOM. Убедитесь, что Брандмауэр Windows не блокирует протокол DCOM или выключен.

    2.4 выключите контроль учетных записей пользователей (UAC)

    Когда Контроль учетных записей пользователей (UAC) активен, у учетной записи администратора по факту есть два маркера безопасности, стандартный маркер пользователя и также маркер администратора (который активируется только тогда, когда вы проходите контроль учетных записей). К сожалению, удаленные запросы, идущие через сеть, получают стандарный маркер пользователя для администратора, и так как нет никакого способа для обработки учетных записей строки удаленно, маркер не может быть возведен в истинно администраторский маркер безопасности.

    Таким образом, UAC должен быть отключен с помощью групповой политики для обеспечения удаленного доступа DCOM.

    2.4.1. Установите политику Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором на Повышение без запроса

    2.4.2. Установите политику на Контроль учетных записей: обнаружение установки приложений и запрос на повышение на Выключено

    2.4.3. Установите политику Управление учетными записями пользователей: все администраторы работают в режиме одобрения администратором на Выключено

    2.5 включите доступ WMI через брандмауэр windows

    Перенастройте Брандмауэр Windows, используя групповую политику для передачи запросов WMI:

    2.6 настройте имперсонацию WMI

    Перейдите в Настройки беопасности >Локальные политики, затем выберите Назначение прав пользователя. Убедитесь, что политика Имперсонация клиента после аутентификации предоставляет права доступа учетной записи системы СЛУЖБА.

    2.7 настройка прав доступа реестра

    Предоставьте пользователю права доступа, которые будут использоваться для мониторинга прав доступа Полный контроль к ветви реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurePipeServersWinReg.

    2. Запуск конфигурационного скрипта WMI

    Конфигурационный скрипт WMI делает работу по настройке массового конфигурирования WMI. Как только она заканчивается, вы можете подключить хосты WMI к мониторингу SberMobile.

    Скрипт написан в PowerShell. Текст скрипта доступен в отдельной статье.

    Инструкции для запуска:

  • Сохраните скрипт как файл wmi_config.ps1.
  • Скрипт можно запустить на машине Windows 2008 Server или Windows 7 под учетной записью администратора домена.
  • Учетная запись пользователя, запустившего скрипт, должна быть включена в группу Локальные администраторы на каждой настраиваемой рабочей станции. Это можно сделать с помощью групповой политики: перейдите в Конфигурация компьютера> Настройка Windows> Параметры безопасности> Группы с ограниченным доступом, добавьте группу Администраторы, а затем добавьте домен, чьи привилегии должны быть переданы этой группе. Получите предупреждение о том, что пользователи домена, которые не были добавлены в новую созданную группу, будут удалены из локальных администраторов.
  • Необходимо выполнить скрипты PowerShell, используя команду Set-ExecutionPolicy RemoteSigned.
  • Нужно синхронизировать время всех рабочих станций, вовлеченных в мониторинг WMI.
  • Укажите параметр $ComputerListFile в скрипте к файлу со списком настраиваемых IP адресов хостов.
  • В параметре скрипта $account укажите имя учетной записи пользователя, чьи параметры доступа будут использоваться для мониторинга.
  • Запустите скрипт.

    • Нахождение хостов, готовых к настройке WMI

    Чтобы создать файл со списком всех хостов в вашей сети, готовых для настройки WMI (например, с открытым портом RPC (135)), используйте другой скрипт PowerShell.

    Автоматическое включение WMI

    Скрипт, сканирующий хосты WMI, и конфигурационный скрипт WMI могут запускаться периодически с использованием планировщика задач Windows. Это позволит автоматически находить и автоматическое подключать все новые хосты WMI к SberMobile с помощью функции обнаружения сети SberMobile.