WMI サービス設定
このページの全文を参照するには、ここをクリックしてください

WMI サービス設定

一部のコンプライアンスチェックでは、コンプライアンス評価を正常に実行するために WMI サービスへのセキュアなアクセスが必要です。このため、認証レベルを「Packet Privacy」まで上げて、安全な方法で実行されるように WMI サービスを設定することをお勧めします。

次に示す名前空間および関連するコントロールをスキャンするには、高度な認証レベルが必要です。

名前空間: root\CIMv2\Security\microsofttpm

CID 11279 - Windows 上の「Trusted Platform Module(TPM)」のステータス(「Activated」)

CID 11287 - Windows 上の「Trusted Platform Module(TPM)」のステータス(「Enabled」)

CID 11288 - Windows 上の「Trusted Platform Module(TPM)」のステータス(「Owned」)

CID 17194 - 「Trusted Platform Module(TPM)」のバージョンのステータス

名前空間: root\CIMv2\TerminalServices

CID 11478 - リモートデスクトップ接続権限が付与されているグループおよびユーザアカウントの現在のリスト

名前空間: root\CIMv2\Security\MicrosoftVolumeEncryption

CID 14412 - Bitlocker を使用して暗号化できるホストのすべてのハードディスクの「ProtectionStatus」属性のステータス(WMI クエリを使用)

リモート WMI アクセスの要件

スキャンユーザアカウントにリモート WMI へのアクセスを許可する手順については、以下を参照してください。

ステップ 1 - スキャンユーザアカウントグループ

スキャンユーザアカウントは、次のグループに属している必要があります。

- Performance Log Users

- Performance Monitor Users

- Remote Desktop Users(リモートログイン用)

- Remote Management Users

- Distributed COM Users

ステップ 2 - WMI 認証レベルを上げる

一部のコンプライアンスチェックでは、コンプライアンス評価を正常に実行するために WMI サービスへのセキュアなアクセスが必要です。このため、認証レベルを「Packet Privacy」まで上げて、安全な方法で実行されるように WMI サービスを設定することをお勧めします。認証レベルの詳細については、こちらをご参照ください。

上記の名前空間およびコントロールをスキャンする各ホストに対して、次のコマンドを実行する必要があります。

“ cmd ”を開いて(管理者として実行)、次のコマンドを実行します。

WMI コマンド  

次に、Winmgmt サービス(Windows Management Instrumentation)を再起動します。

「ファイル名を指定して実行」(Win + R)を開いて、「Services.msc」と入力します。「Windows Management Instrumentation」を見つけ、右クリックして、「再起動」を選択します。

ステップ 3 - 対象コンピュータでの WMI リモートアクセスの設定

次の手順に従います。

1)管理者アカウントを使用して、監視するコンピュータにログオンします。

2)「スタート」->「コントロール パネル」->「管理ツール」->「コンピュータの管理」->「サービスとアプリケーション」を選択します。

3)「WMI コントロール」をクリックし、右クリックして、「プロパティ」を選択します。

4)「セキュリティ」タブを選択し、「Root」を展開し、「CIMV2」をクリックします。

5)「セキュリティ」をクリックし、このコンピュータへのアクセスに使用するユーザアカウントを選択します。次のパーミッションを必ず付与してください。アカウントとリモートアカウントの有効化

6)「詳細設定」をクリックし、このコンピュータへのアクセスに使用するユーザアカウントを選択します。

7)「編集」をクリックし、「適用先」フィールドの「この名前空間と副名前空間」を選択し、「OK」をクリックします。

8)「OK」をクリックして、「CIMV2 のセキュリティの詳細設定」ウィンドウを閉じます。

9)「OK」をクリックして、「セキュリティ Root\CIMV2」ウィンドウを閉じます。

10)「コンピュータの管理」の左のナビゲーションウィンドウで「サービス」をクリックします。

11)「サービス」結果ウィンドウで、「Windows Management Instrumentation」を右クリックし、「再起動」をクリックします。

ステップ 4 - DCOM 設定パーミッションの設定

次の手順に従います。

1)「ファイル名を指定して実行」(Win + R)から「dcomcnfg」を開きます。

2)「コンポーネント サービス」->「コンピュータ」->「マイ コンピューター」をクリックし、右クリックして「プロパティ」をクリックします。

3)「COMセキュリティ」タブ->「起動とアクティブ化のアクセス許可」->「制限の編集」を選択します。

4)スキャンユーザを追加し、すべてのパーミッションを許可します。

ステップ 5 - ファイアウォール経由の WMI トラフィックを許可

監視されるアプリケーションサーバのファイアウォール経由の WMI トラフィックを許可する必要があります。次の手順に従って、Windows ファイアウォール経由の WMI トラフィックを許可します。

次の手順に従います。

1)管理者アカウントを使用して、監視するコンピュータにログオンします。

2)「スタート」->「コントロール パネル」->「セキュリティ センター」を選択します。

3)左のナビゲーションウィンドウで、「Windows ファイアウォール」をクリックします。

4)左のナビゲーションウィンドウで、「Windows ファイアウォールによるプログラムの許可」をクリックします。

5)「Windows Management Instrumentation (WMI)」を選択し、「OK」をクリックします。