Údržba zabezpečení rozhraní WMI
Zabezpečení WMI se zaměřuje na ochranu přístupu k datům jmenného prostoru. Rozhraní WMI nejprve udělí přístup ke skupinám uživatelů podle nastavení Ovládacího panelu WMI a modelu DCOM, a zprostředkovatelé pak určí, jestli má mít uživatel přístup k datům oboru názvů.
V tomto tématu jsou popsány následující části:
- Zabezpečení oboru názvů
- nastavení zabezpečení modelu DCOM (Distributed Component Object Model).
- WMI, sdílené služby hostitelů a ověřování
- zabezpečení pro klientské skripty a aplikace WMI
- související témata
Zabezpečení oboru názvů
Zabezpečení závisí na standardních identifikátorech zabezpečení (SID) systému Windows a popisovači zabezpečení pro obor názvů služby WMI.
Zabezpečení oboru názvů můžete nastavit provedením následujících akcí:
- Uživatelům udělte nebo odepřete přístupová práva k jmenným prostorům pomocí ovládacího prvku WMI nebo při vytváření jmenného prostoru. Další informace naleznete v tématu Nastavení zabezpečení oboru názvů pomocí ovládacích WMI a Nastavení zabezpečení oboru názvů při vytvoření oboru názvů.
- K nastavení auditování zabezpečení použijte kartu Zabezpečení ovládacího prvku WMI. Auditování zabezpečení vede k záznamům protokolu událostí, když uživatel selže nebo uspěje v auditované akci, například zápis dat do objektu WMI nebo čtení popisovače zabezpečení. Další informace naleznete v tématu Přístup k oborům názvů WMI.
- Použijte soubor MOF, který definuje obor názvů, který vyžaduje, aby uživatel udělal šifrované připojení. Další informace najdete v části Vyžadování šifrovaného připojení k oboru názvů.
Nastavení zabezpečení modelu DCOM (Distributed Component Object Model).
Zabezpečení modelu DCOM vyžaduje nastavení ověřování a nastavení zosobnění. Ověřování znamená, že jeden proces se identifikuje jako druhý. Zosobnění identifikuje autoritu, kterou klient udělí serveru, aby volal různé procesy. Během kontroly zabezpečení server zosobní klienta. Další informace naleznete v tématu Zabezpečení klientů a poskytovatelů C++ nebo Zabezpečení skriptovacích klientů.
Skripty a aplikace C/C++/C# buď navazují úrovně ověřování a zosobnění, když se připojí k oboru názvů služby WMI, nebo používají výchozí nastavení. Připojení ke vzdáleným počítačům vyžadují jiná nastavení než připojení k oborům názvů WMI na místním počítači. Další informace naleznete v tématu Připojení k rozhraní WMI na vzdáleném počítači.
WMI, hostitelé sdílených služeb a ověřování
Rozhraní WMI se nachází ve sdíleném hostiteli služeb s několika dalšími službami spuštěnými v rámci účtu NetworkService. V procesu Svchost sdílí WMI stejnou autentizaci jako ostatní procesy na hostiteli.
Knihovny DLL zprostředkovatele se načítají do samostatných hostitelských procesů služby nezávisle na rozhraní WMI. Vlastnost HostingModel v systémové třídě __Win32Provider, která představuje zprostředkovatele, určuje systémový účet, pod kterým poskytovatel běží. Nastavení této vlastnosti způsobí nahrání zprostředkovatele do sdíleného hostitelského procesu se stanovenou úrovní oprávnění. Další informace naleznete v tématu Poskytovatel hostingu a zabezpečení.
Zabezpečení klientských skriptů a aplikací rozhraní WMI
Skripty a aplikace musí navázat správné zabezpečení pro připojení k jmenným prostorům WMI na místních a vzdálených počítačích. Další informace naleznete v tématu Zabezpečení klientů a poskytovatelů C++, zabezpečení skriptovací klientya zabezpečení událostí rozhraní WMI.
Následující tabulka uvádí témata týkající se údržby zabezpečení rozhraní WMI.
| Námět | Popis |
|---|---|
| Zabezpečení oborů názvů WMI | Přístup k datům oboru názvů můžete omezit na oprávněné uživatele prostřednictvím ovládacího prvku WMI. |
| zabezpečení vašeho poskytovatele | Informace o zápisu zabezpečených poskytovatelů |
| zabezpečení klientů a poskytovatelů C++ | Aby bylo možné udržovat zabezpečení rozhraní WMI, musí poskytovatelé C++ i klientské aplikace provádět mnoho stejných operací. |
| zabezpečení skriptovacího klienta | Skripty a aplikace jazyka Visual Basic (klienti automatizace) musí nastavit odpovídající zabezpečení pro získání přístupu k datům a událostem rozhraní WMI. |
| zabezpečení událostí rozhraní WMI | Události rozhraní WMI doručují poskytovatel událostí dočasnému nebo trvalému příjemci. Události se doručují ve formě instance třídy událostí. |
| změna zabezpečení přístupu u zabezpečitelných objektů | S příslušnými oprávněními můžete volat metody u objektů WMI, které představují zabezpečitelné objekty, které čtou nebo mění popisovače zabezpečení u zabezpečitelných objektů. |
Související témata