Partager via

Accès aux espaces de noms WMI

  • Article

WMI utilise un descripteur de sécurité Windows standard pour contrôler l’accès aux espaces de noms WMI. Lorsque vous vous connectez à WMI, via le moniker WMI « winmgmts » ou un appel à IWbemLocator ::ConnectServer ou SWbemLocator.ConnectServer, vous vous connectez à un espace de noms spécifique.

Les informations suivantes sont présentées dans cette rubrique :

Sécurité de l’espace de noms WMI

WMI gère la sécurité de l’espace de noms en comparant le jeton d’accès de l’utilisateur qui se connecte à l’espace de noms avec le descripteur de sécurité de l’espace de noms. Pour plus d’informations sur la sécurité Windows, consultez Accès aux objets sécurisables WMI.

N’oubliez pas que, à partir de Windows Vista, contrôle de compte d’utilisateur (UAC) affecte l’accès aux données WMI et ce qui peut être configuré avec le contrôle WMI . Pour plus d’informations, consultez autorisations par défaut sur les espaces de noms WMI et contrôle de compte d’utilisateur et WMI.

L’accès aux espaces de noms WMI est également affecté lorsque la connexion provient d’un ordinateur distant. Pour plus d’informations, consultez Connexion à WMI sur un ordinateur distant, sécurisation d’une connexion WMI distanteet connexion via le pare-feu Windows.

Les fournisseurs doivent s’appuyer sur le paramètre d’emprunt d’identité de la connexion pour déterminer si le script client ou l’application doit recevoir des données. Pour plus d’informations sur les scripts et les applications clientes, consultez Définition de la sécurité du processus d’application cliente. Pour plus d’informations sur fournisseur emprunt d’identité, consultez Développement d’un fournisseur WMI.

Audit de l’espace de noms WMI

WMI utilise l’espace de noms listes de contrôle d’accès système (SACL) pour auditer l’activité de l’espace de noms. Pour activer l’audit des espaces de noms WMI, utilisez l’onglet Sécurité de la contrôle WMI pour modifier les paramètres d’audit de l’espace de noms.

L’audit n’est pas activé pendant l’installation du système d’exploitation. Pour activer l’audit, cliquez sur l’onglet Audit dans la fenêtre standard Sécurité. Vous pouvez ensuite ajouter une entrée d’audit.

La stratégie de groupe de l’ordinateur local doit être définie pour autoriser l’audit. Vous pouvez activer l’audit en exécutant le composant logiciel enfichable Gpedit.msc MMC et en définissant audit d’accès aux objets sous configuration ordinateur>paramètres Windows>paramètres de sécurité>stratégies locales>stratégie d’audit.

Une entrée d’audit modifie la liste SACL de l’espace de noms. Lorsque vous ajoutez une entrée d’audit, il s’agit d’un utilisateur, d’un groupe, d’un ordinateur ou d’un principal de sécurité intégré. Après avoir ajouté l’entrée, vous pouvez définir les opérations d’accès qui entraînent des événements du journal de sécurité. Par exemple, pour le groupe Utilisateurs authentifiés, vous pouvez cliquer sur Exécuter des méthodes. Ce paramètre entraîne des événements du journal de sécurité chaque fois qu’un membre du groupe Utilisateurs authentifiés exécute une méthode dans cet espace de noms. L’ID d’événement pour les événements WMI est 4662.

Votre compte doit se trouver dans le groupe Administrateurs et s’exécuter sous un privilège élevé pour modifier les paramètres d’audit. Le compte Administrateur intégré peut également modifier la sécurité ou l’audit d’un espace de noms. Pour plus d’informations sur l’exécution en mode avec élévation de privilèges, consultez contrôle de compte d’utilisateur et WMI.

L’audit WMI génère des événements de réussite ou d’échec pour les tentatives d’accès aux espaces de noms WMI. Le service n’audite pas la réussite ou l’échec des opérations du fournisseur. Par exemple, lorsqu’un script se connecte à WMI et à un espace de noms, il peut échouer, car le compte sous lequel le script est en cours d’exécution n’a pas accès à cet espace de noms ou peut tenter une opération, telle que la modification de la liste dacl, qui n’est pas accordée.

Si vous exécutez sous un compte dans le groupe Administrateurs, vous pouvez afficher les événements d’audit d’espace de noms dans l'Observateur d’événements interface utilisateur.

Types d’événements d’espace de noms

WMI trace les types d’événements suivants dans le journal des événements de sécurité :

  • Réussite de l’audit

    L’opération doit effectuer deux étapes pour une réussite de l’audit. Tout d’abord, WMI accorde l’accès à l’application cliente ou au script en fonction du SID client et de l’espace de noms DACL. Deuxièmement, l’opération demandée correspond aux droits d’accès dans la liste DE contrôle d’accès de l’espace de noms pour cet utilisateur ou groupe.

  • Échec d’audit

    WMI refuse l’accès à l’espace de noms, mais l’opération demandée correspond aux droits d’accès dans la liste SACL de l’espace de noms pour cet utilisateur ou groupe.

Paramètres d’accès aux espaces de noms

Vous pouvez afficher les droits d’accès à l’espace de noms pour différents comptes sur le contrôle WMI. Ces constantes sont décrites dans constantes des droits d’accès à l’espace de noms. Vous pouvez modifier l’accès à un espace de noms WMI à l’aide du contrôle WMI ou par programmation. Pour plus d’informations, consultez Modification de la sécurité d’accès sur les objets sécurisables.

WMI audite les modifications de toutes les autorisations d’accès répertoriées dans la liste suivante, à l’exception de l’autorisation d’activation à distance. Les modifications sont enregistrées en tant que réussite ou échec d’audit correspondant à l’autorisation Edit Security.

méthodes d’exécution

Permet à l’utilisateur d’exécuter des méthodes définies sur des classes WMI. Correspond à la constante d’autorisation d’accès WBEM_METHOD_EXECUTE.

écriture complète

Autorise l’accès complet en lecture, en écriture et en suppression aux classes WMI et aux instances de classe, statiques et dynamiques. Correspond à la constante d’autorisation d’accès WBEM_FULL_WRITE_REP.

écriture partielle

Autorise l’accès en écriture aux instances de classe WMI statiques. Correspond à la constante d’autorisation d’accès WBEM_PARTIAL_WRITE_REP.

écriture du fournisseur

Autorise l’accès en écriture aux instances de classe WMI dynamiques. Correspond à la constante d’autorisation d’accès WBEM_WRITE_PROVIDER.

activer le compte

Autorise l’accès en lecture aux instances de classe WMI. Correspond à la constante d’autorisation d’accès WBEM_ENABLE.

Remote Enable

Autorise l’accès à l’espace de noms par les ordinateurs distants. Correspond à la constante d’autorisation d’accès WBEM_REMOTE_ACCESS.

sécurité en lecture

Autorise l’accès en lecture seule aux paramètres DACL. Correspond à la constante d’autorisation d’accès READ_CONTROL.

Modifier la sécurité

Autorise l’accès en écriture aux paramètres DACL. Correspond à la constante d’autorisation d’accès WRITE_DAC.

Autorisations par défaut sur les espaces de noms WMI

Les groupes de sécurité par défaut sont les suivants :

  • Utilisateurs authentifiés
  • LOCAL SERVICE
  • SERVICE RÉSEAU
  • Administrateurs (sur l’ordinateur local)

Les autorisations d’accès par défaut pour les utilisateurs authentifiés, LE SERVICE LOCAL et LE SERVICE RÉSEAU sont les suivantes :

  • Execute, méthodes
  • Écriture complète
  • Activer le compte

Les comptes du groupe Administrateurs disposent de tous les droits disponibles, y compris la modification des descripteurs de sécurité. Toutefois, en raison du contrôle de compte d’utilisateur (UAC), le contrôle WMI ou le script doit s’exécuter à une sécurité élevée. Pour plus d’informations, consultez contrôle de compte d’utilisateur etWMI .

Parfois, un script ou une application doit activer un privilège d’administrateur, tel que SeSecurityPrivilege, pour effectuer une opération. Par exemple, un script peut exécuter la méthode GetSecurityDescriptor de la classe Win32_Printer sans SeSecurityPrivilege et obtenir les informations de sécurité dans la liste de contrôle d’accès discrétionnaire (DACL) de l’objet imprimante descripteur de sécurité. Toutefois, les informations SACL ne sont pas retournées au script, sauf si le privilège SeSecurityPrivilege est disponible et activé pour le compte. Si le compte n’a pas le privilège disponible, il ne peut pas être activé. Pour plus d’informations, consultez exécution d’opérations privilégiées.

À propos de WMI