Accès aux objets sécurisables WMI

WMI s’appuie sur des descripteurs de sécurité Windows standard pour contrôler et protéger l’accès aux objets sécurisables tels que les espaces de noms WMI, les imprimantes, les services et les applications DCOM. Pour plus d’informations, consultez Accès aux espaces de noms WMI.

Les rubriques suivantes sont abordées dans cette section :

• descripteurs de sécurité et SID
• de contrôle d’accès
• modification des de sécurité d’accès
• rubriques connexes

Descripteurs de sécurité et SID

WMI gère la sécurité d’accès en comparant le jeton d’accès de l’utilisateur qui tente d’accéder à un objet sécurisable avec le descripteur de sécurité de l’objet.

Lorsqu’un utilisateur ou un groupe est créé sur un système, le compte reçoit un identificateur de sécurité (SID) Le SID garantit qu’un compte créé avec le même nom qu’un compte précédemment supprimé n’hérite pas des paramètres de sécurité précédents. Un jeton d’accès est créé en combinant le SID, la liste des groupes dont l’utilisateur est membre et la liste des privilèges activés ou désactivés. Ces jetons sont attribués à tous les processus et threads appartenant à l’utilisateur.

Contrôle d’accès

Lorsque l’utilisateur souhaite utiliser un objet sécurisé, le jeton d’accès est comparé au liste de contrôle d’accès discrétionnaire (DACL) dans le descripteur de sécurité sur l’objet. La liste dacl contient des autorisations appelées entrées de contrôle d’accès (ACE). listes de contrôle d’accès système (SACL) faire la même chose que les dll DACL, mais peut générer des événements d’audit de sécurité. À compter de Windows Vista, WMI peut effectuer des entrées d’audit dans le journal de sécurité Windows. Pour plus d’informations sur l’audit dans WMI, consultez Accès aux espaces de noms WMI.

DaCL et SACL se composent d’une liste d’ACL qui décrivent quels utilisateurs ont des droits d’accès spécifiques, notamment l’écriture dans le référentiel WMI, l’accès à distance et l’exécution et les autorisations d’ouverture de session. WMI stocke ces ACL dans le référentiel WMI.

Les ACL contiennent trois types de niveaux d’accès ou de droits d’octroi/refus : autoriser, refuser pour DACL et audit système (pour les LISTES DE contrôle d’accès). Refuser les ACL précédent autoriser les ACL dans la liste de contrôle d’accès ou la liste de contrôle d’accès partagé. Lors de la vérification des droits d’accès utilisateur, WMI s’exécute consécutivement via la liste de contrôle d’accès jusqu’à ce qu’il trouve un ACE d’autorisation qui s’applique au jeton d’accès demandeur. Les acEs restantes ne sont pas vérifiées après ce point. Si aucun ace d’autorisation approprié n’est trouvé, l’accès est refusé. Pour plus d’informations, consultez 'ordre des ACL dans un DACL et Création d’unDACL.

Modification de la sécurité d’accès

Avec les autorisations appropriées, vous pouvez modifier la sécurité sur un objet sécurisable avec un script ou une application. Vous pouvez également modifier les paramètres de sécurité sur les espaces de noms WMI à l’aide dude contrôle WMIou en ajoutant un langage de définition de descripteur de sécurité (SDDL) chaîne dans le fichierManaged Object Format (MOF) qui définit des classes pour l’espace de noms. Pour plus d’informations, consultez Accès aux espaces de noms WMI, sécurisation des espaces de noms WMIet modification de la sécurité d’accès sur les objets sécurisables.

Rubriques connexes

objets de descripteur de sécurité WMI

constantes de sécurité WMI

contrôle de compte d’utilisateur et WMI

objets de descripteur de sécurité WMI

l’accès aux espaces de noms WMI