Megosztás a következőn keresztül:

Hozzáférés a WMI-névterekhez

  • Cikk

A WMI szabványos Windows biztonsági leírót használ a WMI-névterekhez való hozzáférés szabályozásához. Amikor a WMI-hez a WMI "winmgmts" monikerén keresztül vagy az IWbemLocator::ConnectServervagy SWbemLocator.ConnectServerhívásával csatlakozik egy adott névtérhez.

Ebben a témakörben a következő információkat tárgyaljuk:

WMI-névtér biztonsága

A WMI úgy tartja fenn a névtér biztonságát, hogy összehasonlítja a névtérhez csatlakozó felhasználó hozzáférési jogkivonatát a névtér biztonsági leírójával. További információ a Windows biztonságáról: WMI biztonságos objektumokhoz való hozzáférés.

Vegye figyelembe, hogy a Windows Vista rendszertől kezdve felhasználói fiókok felügyeletének (UAC) befolyásolja a WMI-adatokhoz való hozzáférést, és hogy mi konfigurálható a WMI-vezérlő. További információ: WMI-névterek alapértelmezett engedélyei és felhasználói fiókok vezérlése és WMI-.

A WMI-névterekhez való hozzáférést is befolyásolja, ha a kapcsolat távoli számítógépről származik. További információ: Csatlakozás a WMI-hez távoli számítógépen, Távoli WMI-kapcsolat biztonságossá tétele, és Csatlakozás Windows tűzfalon keresztül.

A szolgáltatóknak a kapcsolat megszemélyesítési beállítására kell támaszkodniuk annak megállapításához, hogy az ügyfélszkriptnek vagy -alkalmazásnak adatokat kell-e kapnia. További információ a szkriptekről és az ügyfélalkalmazásokról: Az ügyfélalkalmazás folyamatának biztonságibeállítása. További információ szolgáltatói megszemélyesítésről: WMI-szolgáltató fejlesztése.

WMI-névtér naplózása

A WMI a névtér-rendszerhozzáférés-vezérlési listákat (SACL) használja a névtértevékenység naplózásához. A WMI-névterek naplózásának engedélyezéséhez használja a WMI-vezérlőBiztonsági lapját a névtér naplózási beállításainak módosításához.

A naplózás nem engedélyezett az operációs rendszer telepítése során. A naplózás engedélyezéséhez kattintson a Naplózás fülre a standard Biztonsági ablakban. Ezután hozzáadhat egy naplózási bejegyzést.

A helyi számítógép csoportházirendjének be kell állítania a naplózás engedélyezését. A naplózás engedélyezéséhez futtassa a Gpedit.msc MMC beépülő modult, és állítsa be naplózási objektumhozzáférési a Számítógép konfigurációja>Windows-beállítások>Biztonsági beállítások>Helyi házirendek>Naplózási házirendalatt.

A naplózási bejegyzés módosítja a névtér SACL-ét. Ha naplóbejegyzést ad hozzá, az felhasználó, csoport, számítógép vagy beépített biztonsági tag. A bejegyzés hozzáadása után beállíthatja azokat a hozzáférési műveleteket, amelyek biztonsági naplóeseményeket eredményeznek. A Hitelesített felhasználók csoport esetében például a Metódusok végrehajtása gombra kattinthat. Ez a beállítás biztonsági naplóeseményeket eredményez, amikor a Hitelesített felhasználók csoport egy tagja végrehajt egy metódust az adott névtérben. A WMI-események eseményazonosítója 4662.

A naplózási beállítások módosításához a fióknak a Rendszergazdák csoportban kell lennie, és emelt szintű jogosultsággal kell futnia. A beépített rendszergazdai fiók megváltoztathatja a névtér biztonságát vagy naplózását is. További információ az emelt szintű módban való futtatásról: Felhasználói fiókok felügyelete és a WMI.

A WMI-naplózás sikeres vagy sikertelen eseményeket hoz létre a WMI-névterek elérésére tett kísérletekhez. A szolgáltatás nem naplózhatja a szolgáltatói műveletek sikerességét vagy sikertelenségét. Ha például egy szkript a WMI-hez és egy névtérhez csatlakozik, az meghiúsulhat, mert a szkriptet futtató fiók nem rendelkezik hozzáféréssel a névtérhez, vagy megkísérelhet egy olyan műveletet, például a DACL szerkesztését, amely nincs megadva.

Ha egy fiók alatt fut a Rendszergazdák csoportban, megtekintheti a névtér naplózási eseményeit az Eseménynapló felhasználói felületén.

Névtéresemények típusai

A WMI a következő típusú eseményeket követi nyomon a biztonsági eseménynaplóban:

  • Naplózási siker

    A műveletnek két lépést kell végrehajtania a sikeres naplózáshoz. Először is a WMI hozzáférést biztosít az ügyfélalkalmazáshoz vagy -szkripthez az ügyfél SID-jén és a DACL névtéren alapulva. Másodszor, a kért művelet megegyezik az adott felhasználó vagy csoport sacl névterében található hozzáférési jogosultságokkal.

  • Naplózási hiba

    A WMI tagadja a névtérhez való hozzáférést, de a kért művelet megegyezik az adott felhasználó vagy csoport SACL névtérbeli hozzáférési jogosultságával.

Névtér hozzáférési beállításai

A WMI-vezérlőben megtekintheti a különböző fiókok névtér-hozzáférési jogosultságát. Ezeket az állandókat Névtér hozzáférési jogosultsági állandóiismerteti. A WMI-névtérhez való hozzáférést a WMI-vezérlővel vagy programozott módon módosíthatja. További információ: Biztonságos objektumok hozzáférési biztonságának módosítása.

A WMI a Távoli engedélyezés engedély kivételével az alábbi listában felsorolt összes hozzáférési engedély módosításait naplózi. A rendszer naplózza a módosításokat a biztonsági szerkesztési engedélynek megfelelő sikeres vagy sikertelen naplózásként.

végrehajtási metódusok

Engedélyezi a felhasználó számára a WMI-osztályokban definiált metódusok végrehajtását. A WBEM_METHOD_EXECUTE hozzáférési engedély állandójának felel meg.

teljes írás

Lehetővé teszi a WMI-osztályokhoz és osztálypéldányokhoz való teljes olvasási, írási és törlési hozzáférést, mind statikus, mind dinamikus. A WBEM_FULL_WRITE_REP hozzáférési engedély állandójának felel meg.

részleges írás

Engedélyezi az írási hozzáférést a statikus WMI-osztálypéldányokhoz. A WBEM_PARTIAL_WRITE_REP hozzáférési engedély állandójának felel meg.

szolgáltató írása

Engedélyezi az írási hozzáférést a dinamikus WMI-osztálypéldányokhoz. A WBEM_WRITE_PROVIDER hozzáférési engedély állandójának felel meg.

Fiók engedélyezése

Olvasási hozzáférést engedélyez a WMI-osztálypéldányokhoz. A WBEM_ENABLE hozzáférési engedély állandójának felel meg.

távoli engedélyezés

Engedélyezi a névtér elérését távoli számítógépeken. A WBEM_REMOTE_ACCESS hozzáférési engedély állandójának felel meg.

Olvasási biztonság

Írásvédett hozzáférést biztosít a DACL-beállításokhoz. A READ_CONTROL hozzáférési engedély állandójának felel meg.

Biztonság szerkesztése

Engedélyezi az írási hozzáférést a DACL-beállításokhoz. A WRITE_DAC hozzáférési engedély állandójának felel meg.

A WMI-névterek alapértelmezett engedélyei

Az alapértelmezett biztonsági csoportok a következők:

  • Hitelesített felhasználók
  • HELYI SZOLGÁLTATÁS
  • HÁLÓZATI SZOLGÁLTATÁS
  • Rendszergazdák (a helyi számítógépen)

A Hitelesített felhasználók, a HELYI SZOLGÁLTATÁS és a HÁLÓZATI SZOLGÁLTATÁS alapértelmezett hozzáférési engedélyei a következők:

  • Metódusok végrehajtása
  • Teljes írás
  • Fiók engedélyezése

A Rendszergazdák csoport fiókjainak minden jogosultsága elérhető számukra, beleértve a biztonsági leírók szerkesztését is. A felhasználói fiókok felügyelete (UAC) miatt azonban a WMI-vezérlőnek vagy a szkriptnek emelt szintű biztonsági szinten kell futnia. További információ: Felhasználói fiókok felügyelete és WMI.

Néha egy szkriptnek vagy alkalmazásnak engedélyeznie kell egy rendszergazdai jogosultságot, például SeSecurityPrivilege, hogy végrehajtson egy műveletet. Egy szkript például végrehajthatja a Win32_Printer osztály GetSecurityDescriptor metódusát SeSecurityPrivilege nélkül, és lekérheti a biztonsági információkat a nyomtatóobjektum biztonsági leíródiszkrecionális hozzáférés-vezérlési listájában (DACL). A SACL-adatokat azonban csak akkor adja vissza a szkript, ha a SeSecurityPrivilege jogosultság elérhető és engedélyezve van a fiókhoz. Ha a fiók nem rendelkezik elérhető jogosultsággal, akkor nem engedélyezhető. További információ: Privileged Operationsvégrehajtása.

A WMI-