Menjaga Keamanan WMI
Keamanan WMI berfokus pada perlindungan akses ke data namespace layanan. WMI pertama-tama memberikan akses ke grup pengguna seperti yang ditentukan oleh pengaturan Kontrol WMI dan DCOM lalu penyedia menentukan apakah pengguna harus memiliki akses ke data namespace layanan.
Bagian berikut dibahas dalam topik ini:
- Keamanan Namespace
- Pengaturan Keamanan Model Objek Komponen Terdistribusi (DCOM).
- WMI, Host Layanan Bersama, dan Autentikasi
- Keamanan untuk Skrip dan Aplikasi Klien WMI
- Topik terkait
Keamanan Namespace
Keamanan namespace bergantung pada pengidentifikasi keamanan pengguna (SID) Windows standar dan deskriptor keamanan untuk namespace layanan WMI.
Anda dapat mengatur keamanan namespace layanan dengan melakukan tindakan berikut:
- Memberikan atau menolak hak akses ke namespace layanan untuk pengguna yang menggunakan Kontrol WMI atau saat namespace layanan dibuat. Untuk informasi selengkapnya, lihat Mengatur Keamanan Namespace layanan dengan Kontrol WMI dan Mengatur Keamanan Namespace Saat Namespace Dibuat.
- Gunakan tab Keamanan Kontrol WMI untuk membuat audit keamanan. Audit keamanan menghasilkan entri log peristiwa saat pengguna gagal atau berhasil dalam tindakan yang diaudit, seperti menulis data ke objek WMI atau membaca deskriptor keamanan. Untuk informasi selengkapnya, lihat Akses ke Namespace WMI.
- Gunakan file MOF yang menentukan namespace untuk mengharuskan pengguna membuat koneksi terenkripsi. Untuk informasi selengkapnya, lihat Memerlukan Koneksi Terenkripsi ke Namespace.
Pengaturan Keamanan Model Objek Komponen Terdistribusi (DCOM).
Keamanan DCOM memerlukan pengaturan autentikasi dan pengaturan peniruan. Autentikasi berarti bahwa satu proses mengidentifikasi dirinya ke proses lain. Peniruan identitas mengidentifikasi otoritas yang diberikan klien kepada server untuk memanggil proses yang berbeda. Selama pemeriksaan keamanan, server meniru klien. Untuk informasi selengkapnya, lihat Mengamankan Klien dan Penyedia C++ atau Mengamankan Klien Scripting.
Skrip dan aplikasi C/C++/C# menetapkan tingkat autentikasi dan peniruan saat terhubung ke namespace WMI atau menggunakan pengaturan default. Koneksi ke komputer jarak jauh memerlukan pengaturan yang berbeda dari ke namespace WMI pada komputer lokal. Untuk informasi selengkapnya, lihat Menyambungkan ke WMI di Komputer Jarak Jauh.
WMI, Host Layanan Bersama, dan Autentikasi
WMI berada di host layanan bersama dengan beberapa layanan lain yang berjalan di bawah akun NetworkService. Dalam proses Svchost, WMI berbagi autentikasi yang sama dengan proses lain di host.
DLL penyedia dimuat ke dalam proses host layanan terpisah dari WMI. Properti HostingModel di kelas sistem __Win32Provider yang mewakili penyedia menentukan akun sistem tempat penyedia berjalan. Mengatur properti ini menyebabkan penyedia dimuat ke dalam proses host bersama yang memiliki tingkat hak istimewa tertentu. Untuk informasi selengkapnya, lihat Hosting dan Keamanan Penyedia.
Keamanan untuk Skrip dan Aplikasi Klien WMI
Skrip dan aplikasi harus menetapkan keamanan yang benar untuk terhubung ke namespace WMI di komputer lokal dan jarak jauh. Untuk informasi selengkapnya, lihat Mengamankan Klien dan Penyedia C++, Mengamankan Klien Scripting, dan Mengamankan Peristiwa WMI.
Tabel berikut mencantumkan topik tentang menjaga keamanan WMI.
| Topik | Deskripsi |
|---|---|
| Mengamankan Namespace WMI | Anda dapat membatasi akses data namespace layanan ke pengguna yang berwenang melalui Kontrol WMI. |
| Mengamankan Penyedia Anda | Informasi tentang menulis penyedia yang aman. |
| Mengamankan Klien dan Penyedia C++ | Penyedia C++ dan aplikasi klien harus melakukan banyak operasi yang sama untuk menjaga keamanan WMI. |
| Mengamankan Klien Scripting | Skrip dan aplikasi Visual Basic (klien otomatisasi) harus mengatur keamanan yang sesuai untuk mendapatkan akses ke data dan peristiwa WMI. |
| Mengamankan Peristiwa WMI | Acara WMI disampaikan oleh penyedia acara kepada konsumen sementara atau permanen. Peristiwa dikirimkan dalam bentuk instans kelas peristiwa. |
| Mengubah Keamanan Akses pada Objek yang Dapat Diamankan | Dengan izin yang sesuai, Anda dapat memanggil metode pada objek WMI yang mewakili objek aman yang membaca atau mengubah deskriptor keamanan pada objek yang dapat diamankan. |
Topik terkait