WMI-beveiliging onderhouden
WMI-beveiliging is gericht op het beveiligen van de toegang tot naamruimtegegevens. WMI verleent eerst toegang tot groepen gebruikers zoals opgegeven door de WMI Control- en DCOM-instellingen en vervolgens bepalen providers of de gebruiker toegang moet hebben tot naamruimtegegevens.
In dit onderwerp worden de volgende secties besproken:
- Naamruimtebeveiliging
- DCOM-beveiligingsinstellingen (Distributed Component Object Model).
- WMI, Shared Service Hosts en authenticatie
- Beveiliging voor WMI-clientscripts en -toepassingen
- Verwante onderwerpen
Naamruimtebeveiliging
Naamruimtebeveiliging is afhankelijk van de standaardbeveiliging van Windows-gebruikers beveiligings-id's (SID) en de beveiligingsdescriptor voor de WMI-naamruimte.
U kunt naamruimtebeveiliging instellen door de volgende acties uit te voeren:
- Verleen of weiger toegangsrechten tot naamruimten voor gebruikers die het WMI-besturingselement gebruiken, of wanneer de naamruimte wordt aangemaakt. Zie Naamruimtebeveiliging instellen met het WMI-besturingselement en Naamruimtebeveiliging instellen wanneer de naamruimte wordt gemaaktvoor meer informatie.
- Gebruik het tabblad Beveiliging van WMI-beheer om beveiligingscontrole tot stand te brengen. Beveiligingscontrole resulteert in gebeurtenislogboekvermeldingen wanneer een gebruiker mislukt of slaagt in een gecontroleerde actie, zoals het schrijven van gegevens naar een WMI-object of het lezen van de beveiligingsdescriptor. Zie Toegang tot WMI-naamruimtenvoor meer informatie.
- Gebruik het MOF-bestand dat de naamruimte definieert om een gebruiker te verplichten een versleutelde verbinding te maken. Zie Een versleutelde verbinding met een naamruimtevereisen voor meer informatie.
DCOM-beveiligingsinstellingen (Distributed Component Object Model).
DCOM-beveiliging vereist een verificatie-instelling en een imitatie-instelling. Verificatie betekent dat het ene proces zichzelf aan een ander identificeert. Impersonatie identificeert de autoriteit die een client aan een server verleent om verschillende processen aan te roepen. Tijdens een beveiligingscontrole imiteert de server de client. Zie C++-clients en -providers beveiligen of scriptclients beveiligenvoor meer informatie.
Scripts en C/C++/C#-toepassingen stellen verificatie- en imitatieniveaus vast wanneer ze verbinding maken met een WMI-naamruimte of ze gebruiken de standaardinstellingen. Voor verbindingen met externe computers zijn andere instellingen vereist dan voor de WMI-naamruimten op de lokale computer. Zie Verbinding maken met WMI op een externe computervoor meer informatie.
WMI, Gedeelde Service Hosts en Verificatie
WMI bevindt zich in een gedeelde servicehost met verschillende andere services die worden uitgevoerd onder het NetworkService-account. In een Svchost-proces deelt WMI dezelfde verificatie als de andere processen in de host.
Provider-DLL's worden geladen in afzonderlijke servicehostprocessen van WMI. De eigenschap HostingModel in de systeemklasse __Win32Provider die een provider vertegenwoordigt, geeft het systeemaccount op waaronder de provider wordt uitgevoerd. Als u deze eigenschap instelt, wordt de provider geladen in een gedeeld hostproces met een opgegeven bevoegdheidsniveau. Zie Provider Hosting en Beveiligingvoor meer informatie.
Beveiliging voor WMI-clientscripts en -toepassingen
Scripts en toepassingen moeten de juiste beveiliging tot stand brengen om verbinding te maken met WMI-naamruimten op lokale en externe computers. Zie C++-clients en -providers beveiligen, scriptclients beveiligenen WMI-gebeurtenissen beveiligenvoor meer informatie.
De volgende tabel bevat de onderwerpen over het onderhouden van WMI-beveiliging.
| Onderwerp | Beschrijving |
|---|---|
| WMI-naamruimten beveiligen | U kunt de toegang tot naamruimtegegevens beperken tot geautoriseerde gebruikers via het WMI-besturingselement. |
| uw provider beveiligen | Informatie over het ontwikkelen van beveiligde providers. |
| C++-clients en -providers beveiligen | Zowel C++-providers als clienttoepassingen moeten veel van dezelfde bewerkingen uitvoeren om WMI-beveiliging te behouden. |
| scriptclients beveiligen | Scripts en Visual Basic-toepassingen (automatiseringsclients) moeten de juiste beveiliging instellen om toegang te krijgen tot WMI-gegevens en -gebeurtenissen. |
| WMI-gebeurtenissen beveiligen | WMI-gebeurtenissen worden door de gebeurtenisprovider geleverd aan een tijdelijke of permanente consument. Gebeurtenissen worden geleverd in de vorm van een exemplaar van een gebeurtenisklasse. |
| toegangsbeveiliging voor beveiligbare objecten wijzigen | Met de juiste machtigingen kunt u methoden aanroepen voor de WMI-objecten die beveiligbare objecten vertegenwoordigen die beveiligingsdescriptors voor beveiligbare objecten lezen of wijzigen. |
Verwante onderwerpen
-
WMI- gebruiken