Delen via

Toegang tot WMI-naamruimten

  • Artikel

WMI maakt gebruik van een standaardbeveiligingsdescriptor van Windows om de toegang tot WMI-naamruimten te beheren. Wanneer u verbinding maakt met WMI, hetzij via de WMI winmgmts moniker of een aanroep naar IWbemLocator::ConnectServer of SWbemLocator.ConnectServer, maakt u verbinding met een specifieke naamruimte.

De volgende informatie wordt in dit onderwerp besproken:

WMI-naamruimtebeveiliging

WMI onderhoudt de beveiliging van de naamruimte door het toegangstoken te vergelijken van de gebruiker die verbinding maakt met de naamruimte met de beveiligingsdescriptor van de naamruimte. Zie Access to WMI Securable Objectsvoor meer informatie over Windows-beveiliging.

Houd er rekening mee dat vanaf Windows Vista UAC (User Account Control) invloed heeft op de toegang tot WMI-gegevens en wat kan worden geconfigureerd met de WMI Control. Zie Standaardmachtigingen voor WMI-naamruimten en Gebruikersaccountbeheer en WMI-voor meer informatie.

Toegang tot WMI-naamruimten wordt ook beïnvloed wanneer de verbinding vanaf een externe computer is. Zie Verbinding maken met WMI op een externe computer, het beveiligen van een externe WMI-verbindingen verbinding maken via Windows Firewallvoor meer informatie.

Providers moeten afhankelijk zijn van de instelling voor imitatie voor de verbinding om te bepalen of het clientscript of de toepassing gegevens moet ontvangen. Zie Client Application Process Security instellenvoor meer informatie over script- en clienttoepassingen. Zie Een WMI-provider ontwikkelenvoor meer informatie over provider imitatie.

WMI-naamruimte controleren

WMI maakt gebruik van de naamruimte SYSTEEMtoegangsbeheerlijsten (SACL) om de activiteit van de naamruimte te controleren. Als u controle van WMI-naamruimten wilt inschakelen, gebruikt u het tabblad Security op het WMI-besturingselement om de controle-instellingen voor de naamruimte te wijzigen.

Controle is niet ingeschakeld tijdens de installatie van het besturingssysteem. Als u controle wilt inschakelen, klikt u op het tabblad Controle in het venster Standaard Security. Vervolgens kunt u een controlevermelding toevoegen.

Groepsbeleid voor de lokale computer moet worden ingesteld om controle toe te staan. U kunt controle inschakelen door de MMC-module Gpedit.msc uit te voeren en Toegang tot controleobjecten in te stellen onder Computerconfiguratie>Windows-instellingen>Beveiligingsinstellingen>Lokaal beleid>auditbeleid.

Met een controlevermelding wordt de SACL van de naamruimte bewerkt. Wanneer u een controlevermelding toevoegt, is dit een gebruiker, groep, computer of ingebouwde beveiligingsprincipaal. Nadat u de vermelding hebt toegevoegd, kunt u de toegangsbewerkingen instellen die resulteren in gebeurtenissen in het beveiligingslogboek. Voor de groep Geverifieerde gebruikers kunt u bijvoorbeeld klikken op Methoden uitvoeren. Deze instelling resulteert in beveiligingslogboekgebeurtenissen wanneer een lid van de groep Geverifieerde gebruikers een methode in die naamruimte uitvoert. De gebeurtenis-id voor WMI-gebeurtenissen is 4662.

Uw account moet zich in de groep Administrators bevinden en onder verhoogde bevoegdheid worden uitgevoerd om de controle-instellingen te wijzigen. Het ingebouwde Administrator-account kan ook de beveiliging of controle voor een naamruimte wijzigen. Zie Gebruikersaccountbeheer en WMI-voor meer informatie over het uitvoeren in verhoogde modus.

WMI-controle genereert geslaagde of mislukte gebeurtenissen voor pogingen om toegang te krijgen tot WMI-naamruimten. De service controleert het slagen of mislukken van providerbewerkingen niet. Als een script bijvoorbeeld verbinding maakt met WMI en een naamruimte, kan dit mislukken omdat het account waaronder het script wordt uitgevoerd geen toegang heeft tot die naamruimte of een bewerking kan uitvoeren, zoals het bewerken van de DACL, die niet is verleend.

Als u onder een account in de groep Administrators werkt, kunt u de controle-gebeurtenissen van de naamruimte bekijken in de Logboeken gebruikersinterface.

Typen naamruimte-gebeurtenissen

WMI traceert de volgende typen gebeurtenissen in het beveiligingslogboek:

  • Controle geslaagd

    De bewerking moet twee stappen uitvoeren voor een geslaagde controle. Eerst verleent WMI toegang tot de clienttoepassing of het script op basis van de client-SID en de naamruimte-DACL. Ten tweede komt de aangevraagde bewerking overeen met de toegangsrechten in de naamruimte SACL voor die gebruiker of groep.

  • Controlefout

    WMI weigert de toegang tot de naamruimte, maar de aangevraagde bewerking komt overeen met de toegangsrechten in de naamruimte SACL voor die gebruiker of groep.

Toegangsinstellingen voor naamruimte

U kunt de toegangsrechten voor naamruimten voor verschillende accounts op het WMI-besturingselement weergeven. Deze constanten worden beschreven in naamruimtetoegangsconstanten. U kunt de toegang tot een WMI-naamruimte wijzigen met behulp van het WMI-besturingselement of programmatisch. Zie Toegangsbeveiliging wijzigen op beveiligbare objectenvoor meer informatie.

WMI controleert wijzigingen in alle toegangsmachtigingen die worden vermeld in de volgende lijst, met uitzondering van de machtiging Extern inschakelen. De wijzigingen worden geregistreerd als een geslaagde of mislukte controle die overeenkomt met de machtiging Beveiliging bewerken.

methoden uitvoeren

Hiermee kan de gebruiker methoden uitvoeren die zijn gedefinieerd in WMI-klassen. Komt overeen met de WBEM_METHOD_EXECUTE toegangsmachtigingsconstante.

volledige schrijfbewerking

Hiermee staat u volledige lees-, schrijf- en verwijdertoegang toe tot WMI-klassen en klasse-exemplaren, zowel statisch als dynamisch. Komt overeen met de WBEM_FULL_WRITE_REP toegangsmachtigingsconstante.

gedeeltelijke schrijfbewerking

Hiermee staat u schrijftoegang toe tot statische WMI-klasse-exemplaren. Komt overeen met de WBEM_PARTIAL_WRITE_REP toegangsmachtigingsconstante.

provider schrijven

Hiermee staat u schrijftoegang toe tot dynamische WMI-klasse-exemplaren. Komt overeen met de WBEM_WRITE_PROVIDER toegangsmachtigingsconstante.

Account inschakelen

Hiermee staat u leestoegang tot WMI-klasse-exemplaren toe. Komt overeen met de WBEM_ENABLE toegangsmachtigingsconstante.

Extern inschakelen

Hiermee wordt toegang tot de naamruimte door externe computers toegestaan. Komt overeen met de WBEM_REMOTE_ACCESS toegangsmachtigingsconstante.

leesbeveiliging

Hiermee staat u alleen-lezentoegang tot DACL-instellingen toe. Komt overeen met de READ_CONTROL toegangsmachtigingsconstante.

beveiliging bewerken

Hiermee staat u schrijftoegang tot DACL-instellingen toe. Komt overeen met de WRITE_DAC toegangsmachtigingsconstante.

Standaardmachtigingen voor WMI-naamruimten

De standaardbeveiligingsgroepen zijn:

  • Geverifieerde gebruikers
  • LOKALE SERVICE
  • NETWERKSERVICE
  • Beheerders (op de lokale computer)

De standaardtoegangsmachtigingen voor geverifieerde gebruikers, LOKALE SERVICE en NETWERKSERVICE zijn:

  • Methoden uitvoeren
  • Volledige schrijfbewerking
  • Account inschakelen

Accounts in de groep Administrators hebben alle rechten voor deze accounts, waaronder het bewerken van beveiligingsdescriptors. Vanwege UAC (User Account Control) moet het WMI-besturingselement of het script echter worden uitgevoerd met verhoogde beveiliging. Zie Gebruikersaccountbeheer en WMI-voor meer informatie.

Soms moet een script of toepassing een beheerdersbevoegdheden, zoals SeSecurityPrivilege, inschakelen om een bewerking uit te voeren. Een script kan bijvoorbeeld de methode GetSecurityDescriptor van de klasse Win32_Printer uitvoeren zonder SeSecurityPrivilege- en de beveiligingsgegevens op te halen in de discretionaire toegangsbeheerlijst (DACL) van het printerobject beveiligingsdescriptor. De SACL-gegevens worden echter niet geretourneerd naar het script, tenzij de SeSecurityPrivilege--bevoegdheid beschikbaar is en is ingeschakeld voor het account. Als het account niet over de bevoegdheden beschikt, kan het niet worden ingeschakeld. Zie Bevoegde bewerkingen uitvoerenvoor meer informatie.

Over WMI-