Dela via

Åtkomst till WMI-namnområden

  • Artikel

WMI använder en standardsäkerhetsbeskrivning för Windows för att styra åtkomsten till WMI-namnområden. När du ansluter till WMI, antingen via monikern WMI "winmgmts" eller ett anrop till IWbemLocator::ConnectServer eller SWbemLocator.ConnectServer, ansluter du till ett specifikt namnområde.

Följande information beskrivs i det här avsnittet:

Säkerhet för WMI-namnområde

WMI upprätthåller namnområdessäkerhet genom att jämföra åtkomsttoken för användaren som ansluter till namnområdet med säkerhetsbeskrivning för namnområdet. Mer information om Windows-säkerhet finns i Åtkomst till WMI-skyddsbara objekt.

Tänk på att UAC (User Account Control) påverkar åtkomsten till WMI-data och vad som kan konfigureras med WMI-kontroll. Mer information finns i Standardbehörigheter för WMI-namnområden och User Account Control och WMI.

Åtkomst till WMI-namnområden påverkas också när anslutningen kommer från en fjärrdator. Mer information finns i Ansluta till WMI på en fjärrdator, Skydda en fjärr-WMI-anslutningoch Ansluta via Windows-brandväggen.

Providers måste förlita sig på personifieringsinställningen för anslutningen för att avgöra om klientskriptet eller programmet ska ta emot data. Mer information om skript- och klientprogram finns i Ange klientprogramprocesssäkerhet. Mer information om provider personifiering finns i Utveckla en WMI-provider.

Granskning av WMI-namnområde

WMI använder namnområdet SACL (System Access Control Lists) för att granska namnområdesaktivitet. Om du vill aktivera granskning av WMI-namnområden använder du fliken SecurityWMI-kontroll för att ändra granskningsinställningarna för namnområdet.

Granskning är inte aktiverat under installationen av operativsystemet. Om du vill aktivera granskning klickar du på fliken Granskning i standardfönstret Security. Sedan kan du lägga till en granskningspost.

Grupprincip för den lokala datorn måste anges för att tillåta granskning. Du kan aktivera granskning genom att köra snapin-modulen Gpedit.msc MMC och ange Granskningsobjektåtkomst under Datorkonfiguration>Windows-inställningar>Säkerhetsinställningar>lokala principer>granskningsprincip.

En granskningspost redigerar SACL för namnområdet. När du lägger till en granskningspost är det antingen en användare, grupp, dator eller inbyggt säkerhetsobjekt. När du har lagt till posten kan du ange de åtkomståtgärder som resulterar i händelser i säkerhetsloggen. För gruppen Autentiserade användare kan du till exempel klicka på Kör metoder. Den här inställningen resulterar i säkerhetslogghändelser när en medlem i gruppen Autentiserade användare kör en metod i namnområdet. Händelse-ID för WMI-händelser är 4662.

Ditt konto måste finnas i gruppen Administratörer och köras under utökade privilegier för att kunna ändra granskningsinställningarna. Det inbyggda administratörskontot kan också ändra säkerheten eller granskningen för ett namnområde. Mer information om hur du kör i förhöjd läge finns i User Account Control och WMI.

WMI-granskning genererar lyckade eller misslyckade händelser för försök att komma åt WMI-namnområden. Tjänsten granskar inte lyckade eller misslyckade provideråtgärder. När ett skript till exempel ansluter till WMI och ett namnområde kan det misslyckas eftersom kontot som skriptet körs under inte har åtkomst till namnområdet eller kan försöka utföra en åtgärd, till exempel redigering av DACL, som inte beviljas.

Om du kör under ett konto i gruppen Administratörer kan du visa namnområdesgranskningshändelserna i Loggboken användargränssnittet.

Typer av namnområdeshändelser

WMI spårar följande typer av händelser i säkerhetshändelseloggen:

  • Granskning lyckades

    Åtgärden måste slutföra två steg för att en granskning ska lyckas. För det första ger WMI åtkomst till klientprogrammet eller skriptet baserat på klient-SID och namnområdets DACL. För det andra matchar den begärda åtgärden åtkomsträttigheterna i namnområdets SACL för den användaren eller gruppen.

  • Granskningsfel

    WMI nekar åtkomst till namnområdet, men den begärda åtgärden matchar åtkomsträttigheterna i namnområdets SACL för den användaren eller gruppen.

Inställningar för namnområdesåtkomst

Du kan visa åtkomsträttigheterna för namnområdet för olika konton i WMI-kontrollen. Dessa konstanter beskrivs i Åtkomstkonstanter för namnområde. Du kan ändra åtkomsten till ett WMI-namnområde med hjälp av WMI-kontrollen eller programmatiskt. Mer information finns i Ändra åtkomstsäkerhet för skyddsbara objekt.

WMI granskar ändringar i alla åtkomstbehörigheter som anges i följande lista förutom behörigheten Fjärraktivering. Ändringarna loggas som granskningsframgångar eller misslyckade som motsvarar behörigheten Redigera säkerhet.

Kör metoder

Tillåter att användaren kör metoder som definierats på WMI-klasser. Motsvarar WBEM_METHOD_EXECUTE åtkomstbehörighetskonstant.

fullständig skrivning

Tillåter fullständig läs-, skriv- och borttagningsåtkomst till WMI-klasser och klassinstanser, både statiska och dynamiska. Motsvarar WBEM_FULL_WRITE_REP åtkomstbehörighetskonstant.

partiell skrivning

Tillåter skrivåtkomst till statiska WMI-klassinstanser. Motsvarar WBEM_PARTIAL_WRITE_REP åtkomstbehörighetskonstant.

providerskrivning

Tillåter skrivåtkomst till dynamiska WMI-klassinstanser. Motsvarar WBEM_WRITE_PROVIDER åtkomstbehörighetskonstant.

Aktivera konto

Tillåter läsbehörighet till WMI-klassinstanser. Motsvarar WBEM_ENABLE åtkomstbehörighetskonstant.

Fjärraktivering

Tillåter åtkomst till namnområdet av fjärrdatorer. Motsvarar WBEM_REMOTE_ACCESS åtkomstbehörighetskonstant.

lässäkerhet

Tillåter skrivskyddad åtkomst till DACL-inställningar. Motsvarar READ_CONTROL åtkomstbehörighetskonstant.

Redigera säkerhet

Tillåter skrivåtkomst till DACL-inställningar. Motsvarar WRITE_DAC åtkomstbehörighetskonstant.

Standardbehörigheter för WMI-namnområden

Standardsäkerhetsgrupperna är:

  • Autentiserade användare
  • LOKAL TJÄNST
  • NÄTVERKSTJÄNST
  • Administratörer (på den lokala datorn)

Standardåtkomstbehörigheterna för autentiserade användare, LOKAL TJÄNST och NÄTVERKSTJÄNST är:

  • Kör metoder
  • Fullständig skrivning
  • Aktivera konto

Konton i gruppen Administratörer har alla tillgängliga rättigheter, inklusive redigering av säkerhetsbeskrivningar. Men på grund av UAC (User Account Control) måste WMI-kontrollen eller skriptet köras med förhöjd säkerhet. Mer information finns i User Account Control och WMI.

Ibland måste ett skript eller program aktivera administratörsbehörighet, till exempel SeSecurityPrivilege, för att utföra en åtgärd. Ett skript kan till exempel köra metoden GetSecurityDescriptor för klassen Win32_Printer utan SeSecurityPrivilege och hämta säkerhetsinformationen i dacl- för skrivarobjektet säkerhetsbeskrivning. SACL-informationen returneras dock inte till skriptet om inte SeSecurityPrivilege- behörighet är tillgänglig och aktiverad för kontot. Om kontot inte har behörigheten tillgänglig kan det inte aktiveras. Mer information finns i köra privilegierade åtgärder.

Om WMI