WMI Güvenliği Sağlanabilir Nesnelere Erişim

WMI, WMI ad alanları, yazıcılar, hizmetler ve DCOM uygulamaları gibi güvenli hale getirilebilir nesnelere erişimi denetlemek ve korumak içinstandart Windowsgüvenlik tanımlayıcılarına dayanır. Daha fazla bilgi için bkz. WMI Ad Alanlarına Erişim.

Bu bölümde aşağıdaki konular ele alınıyor:

• Güvenlik Tanımlayıcıları ve SID'leri
• erişim denetimi
• Erişim Güvenliği Değiştirme
• İlgili konular

Güvenlik Tanımlayıcıları ve SID'ler

WMI, güvenli hale getirilebilir bir nesneye erişmeye çalışan kullanıcının erişim belirteci nesnenin güvenlik tanımlayıcısı ile karşılaştırarak erişim güvenliğini korur.

Sistemde bir kullanıcı veya grup oluşturulduğunda, hesaba bir güvenlik tanımlayıcısı (SID) verilir SID, daha önce silinmiş bir hesapla aynı adla oluşturulan bir hesabın önceki güvenlik ayarlarını devralmamasını sağlar. Erişim belirteci, SID, kullanıcının üyesi olduğu grupların listesi ve etkinleştirilen veya devre dışı bırakılan ayrıcalıkların listesi birleştirilerek oluşturulur. Bu belirteçler, kullanıcının sahip olduğu tüm işlemlere ve iş parçacıklarına atanır.

Erişim Denetimi

Kullanıcı güvenli bir nesne kullanmak istediğinde, erişim belirteci nesnedeki güvenlik tanımlayıcısında isteğe bağlı erişim denetimi listesi (DACL) karşılaştırılır. DACL, erişim denetimi girdileri (ACE)adlı izinleri içerir. Sistem erişim denetim listeleri (SACL) DACL'lerle aynı işlemi ancak güvenlik denetimi olayları oluşturabilir. Windows Vista'dan başlayarak WMI, Windows Güvenlik Günlüğü'nde denetim girdileri yapabilir. WMI'de denetim hakkında daha fazla bilgi için bkz. WMI Ad Alanlarına Erişim.

Hem DACL hem de SACL, WMI deposuna yazma, uzaktan erişim ve yürütme ve oturum açma izinleri dahil olmak üzere belirli erişim haklarına sahip olan kullanıcıları açıklayan bir ACL listesinden oluşur. WMI bu ACL'leri WMI deposunda depolar.

ACL'ler üç tür erişim düzeyi veya verme/reddetme haklarına sahiptir: DACL için izin verme, reddetme ve sistem denetimi (SACL'ler için). ÖNCEKİ ACL'leri reddet, DACL veya SACL'de ACL'lere izin verir. Kullanıcı erişim hakları denetlenirken WMI, istekte bulunan erişim belirteci için geçerli olan bir izin ACE'sini bulana kadar erişim denetimi listesinde ardışık olarak çalışır. Kalan ACL'ler bu noktadan sonra denetlenmiyor. Uygun bir izin ACE'i bulunamazsa erişim reddedilir. Daha fazla bilgi için bkz. DACL ACL Sırası ve DACL oluşturma.

Erişim Güvenliğini Değiştirme

Uygun izinlerle, güvenliği sağlanabilir bir nesnedeki güvenliği bir betik veya uygulamayla değiştirebilirsiniz. Ayrıca, WMI Denetim kullanarak veya ad alanının sınıflarını tanımlayan Yönetilen Nesne Biçimi (MOF) dosyasında Güvenlik Tanımlayıcısı Tanım Dili (SDDL) dizesi ekleyerek WMI ad alanları üzerindeki güvenlik ayarlarını değiştirebilirsiniz. Daha fazla bilgi için bkz. WMI Ad Alanlarına Erişim, WMI Ad Alanlarının Güvenliğini Sağlamave Güvenliği Sağlanabilir Nesnelerde Erişim Güvenliğini Değiştirme.

İlgili konular

WMI Güvenlik Tanımlayıcı nesneleri

WMI Güvenlik Sabitleri

Kullanıcı Hesabı Denetimi ve WMI

WMI Güvenlik Tanımlayıcı nesneleri

WMI Ad Alanlarına erişim