控制提供者安全性的登錄機碼和值
為了增強 Windows Management Instrumentation (WMI) 共用提供者主機進程 (wmiprvse.exe) 的安全性,已對使用 服務安全性識別符 (SID)保護提供者主機進程之 Windows 平臺所做的變更。 這些變更為 WMI 共用主機引進了下列執行模式:安全且相容。
本主題涵蓋下列各節:
- 安全相容模式
- 登錄機碼和值
- 設定提供者以安全或相容模式執行
從 Windows 7 開始,已新增下列兩種 WMI 共用主機進程的執行模式:
-
安全模式
-
WMI 提供者主機進程資源會受到 服務 SID保護。 只有 服務 SID 具有這些資源的許可權。
-
相容模式
-
WMI 共用提供者主機進程未受到 服務 SID保護。 提供者主機進程允許根據裝載模型存取 NetworkService 或 LocalService 帳戶。 如需載入模型的詳細資訊,請參閱 提供者裝載和安全性。
Windows Vista 和 Windows Server 2008: 若要存取登錄機碼和值,以控制提供者主機進程的安全相容模式,您必須在 KB 959454中安裝安全性更新。 如需詳細資訊,請參閱 Microsoft 安全性布告欄 MS09-012。
安全且相容的模式設定是透過登錄機碼來指定。 WMI 的登錄機碼位於 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\。
下列登錄機碼和 DWORD 值已新增,以控制 WMI 提供者的行為。
-
SecuredHostProviders
-
此索引鍵會控制個別提供者的行為。 此金鑰中列出的所有提供者一律會以安全模式執行。 隨附於 Windows 的所有收件匣提供者都會列在此密鑰之下,且預設會以安全模式執行。
此金鑰的優先順序高於 CompatibleHostProviders 金鑰中列出的提供者。
-
CompatibleHostProviders
-
此索引鍵會控制個別提供者的行為。 此金鑰中列出的所有提供者一律會以相容模式執行。 根據預設,此索引鍵是空的。
如果提供者同時列在 SecureHostProviders 金鑰和 CompatibleHostProviders 密鑰中,提供者會以安全模式執行。
注意
CompatibleHostProviders 密鑰會提供第三方應用程式的應用程式相容性,如果 DefaultSecuredHost 密鑰設定為 1,且已知提供者無法在安全模式中運作。
-
DefaultSecuredHost
-
全域登錄 DWORD 值,可決定所有提供者是否未列在 SecureHostProviders 或 CompatibleHostProviders 機碼中,都會以安全或相容模式執行。 這個 DWORD 值可讓系統管理員決定第三方提供者必須執行的模式。 根據預設,此值會設定為零,且所有第三方提供者都會以相容模式執行。 系統管理員可以將 DefaultSecuredHost 值設定為 1,讓電腦更安全。
注意
DefaultSecuredHost 值不會影響其他登錄機碼。 SecureHostProviders 中所列的提供者 金鑰會維持在安全模式中,且列在 CompatibleHostProviders 金鑰中的提供者會維持在相容模式中。
下列設定是可能的:
-
0
-
指定提供者以相容模式執行。
-
1
-
指定提供者以安全模式執行。
-
下列清單列出提供者的可能登錄設定和相關聯的執行模式。
| 列在 SecuredHostProviders 底下 | 列在 CompatibleHostProviders 底下 | DefaultSecuredHost 設定 | 模式 |
|---|---|---|---|
| 不 | 不 | 0 | 相容 |
| 不 | 是的 | 0 | 相容 |
| 是的 | 不 | 0 | 安全 |
| 是的 | 是的 | 0 | 安全 |
| 不 | 不 | 1 | 安全 |
| 不 | 是的 | 1 | 相容 |
| 是的 | 不 | 1 | 安全 |
| 是的 | 是的 | 1 | 安全 |
您可以使用組策略管理主控台 (GPMC) 來修改登錄機碼。 如需詳細資訊,請參閱 組策略管理主控台。
下列程序說明如何使用組策略喜好設定來管理安全且相容的模式設定。 如需組策略喜好設定的詳細資訊,請參閱 組策略喜好設定概觀。
使用組策略 將提供者新增至安全或相容模式
開啟 GPMC。
建立組策略物件 (GPO)。
編輯 GPO。
流覽至 [喜好設定/Windows 設定/登錄]。
以滑鼠右鍵按下並選取 [新增...登入。 此動作會顯示使用者介面,您可以在其中輸入登錄資訊。
選取 [建立 ] 命令。
選取下列登入機碼路徑:
安全模式:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecureHostProviders
兼容模式:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders
在 [名稱] 欄位中,輸入您要新增至此密鑰的提供者名稱。 提供者名稱的格式必須如下:<命名空間>:<__RELPATH>。 例如,root\cimv2:__win32provider.name=“MyProvider”。
在 [數據] 字段中,輸入 0。
按兩下 [確定]。
使用組策略 從安全或相容模式移除提供者
開啟 GPMC。
建立 GPO。
編輯 GPO。
流覽至 [喜好設定/Windows 設定/登錄]。
以滑鼠右鍵按下並選取 [新增...登入。 此動作會顯示使用者介面,您可以在其中輸入登錄資訊。
選取 [移除 ] 命令。
選取下列登入機碼路徑:
安全模式:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecureHostProviders
兼容模式:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders
在 [名稱] 字段中,輸入您要從此密鑰移除的提供者名稱。
在 [數據] 字段中,輸入 0。
按兩下 [確定]。
下列程式提供有關如何修改未列在 SecuredHostProviders 或 CompatibleHostProviders 密鑰中未列出的提供者行為的詳細數據。
使用組策略 變更 DefaultSecuredHost 金鑰的預設值
- 開啟 GPMC。
- 建立 GPO。
- 編輯 GPO。
- 流覽至 [喜好設定/Windows 設定/登錄]。
- 以滑鼠右鍵按下並選取 [新增...登入。 此動作會顯示使用者介面,您可以在其中輸入登錄資訊。
- 選取 Update 命令。
- 選取下列登入機碼路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM。
- 在 [名稱] 欄位中,輸入 DefaultSecuredHost。
- 在 [數據] 欄位中,針對相容模式輸入 0,或輸入 1 以取得安全模式。
- 按兩下 [確定]。