Přístup k oborům názvů služby WMI

Rozhraní WMI používá standardní popisovač zabezpečení systému Windows k řízení přístupu k oborům názvů rozhraní WMI. Když se připojíte k rozhraní WMI, buď prostřednictvím monikeru "winmgmts", nebo voláním IWbemLocator::ConnectServer nebo SWbemLocator.ConnectServer, připojíte se ke konkrétnímu oboru názvů.

V tomto tématu jsou popsány následující informace:

• zabezpečení oboru názvů WMI
• auditování oboru názvů rozhraní WMI
• typy událostí oboru názvů
• nastavení přístupu k oboru názvů
• výchozích oprávnění k oborů názvů služby WMI
• související témata

Zabezpečení oboru názvů služby WMI

Rozhraní WMI udržuje zabezpečení oboru názvů porovnáním přístupového tokenu uživatele připojujícího se k oboru názvů pomocí popisovače zabezpečení oboru názvů. Další informace o zabezpečení systému Windows naleznete v tématu Přístup k zabezpečitelným objektům WMI.

Mějte na paměti, že počínaje systémem Windows Vista řízení uživatelských účtů (UAC) ovlivňuje přístup k datům rozhraní WMI a to, co lze nakonfigurovat pomocí řízení WMI. Další informace najdete v tématu Výchozí oprávnění pro obory názvů rozhraní WMI a Řízení uživatelských účtů a rozhraní WMI.

Přístup k oborům názvů rozhraní WMI je ovlivněn také v případech, kdy je připojení ze vzdáleného počítače. Další informace naleznete v tématu Připojení k rozhraní WMI na vzdáleném počítači, Zabezpečení vzdáleného připojení rozhraní WMIa připojení prostřednictvím brány Windows Firewall.

Poskytovatelé musí spoléhat na nastavení zosobnění připojení, aby zjistili, jestli má klientský skript nebo aplikace přijímat data. Další informace o skriptech a klientských aplikacích naleznete v tématu Nastavení zabezpečení procesu klientské aplikace. Další informace o zosobnění poskytovatele najdete v tématu Vývoj zprostředkovatele rozhraní WMI.

Auditování oboru názvů služby WMI

Rozhraní WMI používá k auditování aktivity oboru názvů seznamy řízení přístupu systému (SACL). Pokud chcete povolit auditování oborů názvů rozhraní WMI, pomocí karty Zabezpečení na ovládacím rozhraní WMI změňte nastavení auditování oboru názvů.

Auditování není povoleno během instalace operačního systému. Pokud chcete povolit auditování, klikněte na kartu Auditování ve standardním okně Zabezpečení. Potom můžete přidat položku auditování.

Zásady skupiny pro místní počítač musí být nastavené tak, aby povolily auditování. Auditování můžete povolit spuštěním modulu snap-in Konzoly MMC Gpedit.msc a nastavením auditovat objektový přístup v části Konfigurace počítače >Nastavení počítače>Nastavení zabezpečení>Místní zásady>Zásady auditování.

Položka auditování upravuje SACL oboru názvů. Když přidáte položku auditování, jedná se o uživatele, skupinu, počítač nebo předdefinovaný objekt zabezpečení. Po přidání položky můžete nastavit operace přístupu, které vedou k událostem protokolu zabezpečení. Například u skupiny Ověření uživatelé můžete kliknout na Spustit metody. Toto nastavení vede k událostem protokolu zabezpečení vždy, když člen skupiny Authenticated Users spustí metodu v tomto oboru názvů. ID události rozhraní WMI je 4662.

Aby bylo možné změnit nastavení auditování, musí být váš účet ve skupině Administrators a spuštěný pod zvýšenými oprávněními. Integrovaný účet správce může také změnit zabezpečení nebo auditování oboru názvů. Další informace o spuštění v režimu se zvýšenými oprávněními naleznete v tématu Řízení uživatelských účtů a rozhraní WMI.

Auditování rozhraní WMI generuje události úspěchu nebo selhání pro pokusy o přístup k oborům názvů rozhraní WMI. Služba ne audituje úspěšné nebo neúspěšné operace poskytovatele. Pokud se například skript připojí k rozhraní WMI a oboru názvů, může selhat, protože účet, pod kterým je skript spuštěný, nemá přístup k němuž obor názvů nebo může pokusit o operaci, například úpravu seznamu DACL, která není udělena.

Pokud používáte účet ve skupině Administrators, můžete zobrazit události auditování oboru názvů v uživatelském rozhraní Prohlížeč událostí.

Typy událostí oboru názvů

WMI sleduje následující typy událostí v protokolu událostí zabezpečení:

• Úspěch auditu

  Operace musí úspěšně dokončit dva kroky pro úspěšné provedení auditu. Nejprve rozhraní WMI udělí přístup k klientské aplikaci nebo skriptu na základě identifikátoru SID klienta a seznamu DACL oboru názvů. Za druhé požadovaná operace odpovídá přístupovým právům v oboru názvů SACL pro daného uživatele nebo skupinu.

• Selhání auditu

  WMI odepře přístup k oboru názvů, ale požadovaná operace odpovídá přístupovými právy v oboru názvů SACL pro daného uživatele nebo skupinu.

Nastavení přístupu k oboru názvů

Přístupová práva oboru názvů pro různé účty můžete zobrazit v ovládacím prvku WMI. Tyto konstanty jsou popsány v Obor názvů přístupových práv konstant. Přístup k oboru názvů rozhraní WMI můžete změnit pomocí ovládacího prvku WMI nebo programově. Další informace naleznete v tématu Změna zabezpečení přístupu u zabezpečitelných objektů.

WMI audituje změny ve všech přístupových oprávněních uvedených v následujícím seznamu s výjimkou oprávnění Vzdálené povolení. Změny se protokolují jako úspěch auditu nebo selhání odpovídající oprávnění upravit zabezpečení.

metody Execute

Umožňuje uživateli spouštět metody definované ve třídách rozhraní WMI. Odpovídá konstantě oprávnění přístupu WBEM_METHOD_EXECUTE.

úplný zápis

Umožňuje úplný přístup ke čtení, zápisu a odstranění ke třídám rozhraní WMI a instancím tříd, a to jak statickým, tak dynamickým. Odpovídá konstantě oprávnění přístupu WBEM_FULL_WRITE_REP.

částečného zápisu

Povoluje přístup k zápisu ke statickým instancím tříd služby WMI. Odpovídá konstantě oprávnění přístupu WBEM_PARTIAL_WRITE_REP.

Zápis zprostředkovatele

Povoluje přístup k zápisu k dynamickým instancím tříd služby WMI. Odpovídá konstantě oprávnění přístupu WBEM_WRITE_PROVIDER.

Povolit účet

Povoluje přístup pro čtení k instancím tříd služby WMI. Odpovídá konstantě oprávnění přístupu WBEM_ENABLE.

Povolení vzdáleného

Umožňuje přístup k oboru názvů vzdálenými počítači. Odpovídá konstantě oprávnění přístupu WBEM_REMOTE_ACCESS.

zabezpečení čtení

Povoluje přístup jen pro čtení k nastavení seznamu DACL. Odpovídá konstantě oprávnění přístupu READ_CONTROL.

Upravit zabezpečení

Povoluje přístup k zápisu do nastavení seznamu DACL. Odpovídá konstantě oprávnění přístupu WRITE_DAC.

Výchozí oprávnění pro obory názvů služby WMI

Výchozí skupiny zabezpečení jsou:

• Ověření uživatelé
• MÍSTNÍ SLUŽBA
• SÍŤOVÁ SLUŽBA
• Správci (v místním počítači)

Výchozí přístupová oprávnění pro ověřené uživatele, MÍSTNÍ SLUŽBU a SÍŤOVOU SLUŽBU jsou:

• Metody Execute
• Úplný zápis
• Povolit účet

Účty ve skupině Administrators mají k dispozici všechna práva, včetně úprav popisovačů zabezpečení. Kvůli řízení uživatelských účtů (UAC) ale musí být ovládací prvek WMI nebo skript spuštěny se zvýšeným zabezpečením. Další informace najdete v tématu Řízení uživatelských účtů a rozhraní WMI.

Skript nebo aplikace někdy musí povolit oprávnění správce, například SeSecurityPrivilege, k provedení operace. Skript může například spustit metodu GetSecurityDescriptor třídy Win32_Printer bez SeSecurityPrivilege a získat informace o zabezpečení v volitelné m seznamu řízení přístupu (DACL) objektu tiskárny popisovač zabezpečení. Informace SACL se však nevrátí do skriptu, pokud není pro účet k dispozici oprávnění SeSecurityPrivilege. Pokud účet nemá k dispozici oprávnění, není možné ho povolit. Další informace naleznete v tématu Provádění privilegovaných operací.

Související témata

o službě WMI