Klíče registru a hodnoty pro řízení zabezpečení zprostředkovatele
Pro zvýšení zabezpečení hostitelského procesu sdíleného zprostředkovatele služby WMI (Windows Management Instrumentation) (wmiprvse.exe), byly provedeny změny platforem Windows, které zabezpečují hostitelský proces poskytovatele pomocí identifikátoru zabezpečení služby (SID). Tyto změny představují pro sdíleného hostitele služby WMI následující režimy spuštění: zabezpečené a kompatibilní.
V tomto tématu jsou popsané následující části:
- zabezpečených a kompatibilních režimů
- klíče registru a hodnoty
- konfigurace zprostředkovatele pro spuštění v zabezpečeném nebo kompatibilním režimu
Zabezpečené a kompatibilní režimy
Od systému Windows 7 byly přidány následující dva režimy spuštění pro proces sdíleného hostitele rozhraní WMI:
-
zabezpečený režim
-
Prostředky hostitelského procesu poskytovatele rozhraní WMI jsou zabezpečeny pomocí identifikátoru SID služby . K těmto prostředkům má oprávnění pouze identifikátor SID služby .
-
kompatibilní režim
-
Proces hostitele sdíleného zprostředkovatele služby WMI není zabezpečen pomocí identifikátoru SID služby . Proces hostitele zprostředkovatele umožňuje přístup k účtům NetworkService nebo LocalService v závislosti na modelu hostování. Další informace o hostování modelů naleznete v tématu Poskytovatel hostingu a zabezpečení.
Systému Windows Vista a Windows Server 2008: Chcete-li získat přístup k klíčům registru a hodnotám pro řízení zabezpečených a kompatibilních režimů pro proces hostitele zprostředkovatele, je nutné nainstalovat aktualizaci zabezpečení v KB 959454. Další informace naleznete v bulletin zabezpečení ms09-012.
Klíče a hodnoty registru
Nastavení zabezpečeného a kompatibilního režimu se zadává prostřednictvím klíčů registru. Klíče registru pro rozhraní WMI jsou umístěny v registru v HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\.
Byly přidány následující klíče registru a DWORD hodnotu popsanou v následujícím seznamu pro řízení chování zprostředkovatelů rozhraní WMI.
-
SecuredHostProviders
-
Tento klíč řídí chování jednotlivých poskytovatelů. Všichni poskytovatelé, kteří jsou uvedení v tomto klíči, se vždy spouští v zabezpečeném režimu. Všichni poskytovatelé doručené pošty, kteří jsou dodáváni s Windows, jsou uvedeni v tomto klíči a ve výchozím nastavení se spouštějí v zabezpečeném režimu.
Tento klíč má přednost před poskytovateli uvedenými v klíči CompatibleHostProviders.
-
CompatibleHostProviders
-
Tento klíč řídí chování jednotlivých poskytovatelů. Všichni zprostředkovatelé uvedení v tomto klíči se vždy spouštějí v kompatibilním režimu. Tento klíč je ve výchozím nastavení prázdný.
Pokud je poskytovatel uveden v SecuredHostProviders klíč i v CompatibleHostProviders klíč, poskytovatel se spustí v zabezpečeném režimu.
Poznámka
Klíč CompatibleHostProviders poskytuje kompatibilitu aplikací pro aplikace třetích stran, pokud je klíč DefaultSecured Host nastaven na hodnotu 1 a zprostředkovatel není v zabezpečeném režimu funkční.
-
DefaultSecuredHost
-
Globální registr DWORD hodnotu, která určuje, zda jsou všichni poskytovatelé, kteří nejsou uvedeni v SecuredHostProviders nebo CompatibleHostProviders klíče, jsou spouštěny v zabezpečeném nebo kompatibilním režimu. Tato hodnota DWORD umožňuje správci rozhodnout, v jakém režimu musí poskytovatel třetí strany spustit. Ve výchozím nastavení je tato hodnota nastavená na nulu a všichni poskytovatelé třetích stran se spouštějí v kompatibilním režimu. Správci můžou ve výchozím nastavení lépe zabezpečit počítač nastavením hodnoty DefaultSecuredHost na hodnotu 1.
Poznámka
Hodnota DefaultSecuredHost nemá vliv na ostatní klíče registru. Zprostředkovatelé uvedené v SecuredHostProviders klíč zůstanou v zabezpečeném režimu a ty, které jsou uvedeny v CompatibleHostProviders klíč zůstanou v kompatibilním režimu.
Je možné následující nastavení:
-
0
-
Určuje, že zprostředkovatelé běží v kompatibilním režimu.
-
1
-
Určuje, že zprostředkovatelé běží v zabezpečeném režimu.
-
Následující seznam obsahuje seznam možných nastavení registru a přidružených spuštěných režimů pro poskytovatele.
| Uvedený v části SecuredHostProviders | Uvedený v části CompatibleHostProviders | Výchozí nastaveníSecuredHost | Režim |
|---|---|---|---|
| Ne | Ne | 0 | Kompatibilní |
| Ne | Ano | 0 | Kompatibilní |
| Ano | Ne | 0 | Zajistit |
| Ano | Ano | 0 | Zajistit |
| Ne | Ne | 1 | Zajistit |
| Ne | Ano | 1 | Kompatibilní |
| Ano | Ne | 1 | Zajistit |
| Ano | Ano | 1 | Zajistit |
Konfigurace zprostředkovatele pro spuštění v zabezpečeném nebo kompatibilním režimu
Klíče registru je možné upravit pomocí konzoly pro správu zásad skupiny (GPMC). Další informace naleznete v tématu Konzola pro správu zásad skupiny.
Následující postupy ukazují, jak spravovat nastavení zabezpečeného a kompatibilního režimu pomocí předvoleb zásad skupiny. Další informace o předvolbách zásad skupiny najdete v tématu Přehled předvoleb zásad skupiny.
Přidání zprostředkovatele do zabezpečeného nebo kompatibilního režimu pomocí zásad skupiny
Otevřete konzolu pro správu zásad skupiny.
Vytvoření objektu zásad skupiny (GPO).
Upravte objekt zásad zásadU.
Přejděte do předvoleb, nastavení systému Windows nebo registru.
Klikněte pravým tlačítkem a vyberte Nový... Registr. Tato akce představuje uživatelské rozhraní, kde můžete zadat informace o registru.
Vyberte příkaz Vytvořit.
Vyberte následující cestu klíče registru:
zabezpečený režim: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders
kompatibilní režim: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders
Do pole název zadejte název zprostředkovatele, kterého chcete přidat k tomuto klíči. Název zprostředkovatele musí být v následujícím formátu: <obor názvů>:<__RELPATH>. Například root\cimv2:__win32provider.name="MyProvider".
Do pole dat zadejte hodnotu 0.
Klikněte na OK.
Odebrání poskytovatele ze zabezpečeného nebo kompatibilního režimu pomocí zásad skupiny
Otevřete konzolu pro správu zásad skupiny.
Vytvoření objektu zásad služby.
Upravte objekt zásad zásadU.
Přejděte do předvoleb, nastavení systému Windows nebo registru.
Klikněte pravým tlačítkem a vyberte Nový... Registr. Tato akce představuje uživatelské rozhraní, kde můžete zadat informace o registru.
Vyberte příkaz Odebrat.
Vyberte následující cestu klíče registru:
zabezpečený režim: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders
kompatibilní režim: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders
Do pole název zadejte název zprostředkovatele, kterého chcete z tohoto klíče odebrat.
Do pole dat zadejte hodnotu 0.
Klikněte na OK.
Následující postup obsahuje podrobnosti o tom, jak upravit chování zprostředkovatelů, které nejsou uvedeny v SecuredHostProviders nebo CompatibleHostProviders klíče.
Změna výchozí hodnoty klíče DefaultSecuredHost pomocí zásad skupiny
- Otevřete konzolu pro správu zásad skupiny.
- Vytvoření objektu zásad služby.
- Upravte objekt zásad zásadU.
- Přejděte do předvoleb, nastavení systému Windows nebo registru.
- Klikněte pravým tlačítkem a vyberte Nový... Registr. Tato akce představuje uživatelské rozhraní, kde můžete zadat informace o registru.
- Vyberte příkaz Update.
- Vyberte následující cestu klíče registru: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM.
- Do pole název zadejte DefaultSecuredHost.
- Do pole dat zadejte hodnotu 0 pro kompatibilní režim nebo 1 pro zabezpečený režim.
- Klikněte na OK.