Zugriff auf sicherungsfähige WMI-Objekte
WMI basiert auf standardmäßigen Windows Sicherheitsdeskriptoren, um den Zugriff auf sicherungsfähige Objekte wie WMI-Namespaces, Drucker, Dienste und DCOM-Anwendungen zu steuern und zu schützen. Weitere Informationen finden Sie unter Zugriff auf WMI-Namespaces.
Die folgenden Themen werden in diesem Abschnitt behandelt:
Sicherheitsdeskriptoren und SIDs
WMI verwaltet die Zugriffssicherheit, indem das Zugriffstoken des Benutzers verglichen wird, der versucht, auf ein sicherungsfähiges Objekt mit dem Sicherheitsdeskriptor des Objekts zuzugreifen.
Wenn ein Benutzer oder eine Gruppe auf einem System erstellt wird, erhält das Konto eine Sicherheits-ID (SID) Die SID stellt sicher, dass ein Konto, das mit demselben Namen wie ein zuvor gelöschtes Konto erstellt wurde, nicht die vorherigen Sicherheitseinstellungen erbt. Ein Zugriffstoken wird erstellt, indem die SID kombiniert wird, die Liste der Gruppen, deren Mitglied der Benutzer ist, und die Liste der aktivierten oder deaktivierten Berechtigungen. Diese Token werden allen Prozessen und Threads zugewiesen, die dem Benutzer gehören.
Zugriffskontrolle
Wenn der Benutzer ein gesichertes Objekt verwenden möchte, wird das Zugriffstoken mit der diskretionären Zugriffssteuerungsliste (DACL) im Sicherheitsdeskriptor des Objekts verglichen. Die DACL enthält Berechtigungen namens Zugriffssteuerungseinträge (ACCESS Control Entries, ACE). Systemzugriffssteuerungslisten (SACL) die gleiche Funktion wie DACLs ausführen, können jedoch Sicherheitsüberwachungsereignisse generieren. Ab Windows Vista kann WMI Überwachungseinträge im Windows-Sicherheitsprotokoll vornehmen. Weitere Informationen zur Überwachung in WMI finden Sie unter Access to WMI Namespaces.
Sowohl die DACL als auch die SACL bestehen aus einer Liste von ACEs, die beschreiben, welche Benutzer über bestimmte Zugriffsrechte verfügen, einschließlich Schreiben in das WMI-Repository, remotezugriff und -ausführung sowie Anmeldeberechtigungen. WMI speichert diese ACLs im WMI-Repository.
ACEs enthalten drei Arten von Zugriffsebenen oder Gewähren/Verweigern von Rechten: Zulassen, Verweigern von DACL und Systemüberwachung (für SACLs). Deny ACEs precede allow ACEs in the DACL or SACL. Beim Überprüfen der Benutzerzugriffsrechte wird WMI fortlaufend über die Zugriffssteuerungsliste ausgeführt, bis eine zugriffsgeschützte ACE gefunden wird, die für das anfordernde Zugriffstoken gilt. Die verbleibenden ACEs werden nach diesem Punkt nicht überprüft. Wenn keine geeignete Zulassungs-ACE gefunden wird, wird der Zugriff verweigert. Weitere Informationen finden Sie unter Reihenfolge von ACEs in einer DACL- und Erstellen einer DACL-.
Ändern der Zugriffssicherheit
Mit entsprechenden Berechtigungen können Sie die Sicherheit für ein sicherungsfähiges Objekt mit einem Skript oder einer Anwendung ändern. Sie können die Sicherheitseinstellungen für WMI-Namespaces auch mithilfe der WMI-Steuerelement- oder durch Hinzufügen einer SDDL(Security Descriptor Definition Language) Zeichenfolge im Managed Object Format (MOF) Datei ändern, die Klassen für den Namespace definiert. Weitere Informationen finden Sie unter Zugriff auf WMI-Namespaces, Sichern von WMI-Namespacesund Ändern der Zugriffssicherheit für sicherungsfähige Objekte.
Verwandte Themen