Zugriff auf sicherungsfähige WMI-Objekte
WMI vertraut auf Windows-Standardsicherheitsbeschreibungen, um den Zugriff auf sicherungsfähige Objekte wie WMI-Namespaces, Drucker, Dienste und DCOM-Anwendungen zu steuern und zu schützen. Weitere Informationen finden Sie unter Zugriff auf WMI-Namespaces.
In diesem Abschnitt werden folgende Themen erörtert:
- Sicherheitsbeschreibungen und SIDs
- Zugriffssteuerung
- Ändern der Zugriffssicherheit
- Zugehörige Themen
Sicherheitsbeschreibungen und SIDs
WMI gewährleistet die Zugriffssicherheit, indem das Zugriffstoken des Benutzers, der versucht, auf ein sicherungsfähiges Objekt zuzugreifen, mit der Sicherheitsbeschreibung des Objekts verglichen wird.
Wenn ein Benutzer oder eine Gruppe auf einem System erstellt wird, erhält das Konto eine Sicherheits-ID (SID). Die SID stellt sicher, dass ein Konto, das mit demselben Namen wie ein zuvor gelöschtes Konto erstellt wurde, nicht die vorherigen Sicherheitseinstellungen erbt. Ein Zugriffstoken wird erstellt, indem die SID, die Liste der Gruppen, deren Mitglied der Benutzer ist, und die Liste der aktivierten oder deaktivierten Berechtigungen kombiniert werden. Diese Token werden allen Prozessen und Threads im Besitz des Benutzers zugewiesen.
Zugriffssteuerung
Wenn der Benutzer ein gesichertes Objekt verwenden möchte, wird das Zugriffstoken mit der DACL (Discretionary Access Control List) in der Sicherheitsbeschreibung des Objekts verglichen. Die DACL enthält Berechtigungen, die als Zugriffssteuerungseinträge (Access Control Entries, ACE) bezeichnet werden. Systemzugriffssteuerungslisten (SACL) führen dasselbe wie DACLs aus, können jedoch Sicherheitsüberwachungsereignisse generieren. Ab Windows Vista kann WMI Überwachungseinträge im Windows-Sicherheitsprotokoll vornehmen. Weitere Informationen zur Überwachung in WMI finden Sie unter Zugriff auf WMI-Namespaces.
Sowohl die DACL als auch die SACL bestehen aus einer Liste von ACEs, die beschreiben, welche Benutzer über bestimmte Zugriffsrechte verfügen, einschließlich Schreiben in das WMI-Repository, Remotezugriff und Ausführung sowie Anmeldeberechtigungen. WMI speichert diese ACLs im WMI-Repository.
ACEs verfügen über drei Arten von Zugriffsebenen oder Gewähren/Verweigern von Rechten: Zulassen, Verweigern für DACL und Systemüberwachung (für SACLs). Verweigern von ACEs vor Zulassen von ACEs in der DACL oder SACL. Beim Überprüfen der Benutzerzugriffsrechte wird WMI nacheinander durch die Zugriffssteuerungsliste ausgeführt, bis eine Zulassungs-ACE gefunden wird, die für das anfordernde Zugriffstoken gilt. Die übrigen ACEs werden nach diesem Punkt nicht mehr überprüft. Wenn keine geeignete Zulassungs-ACE gefunden wird, wird der Zugriff verweigert. Weitere Informationen finden Sie unter Reihenfolge der ACEs in einer DACL und Erstellen einer DACL.
Ändern der Zugriffssicherheit
Mit den entsprechenden Berechtigungen können Sie die Sicherheit für ein sicherungsfähiges Objekt mit einem Skript oder einer Anwendung ändern. Sie können die Sicherheitseinstellungen für WMI-Namespaces auch mithilfe der WMI-Steuerung oder durch Hinzufügen einer SDDL-Zeichenfolge (Security Descriptor Definition Language) in der MOF-Datei (Managed Object Format) ändern, die Klassen für den Namespace definiert. Weitere Informationen finden Sie unter Zugriff auf WMI-Namespaces, Schützen von WMI-Namespaces und Ändern der Zugriffssicherheit für sicherungsfähige Objekte.
Zugehörige Themen