Registrierungsschlüssel und Werte zum Steuern der Anbietersicherheit
Um die Sicherheit des WMI(Windows Management Instrumentation)-Hostprozesses (Shared Provider Host Process, wmiprvse.exe) zu erhöhen, wurden Änderungen an Windows-Plattformen vorgenommen, die den Anbieterhostprozess mit einer Dienstsicherheits-ID (SID) schützen. Diese Änderungen führen die folgenden ausgeführten Modi für den freigegebenen WMI-Host ein: sicher und kompatibel.
Die folgenden Abschnitte werden in diesem Thema behandelt:
- Sichere und kompatible Modi
- Registrierungsschlüssel und -werte
- Konfigurieren eines Anbieters für die Ausführung im sicheren oder kompatiblen Modus
Sichere und kompatible Modi
Ab Windows 7 wurden die folgenden beiden ausgeführten Modi für den freigegebenen WMI-Hostprozess hinzugefügt:
-
Sicherer Modus
-
Hostprozessressourcen des WMI-Anbieters werden mit einer Dienst-SID geschützt. Nur die Dienst-SID verfügt über Berechtigungen für diese Ressourcen.
-
Kompatibler Modus
-
Der freigegebene Hostprozess des WMI-Anbieters ist nicht mit einer Dienst-SID gesichert. Der Anbieterhostprozess ermöglicht je nach Hostingmodell den Zugriff auf das Konto NetworkService oder LocalService. Weitere Informationen zu Hostingmodellen finden Sie unter Anbieterhosting und Sicherheit.
Windows Vista und Windows Server 2008: Um auf die Registrierungsschlüssel und -werte für die Steuerung sicherer und kompatibler Modi für den Anbieterhostprozess zuzugreifen, müssen Sie das Sicherheitsupdate in KB 959454 installieren. Weitere Informationen finden Sie in der Microsoft-Sicherheitsbulletin MS09-012.
Registrierungsschlüssel und -werte
Die Einstellungen für den sicheren und kompatiblen Modus werden über Registrierungsschlüssel angegeben. Die Registrierungsschlüssel für WMI befinden sich in der Registrierung unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\.
Die folgenden Registrierungsschlüssel und der in der folgenden Liste beschriebene Wert DWORD wurden hinzugefügt, um das Verhalten von WMI-Anbietern zu steuern.
-
SecuredHostProviders
-
Dieser Schlüssel steuert das Verhalten einzelner Anbieter. Alle Anbieter, die in diesem Schlüssel aufgeführt sind, werden immer im sicheren Modus ausgeführt. Alle Posteingangsanbieter, die mit Windows ausgeliefert werden, werden unter diesem Schlüssel aufgeführt und standardmäßig im sicheren Modus ausgeführt.
Dieser Schlüssel hat Vorrang vor Anbietern, die im Schlüssel CompatibleHostProviders aufgeführt sind.
-
CompatibleHostProviders
-
Dieser Schlüssel steuert das Verhalten einzelner Anbieter. Alle Anbieter, die in diesem Schlüssel aufgeführt sind, werden immer im kompatiblen Modus ausgeführt. Dieser Schlüssel ist standardmäßig leer.
Wenn ein Anbieter sowohl im Schlüssel SecuredHostProviders als auch im Schlüssel CompatibleHostProviders aufgeführt ist, wird der Anbieter im sicheren Modus ausgeführt.
Hinweis
Der Schlüssel CompatibleHostProviders bietet Anwendungskompatibilität für Drittanbieteranwendungen, wenn der Schlüssel DefaultSecuredHost auf 1 festgelegt ist und bekannt ist, dass der Anbieter nicht im sicheren Modus funktioniert.
-
DefaultSecuredHost
-
Ein Wert DWORD für die globale Registrierung, der bestimmt, ob alle Anbieter, die nicht in den Schlüsseln SecuredHostProviders oder CompatibleHostProviders aufgeführt sind, im sicheren oder kompatiblen Modus ausgeführt werden. Mit diesem Wert DWORD kann der Administrator entscheiden, in welchem Modus ein Drittanbieter ausgeführt werden muss. Standardmäßig ist dieser Wert auf 0 festgelegt, und alle Drittanbieter werden im kompatiblen Modus ausgeführt. Administratoren können ihren Computer standardmäßig sicherer machen, indem sie den Wert DefaultSecuredHost auf 1 festlegen.
Hinweis
Der Wert DefaultSecuredHost wirkt sich nicht auf die anderen Registrierungsschlüssel aus. Die Anbieter, die im Schlüssel SecuredHostProviders aufgeführt sind, verbleiben im sicheren Modus, und die Anbieter, die im Schlüssel CompatibleHostProviders aufgeführt sind, bleiben im kompatiblen Modus.
Die folgenden Einstellungen sind möglich:
-
0
-
Gibt an, dass Anbieter im kompatiblen Modus ausgeführt werden.
-
1
-
Gibt an, dass Anbieter im sicheren Modus ausgeführt werden.
-
In der folgenden Liste sind die möglichen Registrierungseinstellungen und die zugehörigen Ausführungsmodi für einen Anbieter aufgeführt.
Aufgeführt unter SecuredHostProviders | Aufgeführt unter CompatibleHostProviders | DefaultSecuredHost Setting | Modus |
---|---|---|---|
Nein | Nein | 0 | Kompatibel |
Nein | Ja | 0 | Kompatibel |
Ja | Nein | 0 | Sicher |
Yes | Ja | 0 | Sicher |
Nein | Nein | 1 | Sicher |
Nein | Ja | 1 | Kompatibel |
Ja | Nein | 1 | Sicher |
Yes | Ja | 1 | Sicher |
Konfigurieren eines Anbieters für die Ausführung im sicheren oder kompatiblen Modus
Die Registrierungsschlüssel können mithilfe der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) geändert werden. Weitere Informationen finden Sie unter Gruppenrichtlinien-Verwaltungskonsole.
Die folgenden Verfahren veranschaulichen, wie Einstellungen für den sicheren und kompatiblen Modus mithilfe von Gruppenrichtlinieneinstellungen verwaltet werden. Weitere Informationen zu Gruppenrichtlinieneinstellungen finden Sie in der Übersicht über Einstellungen der Gruppenrichtlinie.
So fügen Sie einen Anbieter entweder dem sicheren oder kompatiblen Modus hinzu, indem Sie Gruppenrichtlinie
Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole.
Erstellen Sie ein Gruppenrichtlinienobjekts(GPO).
Bearbeiten Sie das GPO.
Navigieren Sie zu Einstellungen/Windows-Einstellungen/Registrierung.
Klicken Sie mit der rechten Maustaste, und wählen Sie Neu... Registrierung. Diese Aktion stellt eine Benutzeroberfläche dar, über die Sie Registrierungsinformationen eingeben können.
Wählen Sie den Befehl Erstellen aus.
Wählen Sie den folgenden Registrierungsschlüsselpfad aus:
Sicherer Modus: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders
Kompatibler Modus: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders
Geben Sie im Feld Name den Namen des Anbieters ein, den Sie diesem Schlüssel hinzufügen möchten. Der Anbietername muss im folgenden Format sein: <Namespace>:<__RELPATH>. Beispiel: root\cimv2:__win32provider.name="MyProvider".
Geben Sie 0 im Feld Daten ein.
Klicken Sie auf OK.
So fügen Sie einen Anbieter entweder dem sicheren oder kompatiblen Modus hinzu, indem Sie Gruppenrichtlinie
Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole.
Erstellen Sie ein GPO.
Bearbeiten Sie das GPO.
Navigieren Sie zu Einstellungen/Windows-Einstellungen/Registrierung.
Klicken Sie mit der rechten Maustaste, und wählen Sie Neu... Registrierung. Diese Aktion stellt eine Benutzeroberfläche dar, über die Sie Registrierungsinformationen eingeben können.
Wählen Sie den Befehl Entfernen aus.
Wählen Sie den folgenden Registrierungsschlüsselpfad aus:
Sicherer Modus: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders
Kompatibler Modus: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders
Geben Sie im Feld Name den Namen des Anbieters ein, den Sie von diesem Schlüssel entfernen möchten.
Geben Sie 0 im Feld Daten ein.
Klicken Sie auf OK.
Das folgende Verfahren enthält Details zum Ändern des Verhaltens von Anbietern, die nicht in den Schlüsseln SecuredHostProviders oder CompatibleHostProviders aufgeführt sind.
So ändern Sie den Standardwert des Schlüssels DefaultSecuredHost mithilfe von Gruppenrichtlinien
- Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole.
- Erstellen Sie ein GPO.
- Bearbeiten Sie das GPO.
- Navigieren Sie zu Einstellungen/Windows-Einstellungen/Registrierung.
- Klicken Sie mit der rechten Maustaste, und wählen Sie Neu... Registrierung. Diese Aktion stellt eine Benutzeroberfläche dar, über die Sie Registrierungsinformationen eingeben können.
- Wählen Sie den Befehl Aktualisieren aus.
- Wählen Sie den folgenden Registrierungsschlüsselpfad aus: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM.
- Geben Sie im Feld NameDefaultSecuredHost ein.
- Geben Sie im Feld Daten 0 für den kompatiblen Modus oder 1 für den sicheren Modus ein.
- Klicken Sie auf OK.