Compartir a través de

Acceso a espacios de nombres WMI

  • Artículo

WMI usa un descriptor de seguridad estándar de Windows para controlar el acceso a los espacios de nombres WMI. Cuando se conecta a WMI, ya sea mediante el moniker "winmgmts" de WMI o una llamada a IWbemLocator::ConnectServer o SWbemLocator.ConnectServer, se conecta a un espacio de nombres específico.

En este tema se describe la siguiente información:

Seguridad del espacio de nombres WMI

WMI mantiene la seguridad del espacio de nombres comparando los token de acceso del usuario que se conecta al espacio de nombres con el descriptor de seguridad del espacio de nombres. Para obtener más información sobre la seguridad de Windows, vea Acceso a objetos protegibles de WMI.

Tenga en cuenta que, a partir de Windows Vista, control de cuentas de usuario (UAC) afecta al acceso a los datos WMI y lo que se puede configurar con el control WMI de . Para obtener más información, vea permisos predeterminados en los espacios de nombres WMI y control de cuentas de usuario y WMI.

El acceso a los espacios de nombres WMI también se ve afectado cuando la conexión procede de un equipo remoto. Para obtener más información, vea Conectarse a WMI en un equipo remoto, Proteger una conexión WMI remotay Conectar a través del Firewall de Windows.

Los proveedores deben confiar en la configuración de suplantación de la conexión para determinar si el script de cliente o la aplicación deben recibir datos. Para obtener más información sobre el script y las aplicaciones cliente, consulte Configuración de la seguridad del proceso de aplicación cliente. Para obtener más información sobre proveedor suplantación, vea Developing a WMI Provider.

Auditoría del espacio de nombres WMI

WMI usa el espacio de nombres listas de control de acceso del sistema (SACL) para auditar la actividad del espacio de nombres. Para habilitar la auditoría de los espacios de nombres WMI, use la pestaña seguridad de de la control WMI para cambiar la configuración de auditoría del espacio de nombres.

La auditoría no está habilitada durante la instalación del sistema operativo. Para habilitar la auditoría, haga clic en la pestaña Auditoría de la ventana seguridad estándar de. A continuación, puede agregar una entrada de auditoría.

La directiva de grupo del equipo local debe establecerse para permitir la auditoría. Puede habilitar la auditoría ejecutando el complemento MMC Gpedit.msc y estableciendo auditar de acceso a objetos en Configuración del equipo>Configuración de Windows>Configuración de seguridad>Directivas locales>Directiva de auditoría.

Una entrada de auditoría edita la SACL del espacio de nombres. Al agregar una entrada de auditoría, es un usuario, grupo, equipo o entidad de seguridad integrada. Después de agregar la entrada, puede establecer las operaciones de acceso que dan lugar a eventos de registro de seguridad. Por ejemplo, para el grupo Usuarios autenticados, puede hacer clic en Ejecutar métodos. Esta configuración da como resultado eventos de registro de seguridad cada vez que un miembro del grupo Usuarios autenticados ejecuta un método en ese espacio de nombres. El identificador de evento para eventos WMI es 4662.

La cuenta debe estar en el grupo Administradores y ejecutarse con privilegios elevados para cambiar la configuración de auditoría. La cuenta de administrador integrada también puede cambiar la seguridad o auditoría de un espacio de nombres. Para obtener más información sobre cómo ejecutarse en modo con privilegios elevados, vea Control de cuentas de usuario y WMI.

La auditoría de WMI genera eventos de éxito o error para intentos de acceso a espacios de nombres WMI. El servicio no audita el éxito ni el error de las operaciones del proveedor. Por ejemplo, cuando un script se conecta a WMI y un espacio de nombres, puede producir un error porque la cuenta con la que se ejecuta el script no tiene acceso a ese espacio de nombres o puede intentar una operación, como editar la DACL, que no se concede.

Si se ejecuta en una cuenta en el grupo Administradores, puede ver los eventos de auditoría del espacio de nombres en la interfaz de usuario del Visor de eventos de .

Tipos de eventos de espacio de nombres

WMI realiza un seguimiento de los siguientes tipos de eventos en el registro de eventos de seguridad:

  • Auditoría correcta

    La operación debe completar correctamente dos pasos para realizar una auditoría correcta. En primer lugar, WMI concede acceso a la aplicación cliente o script en función del SID de cliente y el DACL del espacio de nombres. En segundo lugar, la operación solicitada coincide con los derechos de acceso del espacio de nombres SACL para ese usuario o grupo.

  • Error de auditoría

    WMI deniega el acceso al espacio de nombres, pero la operación solicitada coincide con los derechos de acceso del espacio de nombres SACL para ese usuario o grupo.

Configuración de acceso del espacio de nombres

Puede ver los derechos de acceso del espacio de nombres para varias cuentas en el control WMI. Estas constantes se describen en Constantes de derechos de acceso del espacio de nombres. Puede cambiar el acceso a un espacio de nombres WMI mediante el control WMI o mediante programación. Para obtener más información, vea Cambio de seguridad de acceso en objetos protegibles.

WMI audita los cambios en todos los permisos de acceso enumerados en la lista siguiente, excepto el permiso Habilitar remoto. Los cambios se registran como correctos de auditoría o errores correspondientes al permiso Editar seguridad.

métodos execute de

Permite al usuario ejecutar métodos definidos en clases WMI. Corresponde a la constante de permiso de acceso WBEM_METHOD_EXECUTE.

escritura completa

Permite el acceso completo de lectura, escritura y eliminación a las clases y instancias de clase de WMI, tanto estáticas como dinámicas. Corresponde a la constante de permiso de acceso WBEM_FULL_WRITE_REP.

escritura parcial

Permite el acceso de escritura a instancias de clase WMI estáticas. Corresponde a la constante de permiso de acceso WBEM_PARTIAL_WRITE_REP.

escritura del proveedor de

Permite el acceso de escritura a instancias dinámicas de clase WMI. Corresponde a la constante de permiso de acceso WBEM_WRITE_PROVIDER.

Habilitar cuenta

Permite el acceso de lectura a las instancias de clase WMI. Corresponde a la constante de permiso de acceso WBEM_ENABLE.

habilitación remota de

Permite el acceso al espacio de nombres por equipos remotos. Corresponde a la constante de permiso de acceso WBEM_REMOTE_ACCESS.

seguridad de lectura de

Permite el acceso de solo lectura a la configuración de DACL. Corresponde a la constante de permiso de acceso READ_CONTROL.

Editar seguridad

Permite el acceso de escritura a la configuración de DACL. Corresponde a la constante de permiso de acceso WRITE_DAC.

Permisos predeterminados en espacios de nombres WMI

Los grupos de seguridad predeterminados son:

  • Usuarios autenticados
  • SERVICIO LOCAL
  • SERVICIO DE RED
  • Administradores (en el equipo local)

Los permisos de acceso predeterminados para los usuarios autenticados, el SERVICIO LOCAL y EL SERVICIO DE RED son:

  • Ejecutar métodos
  • Escritura completa
  • Habilitar cuenta

Las cuentas del grupo Administradores tienen todos los derechos disponibles, incluidos los descriptores de seguridad de edición. Sin embargo, debido al control de cuentas de usuario (UAC), el control WMI o el script deben ejecutarse con seguridad elevada. Para obtener más información, vea Control de cuentas de usuario y WMI.

A veces, un script o una aplicación deben habilitar un privilegio de administrador, como SeSecurityPrivilege, para llevar a cabo una operación. Por ejemplo, un script puede ejecutar el método GetSecurityDescriptor de la clase Win32_Printer sin seSecurityPrivilege y obtener la información de seguridad en la lista de control de acceso discrecional (DACL)del objeto de impresora descriptor de seguridad. Sin embargo, la información de SACL no se devuelve al script a menos que el privilegio SeSecurityPrivilege esté disponible y habilitado para la cuenta. Si la cuenta no tiene el privilegio disponible, no se puede habilitar. Para obtener más información, vea Ejecución de operaciones con privilegios.

acerca de la WMI