Claves y valores del Registro para controlar la seguridad del proveedor
Para mejorar la seguridad del proceso de host del proveedor compartido de Instrumental de administración de Windows (WMI) (wmiprvse.exe), se realizaron cambios en las plataformas Windows que protegen el proceso de host del proveedor con un identificador de seguridad de servicio (SID) de (SID). Estos cambios presentan los siguientes modos de ejecución para el host compartido WMI: seguro y compatible.
En este tema se tratan las secciones siguientes:
- modos seguros y compatibles
- claves y valores del Registro
- Configurar un proveedor para ejecutarse en modo seguro o compatible
Modos seguros y compatibles
A partir de Windows 7, se agregaron los dos modos de ejecución siguientes para el proceso de host compartido de WMI:
-
modo seguro de
-
Los recursos de proceso de host del proveedor WMI se protegen con un SID de servicio de . Solo el SID del servicio tiene permisos para estos recursos.
-
modo compatible con
-
El proceso de host del proveedor compartido WMI no está protegido con un SID de servicio de . El proceso de host del proveedor permite el acceso a las cuentas NetworkService o LocalService en función del modelo de hospedaje. Para obtener más información sobre el hospedaje de modelos, vea Proveedor de hospedaje y seguridad.
Windows Vista y Windows Server 2008: Para acceder a las claves y valores del Registro para controlar los modos seguros y compatibles para el proceso de host del proveedor, debe instalar la actualización de seguridad en KB 959454. Para obtener más información, consulte el boletín de seguridad de Microsoft MS09-012.
Claves y valores del Registro
La configuración del modo seguro y compatible se especifica mediante claves del Registro. Las claves del Registro para WMI se encuentran en el Registro en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\.
Se agregaron las siguientes claves del Registro y valor DWORD descrito en la lista siguiente para controlar el comportamiento de los proveedores WMI.
-
securedHostProviders
-
Esta clave controla el comportamiento de los proveedores individuales. Todos los proveedores que aparecen en esta clave siempre se ejecutan en modo seguro. Todos los proveedores de bandeja de entrada que se envían con Windows aparecen en esta clave y se ejecutan en modo seguro de forma predeterminada.
Esta clave tiene prioridad sobre los proveedores enumerados en la clave de CompatibleHostProviders.
-
compatibleHostProviders
-
Esta clave controla el comportamiento de los proveedores individuales. Todos los proveedores que aparecen en esta clave siempre se ejecutan en modo compatible. Esta clave está vacía de forma predeterminada.
Si un proveedor aparece en la clave SecuredHostProviders y en la clave CompatibleHostProviders, el proveedor se ejecuta en modo seguro.
Nota
La clave compatibleHostProviders de proporciona compatibilidad de aplicaciones para aplicaciones de terceros si la clave DefaultSecuredHost está establecida en 1 y se sabe que el proveedor no funciona en modo seguro.
-
DefaultSecuredHost
-
Un registro global valor DWORD que determina si todos los proveedores, que no aparecen en el SecuredHostProviders o claves compatiblesHostProviders, se ejecutan en modo seguro o compatible. Este valor DWORD permite al administrador decidir en qué modo debe ejecutarse un proveedor de terceros. De forma predeterminada, este valor se establece en cero y todos los proveedores de terceros se ejecutan en modo compatible. Los administradores pueden hacer que su equipo sea más seguro de forma predeterminada estableciendo el valor de DefaultSecuredHost en 1.
Nota
El valor de DefaultSecuredHost no afecta a las demás claves del Registro. Los proveedores que aparecen en el SecuredHostProviders clave permanecen en modo seguro y los que aparecen en el CompatibleHostProviders clave permanecen en modo compatible.
Las siguientes opciones de configuración son posibles:
-
0
-
Especifica que los proveedores se ejecutan en modo compatible.
-
1
-
Especifica que los proveedores se ejecutan en modo seguro.
-
En la lista siguiente se enumeran las posibles opciones de configuración del Registro y los modos de ejecución asociados para un proveedor.
| Enumerado en SecuredHostProviders | Enumerado en CompatibleHostProviders | Configuración de DefaultSecuredHost | Modo |
|---|---|---|---|
| No | No | 0 | Compatible |
| No | Sí | 0 | Compatible |
| Sí | No | 0 | Seguro |
| Sí | Sí | 0 | Seguro |
| No | No | 1 | Seguro |
| No | Sí | 1 | Compatible |
| Sí | No | 1 | Seguro |
| Sí | Sí | 1 | Seguro |
Configuración de un proveedor para que se ejecute en modo seguro o compatible
Las claves del Registro se pueden modificar mediante la Consola de administración de directivas de grupo (GPMC). Para obtener más información, consulte consola de administración de directivas de grupo.
Los procedimientos siguientes muestran cómo administrar la configuración de modo seguro y compatible mediante preferencias de directiva de grupo. Para obtener más información sobre las preferencias de directiva de grupo, consulte la Información general sobre las preferencias de directiva de grupo.
Para agregar un proveedor al modo seguro o compatible mediante la directiva de grupo
Abra el GPMC.
Cree un objeto de directiva de grupo (GPO).
Edite el GPO.
Vaya a Preferencias/Configuración de Windows/Registro.
Haga clic con el botón derecho y seleccione Nuevo... Registro. Esta acción presenta una interfaz de usuario en la que puede escribir información del Registro.
Seleccione el comando Crear.
Seleccione la siguiente ruta de acceso de clave del Registro:
Modo seguro : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders
Modo compatible : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders
En el campo nombre, escriba el nombre del proveedor que desea agregar a esta clave. El nombre del proveedor debe tener el siguiente formato: <espacio de nombres>:<__RELPATH>. Por ejemplo, root\cimv2:__win32provider.name="MyProvider".
En el campo datos, escriba 0.
Haga clic en Aceptar.
Para quitar un proveedor del modo seguro o compatible mediante la directiva de grupo
Abra el GPMC.
Cree un GPO.
Edite el GPO.
Vaya a Preferencias/Configuración de Windows/Registro.
Haga clic con el botón derecho y seleccione Nuevo... Registro. Esta acción presenta una interfaz de usuario en la que puede escribir información del Registro.
Seleccione el comando Quitar .
Seleccione la siguiente ruta de acceso de clave del Registro:
Modo seguro : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders
Modo compatible : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders
En el campo nombre, escriba el nombre del proveedor que desea quitar de esta clave.
En el campo datos, escriba 0.
Haga clic en Aceptar.
El procedimiento siguiente proporciona detalles sobre cómo modificar el comportamiento de los proveedores que no aparecen en las claves SecuredHostProviders o CompatibleHostProviders.
Para cambiar el valor predeterminado de la clave DefaultSecuredHost mediante la directiva de grupo
- Abra el GPMC.
- Cree un GPO.
- Edite el GPO.
- Vaya a Preferencias/Configuración de Windows/Registro.
- Haga clic con el botón derecho y seleccione Nuevo... Registro. Esta acción presenta una interfaz de usuario en la que puede escribir información del Registro.
- Seleccione el comando Actualizar.
- Seleccione la siguiente ruta de acceso de la clave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM.
- En el campo nombre de, escriba DefaultSecuredHost.
- En el campo datos, escriba 0 para el modo compatible o 1 para el modo seguro.
- Haga clic en Aceptar.