Acceso a objetos protegibles de WMI
WMI se basa en los descriptores de seguridad estándar de Windows para controlar y proteger el acceso a objetos protegibles, como los espacios de nombres de WMI, impresoras, servicios y aplicaciones DCOM. Para más información, consulte Acceso a espacios de nombres de WMI.
En esta sección se explican los temas siguientes:
- Descriptores de seguridad y SID
- Control de acceso
- Cambio de la seguridad de acceso
- Temas relacionados
Descriptores de seguridad y SID
WMI mantiene la seguridad de acceso comparando el token de acceso del usuario que intenta acceder a un objeto protegible con el descriptor de seguridad del objeto.
Cuando se crea un usuario o grupo en un sistema, la cuenta recibe un identificador de seguridad (SID). El SID garantiza que una cuenta que se ha creado con el mismo nombre que una cuenta eliminada anteriormente no heredará la configuración de seguridad anterior. Para crear un token de acceso, se combina el SID, la lista de grupos de los que es miembro el usuario y la lista de privilegios habilitados o deshabilitados. Estos tokens se asignan a todos los procesos y subprocesos propiedad del usuario.
Control de acceso
Cuando el usuario quiere usar un objeto protegido, el token de acceso se compara con la lista de control de acceso discrecional (DACL) del descriptor de seguridad del objeto. La DACL contiene permisos denominados entradas de control de acceso (ACE). Las listas de control de acceso del sistema (SACL) hacen lo mismo que las DACL, pero pueden generar eventos de auditoría de seguridad. A partir de Windows Vista, WMI puede realizar entradas de auditoría en el registro de seguridad de Windows. Para más información sobre la auditoría en WMI, consulte Acceso a espacios de nombres de WMI.
Tanto la DACL como la SACL constan de una lista de ACE que describen qué usuarios tienen derechos de acceso específicos, incluida la escritura en el repositorio de WMI, el acceso remoto y la ejecución, y los permisos de inicio de sesión. WMI almacena estas ACL en el repositorio de WMI.
Las ACE contienen tres tipos de niveles de acceso o derechos de concesión o denegación: permitir, denegar para DACL y auditoría del sistema (para SACL). Denegar ACE precede a permitir ACE en la DACL o SACL. Al comprobar los derechos de acceso del usuario, WMI se ejecuta consecutivamente a través de la lista de control de acceso hasta que encuentra una ACE permitida que se aplica al token de acceso que solicita. Las ACE restantes no se comprueban después de este punto. Si no se encuentra ninguna ACE de permiso adecuada, se deniega el acceso. Para más información, consulte Orden de las ACE en una DACL y Creación de una DACL.
Cambio de la seguridad de acceso
Con los permisos adecuados, puede cambiar la seguridad de un objeto protegible con un script o una aplicación. También puede cambiar la configuración de seguridad en los espacios de nombres de WMI mediante el control WMI o agregando una cadena del lenguaje de definición de descriptores de seguridad (SDDL) en el archivo Managed Object Format (MOF) que define las clases del espacio de nombres. Para más información, consulte Acceso a espacios de nombres de WMI, Protección de espacios de nombres de WMI y Cambio de la seguridad de acceso en objetos protegibles.
Temas relacionados