Acceso a objetos protegibles de WMI

WMI se basa en descriptores de seguridad estándar de Windows para controlar y proteger el acceso a objetos protegibles, como espacios de nombres WMI, impresoras, servicios y aplicaciones DCOM. Para obtener más información, vea Acceso a los espacios de nombres WMI.

En esta sección se describen los temas siguientes:

• descriptores de seguridad y identificadores de seguridad
• control de acceso
• cambiar el de seguridad de acceso
• temas relacionados

Descriptores de seguridad y SID

WMI mantiene la seguridad de acceso comparando el token de acceso del usuario que intenta acceder a un objeto protegible con el descriptor de seguridad del objeto.

Cuando se crea un usuario o grupo en un sistema, la cuenta recibe un identificador de seguridad (SID) de El SID garantiza que una cuenta creada con el mismo nombre que una cuenta eliminada anteriormente no hereda la configuración de seguridad anterior. Para crear un token de acceso, se combina el SID, la lista de grupos de los que es miembro el usuario y la lista de privilegios habilitados o deshabilitados. Estos tokens se asignan a todos los procesos y subprocesos propiedad del usuario.

Control de acceso

Cuando el usuario quiere usar un objeto protegido, el token de acceso se compara con el lista de control de acceso discrecional (DACL) en el descriptor de seguridad del objeto. La DACL contiene permisos denominados entradas de control de acceso (ACE). listas de control de acceso del sistema (SACL) hacer lo mismo que las DACL, pero puede generar eventos de auditoría de seguridad. A partir de Windows Vista, WMI puede realizar entradas de auditoría en el registro de seguridad de Windows. Para obtener más información sobre la auditoría en WMI, vea Access to WMI Namespaces.

Tanto la DACL como la SACL constan de una lista de ACL que describen qué usuarios tienen derechos de acceso específicos, incluida la escritura en el repositorio WMI, el acceso remoto y la ejecución, y los permisos de inicio de sesión. WMI almacena estas ACL en el repositorio WMI.

Los ACL contienen tres tipos de niveles de acceso o derechos de concesión o denegación: permitir, denegar para DACL y auditoría del sistema (para SACL). Denegar ACL preceden a las ACE permitidas en daCL o SACL. Al comprobar los derechos de acceso de usuario, WMI se ejecuta consecutivamente a través de la lista de control de acceso hasta que encuentra una ACE de permiso que se aplica al token de acceso que solicita. Los ACE restantes no se comprueban después de este punto. Si no se encuentra ninguna ACE de permiso adecuada, se deniega el acceso. Para obtener más información, vea Orden de ACL en una DACL y Creación de unaDACL.

Cambio de seguridad de acceso

Con los permisos adecuados, puede cambiar la seguridad en un objeto protegible con un script o una aplicación. También puede cambiar la configuración de seguridad en los espacios de nombres WMI mediante el control WMI o agregando una cadena de lenguaje de definición de descriptores de seguridad (SDDL) en el archivo formato de objeto administrado (MOF) que define clases para el espacio de nombres. Para obtener más información, vea Acceso a los espacios de nombres WMI, proteger los espacios de nombres WMIy Cambiar la seguridad de acceso en objetos protegibles.

Temas relacionados

objetos de descriptor de seguridad de WMI

constantes de seguridad de WMI

control de cuentas de usuario y WMI

objetos de descriptor de seguridad de WMI

acceso a espacios de nombres WMI