Registersleutels en -waarden voor het beheren van providerbeveiliging
Om de beveiliging van het hostproces van de gedeelde WMI-providerwmiprvse.exe(WMI) (WMI) te verbeteren, zijn er wijzigingen aangebracht in Windows-platforms die het hostproces van de provider beveiligen met een SID (Service Security Identifier). Deze wijzigingen introduceren de volgende actieve modi voor de gedeelde WMI-host: veilig en compatibel.
De volgende secties worden behandeld in dit onderwerp:
- veilige en compatibele modi
- registersleutels en -waarden
- een provider configureren die moet worden uitgevoerd in de beveiligde of compatibele modus
Veilige en compatibele modi
Vanaf Windows 7 zijn de volgende twee actieve modi toegevoegd voor het WMI-gedeelde hostproces:
-
beveiligde modus voor
-
WMI-providerhostprocesbronnen worden beveiligd met een service-SID. Alleen de service-SID heeft machtigingen voor deze resources.
-
compatibele modus
-
Het hostproces van de WMI-gedeelde provider is niet beveiligd met een service-SID. Het hostproces van de provider biedt toegang tot de Netwerkservice- of LocalService-accounts, afhankelijk van het hostingmodel. Zie Provider Hosting and Securityvoor meer informatie over hostingmodellen.
Windows Vista en Windows Server 2008: Voor toegang tot de registersleutels en -waarden voor het beheren van beveiligde en compatibele modi voor het hostproces van de provider, moet u de beveiligingsupdate installeren in KB-959454. Zie de Microsoft-beveiligingsbulletin MS09-012voor meer informatie.
Registersleutels en -waarden
De instellingen voor beveiligde en compatibele modus worden opgegeven via registersleutels. De registersleutels voor WMI bevinden zich in het register op HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\.
De volgende registersleutels en DWORD waarde die in de volgende lijst wordt beschreven, zijn toegevoegd om het gedrag van WMI-providers te beheren.
-
SecuredHostProviders
-
Deze sleutel bepaalt het gedrag van afzonderlijke providers. Alle providers die in deze sleutel worden vermeld, worden altijd uitgevoerd in de beveiligde modus. Alle postvak IN-providers die bij Windows worden geleverd, worden vermeld onder deze sleutel en worden standaard uitgevoerd in de beveiligde modus.
Deze sleutel heeft voorrang op providers die worden vermeld in de CompatibleHostProviders sleutel.
-
CompatibleHostProviders
-
Deze sleutel bepaalt het gedrag van afzonderlijke providers. Alle providers die in deze sleutel worden vermeld, worden altijd uitgevoerd in de compatibele modus. Deze sleutel is standaard leeg.
Als een provider wordt vermeld in de SecuredHostProviders-sleutel sleutel en in de CompatibleHostProviders-sleutel, wordt de provider uitgevoerd in de beveiligde modus.
Notitie
De CompatibleHostProviders--sleutel biedt toepassingscompatibiliteit voor toepassingen van derden als de DefaultSecuredHost--sleutel is ingesteld op 1 en de provider niet functioneert in de beveiligde modus.
-
DefaultSecuredHost-
-
Een globaal register DWORD waarde die bepaalt of alle providers, die niet worden vermeld in de SecuredHostProviders of CompatibleHostProviders sleutels, worden uitgevoerd in de beveiligde of compatibele modus. Met deze DWORD--waarde kan de beheerder bepalen in welke modus een externe provider moet worden uitgevoerd. Deze waarde is standaard ingesteld op nul en alle externe providers worden uitgevoerd in de compatibele modus. Beheerders kunnen hun computer standaard veiliger maken door de DefaultSecuredHost--waarde in te stellen op 1.
Notitie
De waarde DefaultSecuredHost heeft geen invloed op de andere registersleutels. De providers die worden vermeld in de SecuredHostProviders sleutel blijven in de beveiligde modus en de providers die worden vermeld in de CompatibleHostProviders sleutel blijven compatibel.
De volgende instellingen zijn mogelijk:
-
0
-
Hiermee geeft u op dat providers worden uitgevoerd in de compatibele modus.
-
1
-
Hiermee geeft u op dat providers worden uitgevoerd in de beveiligde modus.
-
De volgende lijst bevat de mogelijke registerinstellingen en de bijbehorende actieve modi voor een provider.
| Vermeld onder SecuredHostProviders | Vermeld onder CompatibleHostProviders | DefaultSecuredHost-instelling | Wijze |
|---|---|---|---|
| Nee | Nee | 0 | Compatibel |
| Nee | Ja | 0 | Compatibel |
| Ja | Nee | 0 | Veilig |
| Ja | Ja | 0 | Veilig |
| Nee | Nee | 1 | Veilig |
| Nee | Ja | 1 | Compatibel |
| Ja | Nee | 1 | Veilig |
| Ja | Ja | 1 | Veilig |
Een provider configureren die moet worden uitgevoerd in de beveiligde of compatibele modus
De registersleutels kunnen worden gewijzigd met behulp van de Console Groepsbeleidsbeheer (GPMC). Zie Console groepsbeleidsbeheervoor meer informatie.
De volgende procedures laten zien hoe u instellingen voor beveiligde en compatibele modus kunt beheren met behulp van voorkeuren voor groepsbeleid. Zie het Overzicht van voorkeuren voor groepsbeleidvoor meer informatie over voorkeuren voor groepsbeleid.
Een provider toevoegen aan de beveiligde of compatibele modus met behulp van groepsbeleid
Open de GPMC.
Een groepsbeleidsobject (GPO) maken.
Bewerk het groepsbeleidsobject.
Blader naar Voorkeuren/Windows-instellingen/register.
Klik met de rechtermuisknop en selecteer Nieuw... Register. Deze actie geeft een gebruikersinterface weer waarin u registergegevens kunt invoeren.
Selecteer de opdracht maken.
Selecteer het volgende pad naar de registersleutel:
beveiligde modus: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders
compatibele modus: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders
Voer in het veld naam de naam in van de provider die u aan deze sleutel wilt toevoegen. De providernaam moet de volgende indeling hebben: <naamruimte>:<__RELPATH>. Bijvoorbeeld root\cimv2:__win32provider.name="MyProvider".
Voer in het veld gegevens 0 in.
Klik op OK.
Een provider verwijderen uit de beveiligde of compatibele modus met behulp van groepsbeleid
Open de GPMC.
Maak een groepsbeleidsobject.
Bewerk het groepsbeleidsobject.
Blader naar Voorkeuren/Windows-instellingen/register.
Klik met de rechtermuisknop en selecteer Nieuw... Register. Deze actie geeft een gebruikersinterface weer waarin u registergegevens kunt invoeren.
Selecteer de opdracht Verwijderen.
Selecteer het volgende pad naar de registersleutel:
beveiligde modus: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders
compatibele modus: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders
Voer in het veld naam de naam in van de provider die u uit deze sleutel wilt verwijderen.
Voer in het veld gegevens 0 in.
Klik op OK.
De volgende procedure bevat informatie over het wijzigen van het gedrag van providers die niet worden vermeld in de SecuredHostProviders of CompatibleHostProviders sleutels.
De standaardwaarde van de key DefaultSecuredHost wijzigen met behulp van groepsbeleid
- Open de GPMC.
- Maak een groepsbeleidsobject.
- Bewerk het groepsbeleidsobject.
- Blader naar Voorkeuren/Windows-instellingen/register.
- Klik met de rechtermuisknop en selecteer Nieuw... Register. Deze actie geeft een gebruikersinterface weer waarin u registergegevens kunt invoeren.
- Selecteer de opdracht bijwerken.
- Selecteer het volgende registersleutelpad: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM-.
- Voer in het veld naamDefaultSecuredHost-in.
- Voer in het veld gegevens 0 in voor de compatibele modus of 1 voor de beveiligde modus.
- Klik op OK.