Udostępnij za pośrednictwem

Dostęp do przestrzeni nazw usługi WMI

  • Artykuł

WMI używa standardowego deskryptora zabezpieczeń systemu Windows do kontrolowania dostępu do przestrzeni nazw usługi WMI. Podczas nawiązywania połączenia z usługą WMI za pośrednictwem nazwy moniker "winmgmts" lub wywołania metody IWbemLocator::ConnectServer lub SWbemLocator.ConnectServer, nawiązujesz połączenie z określoną przestrzenią nazw.

W tym temacie omówiono następujące informacje:

Zabezpieczenia przestrzeni nazw usługi WMI

Usługa WMI utrzymuje zabezpieczenia przestrzeni nazw, porównując token dostępu użytkownika łączącego się z przestrzenią nazw za pomocą deskryptora zabezpieczeń przestrzeni nazw. Aby uzyskać więcej informacji na temat zabezpieczeń systemu Windows, zobacz Access to WMI Securable Objects.

Należy pamiętać, że począwszy od systemu Windows Vista kontrola konta użytkownika (UAC) ma wpływ na dostęp do danych usługi WMI i co można skonfigurować za pomocą kontrola WMI. Aby uzyskać więcej informacji, zobacz domyślne uprawnienia w przestrzeniach nazw usługi WMI i kontroli konta użytkownika i usługi WMI.

Dostęp do przestrzeni nazw usługi WMI ma również wpływ na połączenie z komputera zdalnego. Aby uzyskać więcej informacji, zobacz Connecting to WMI on a Remote Computer on a Remote Computer, Securing a Remote WMI Connectioni Connecting Through Windows Firewall.

Dostawcy muszą polegać na ustawieniu personifikacji dla połączenia, aby określić, czy skrypt klienta lub aplikacja powinna odbierać dane. Aby uzyskać więcej informacji na temat skryptów i aplikacji klienckich, zobacz Setting Client Application Process Security. Aby uzyskać więcej informacji na temat personifikacji dostawcy , zobacz Tworzenie dostawcy usługi WMI.

Inspekcja przestrzeni nazw usługi WMI

WMI używa przestrzeni nazw systemowych list kontroli dostępu (SACL) do inspekcji aktywności przestrzeni nazw. Aby włączyć inspekcję przestrzeni nazw usługi WMI, użyj karty zabezpieczeń na kontrolki WMI, aby zmienić ustawienia inspekcji przestrzeni nazw.

Inspekcja nie jest włączona podczas instalacji systemu operacyjnego. Aby włączyć inspekcję, kliknij kartę Inspekcja w standardowym oknie Zabezpieczenia. Następnie możesz dodać wpis inspekcji.

Aby zezwolić na inspekcję, należy ustawić zasady grupy dla komputera lokalnego. Inspekcję można włączyć, uruchamiając przystawkę GPedit.msc MMC i ustawiając Inspekcja dostępu do obiektów w obszarze Konfiguracja komputera>Ustawienia systemu Windows>Ustawienia zabezpieczeń>zasady lokalne>zasady inspekcji.

Wpis inspekcji edytuje SACL przestrzeni nazw. Po dodaniu wpisu inspekcji jest to użytkownik, grupa, komputer lub wbudowany podmiot zabezpieczeń. Po dodaniu wpisu można ustawić operacje dostępu, które powodują zdarzenia dziennika zabezpieczeń. Na przykład dla grupy Uwierzytelnieni użytkownicy możesz kliknąć pozycję Wykonaj metody. To ustawienie powoduje, że zdarzenia dziennika zabezpieczeń są wykonywane za każdym razem, gdy członek grupy Uwierzytelnieni użytkownicy wykonuje metodę w tej przestrzeni nazw. Identyfikator zdarzenia dla zdarzeń usługi WMI to 4662.

Aby zmienić ustawienia inspekcji, twoje konto musi znajdować się w grupie Administratorzy i działać z podwyższonym poziomem uprawnień. Wbudowane konto administratora może również zmienić zabezpieczenia lub inspekcję przestrzeni nazw. Aby uzyskać więcej informacji na temat uruchamiania w trybie podwyższonego poziomu uprawnień, zobacz Kontrola konta użytkownika i Usługa WMI.

Inspekcja usługi WMI generuje zdarzenia powodzenia lub niepowodzenia w przypadku prób uzyskania dostępu do przestrzeni nazw usługi WMI. Usługa nie przeprowadza inspekcji powodzenia ani niepowodzenia operacji dostawcy. Na przykład gdy skrypt łączy się z usługą WMI i przestrzenią nazw, może zakończyć się niepowodzeniem, ponieważ konto, na którym jest uruchomiony skrypt, nie ma dostępu do tej przestrzeni nazw lub może podjąć próbę wykonania operacji, takiej jak edytowanie listy DACL, która nie jest udzielana.

Jeśli używasz konta w grupie Administratorzy, możesz wyświetlić zdarzenia inspekcji przestrzeni nazw w podglądzie zdarzeń interfejsie użytkownika.

Typy zdarzeń przestrzeni nazw

Usługa WMI śledzi następujące typy zdarzeń w dzienniku zdarzeń zabezpieczeń:

  • Powodzenie inspekcji

    Operacja musi pomyślnie wykonać dwa kroki dla powodzenia inspekcji. Najpierw usługa WMI udziela dostępu do aplikacji klienckiej lub skryptu na podstawie identyfikatora SID klienta i listy DACL przestrzeni nazw. Po drugie, żądana operacja odpowiada prawom dostępu w przestrzeni nazw SACL dla tego użytkownika lub grupy.

  • Niepowodzenie inspekcji

    Usługa WMI odmawia dostępu do przestrzeni nazw, ale żądana operacja jest zgodna z prawami dostępu w przestrzeni nazw SACL dla tego użytkownika lub grupy.

Ustawienia dostępu przestrzeni nazw

Prawa dostępu do przestrzeni nazw dla różnych kont można wyświetlić w kontrolce usługi WMI. Te stałe są opisane w Stałe praw dostępu przestrzeni nazw. Dostęp do przestrzeni nazw usługi WMI można zmienić za pomocą kontrolki WMI lub programowo. Aby uzyskać więcej informacji, zobacz Zmienianie zabezpieczeń dostępu w zabezpieczanych obiektach.

Usługa WMI przeprowadza inspekcję zmian we wszystkich uprawnieniach dostępu wymienionych na poniższej liście z wyjątkiem uprawnień Włącz zdalny. Zmiany są rejestrowane jako powodzenie inspekcji lub niepowodzenie odpowiadające uprawnienia Edytowanie zabezpieczeń.

metody execute

Zezwala użytkownikowi na wykonywanie metod zdefiniowanych w klasach WMI. Odpowiada stałej uprawnień dostępu WBEM_METHOD_EXECUTE.

zapis pełny

Zezwala na pełny odczyt, zapis i usuwanie dostępu do klas I wystąpień klas WMI, zarówno statycznych, jak i dynamicznych. Odpowiada stałej uprawnień dostępu WBEM_FULL_WRITE_REP.

częściowego zapisu

Zezwala na dostęp do zapisu do statycznych wystąpień klas WMI. Odpowiada stałej uprawnień dostępu WBEM_PARTIAL_WRITE_REP.

zapis dostawcy

Zezwala na dostęp do zapisu do dynamicznych wystąpień klas WMI. Odpowiada stałej uprawnień dostępu WBEM_WRITE_PROVIDER.

Włącz konto

Zezwala na dostęp do odczytu do wystąpień klas WMI. Odpowiada stałej uprawnień dostępu WBEM_ENABLE.

zdalne włączanie

Zezwala na dostęp do przestrzeni nazw przez komputery zdalne. Odpowiada stałej uprawnień dostępu WBEM_REMOTE_ACCESS.

zabezpieczenia odczytu

Zezwala na dostęp tylko do odczytu do ustawień listy DACL. Odpowiada stałej uprawnień dostępu READ_CONTROL.

Edytowanie zabezpieczeń

Zezwala na dostęp do zapisu w ustawieniach listy DACL. Odpowiada stałej uprawnień dostępu WRITE_DAC.

Domyślne uprawnienia w przestrzeniach nazw usługi WMI

Domyślne grupy zabezpieczeń to:

  • Uwierzytelnieni użytkownicy
  • USŁUGA LOKALNA
  • USŁUGA SIECIOWA
  • Administratorzy (na komputerze lokalnym)

Domyślne uprawnienia dostępu dla uwierzytelnionych użytkowników, USŁUGI LOKALNEJ i USŁUGI SIECIOWEJ są następujące:

  • Metody wykonywania
  • Pełny zapis
  • Włącz konto

Konta w grupie Administratorzy mają wszystkie dostępne prawa, w tym edytowanie deskryptorów zabezpieczeń. Jednak ze względu na kontrolę konta użytkownika (UAC) kontrolka WMI lub skrypt musi być uruchomiony z podwyższonym poziomem zabezpieczeń. Aby uzyskać więcej informacji, zobacz Kontrola konta użytkownika i Usługa WMI.

Czasami skrypt lub aplikacja musi włączyć uprawnienia administratora, takie jak SeSecurityPrivilege, aby wykonać operację. Na przykład skrypt może wykonać metodę GetSecurityDescriptor klasy Win32_Printer bez SeSecurityPrivilege i uzyskać informacje o zabezpieczeniach na liście kontroli dostępu dyskrecjonalnych (DACL) obiektu drukarki deskryptor zabezpieczeń. Jednak informacje SACL nie są zwracane do skryptu, chyba że SeSecurityPrivilege uprawnień jest dostępny i włączony dla konta. Jeśli konto nie ma dostępnych uprawnień, nie można go włączyć. Aby uzyskać więcej informacji, zobacz Wykonywanie operacji uprzywilejowanych.

informacje o usłudze WMI