Udostępnij za pośrednictwem

Klucze rejestru i wartości kontroli zabezpieczeń dostawcy

  • Artykuł

Aby zwiększyć bezpieczeństwo procesu hosta dostawcy współużytkowania zarządzania Windows (WMI) (wmiprvse.exe), wprowadzono zmiany na platformach Windows, które zabezpieczają proces hosta dostawcy przy użyciu identyfikatora zabezpieczeń usługi (SID). Te zmiany wprowadzają następujące tryby uruchamiania dla hosta udostępnionego usługi WMI: bezpieczne i zgodne.

W tym temacie opisano następujące sekcje:

Tryby zabezpieczania i zgodności

Począwszy od systemu Windows 7 dodano następujące dwa tryby uruchamiania dla współużytkowanego procesu hosta WMI:

tryb bezpieczny

Zasoby procesu hosta dostawcy WMI są zabezpieczone przy użyciu identyfikatora SID usługi . Tylko identyfikator SID usługi ma uprawnienia do tych zasobów.

tryb zgodny

Proces hosta dostawcy udostępnionego WMI nie jest zabezpieczony za pomocą identyfikatora SID usługi . Proces hosta dostawcy umożliwia dostęp do kont NetworkService lub LocalService w zależności od modelu hostingu. Aby uzyskać więcej informacji na temat modeli hostingu, zobacz Provider Hosting and Security.

Windows Vista i Windows Server 2008: Aby uzyskać dostęp do kluczy rejestru i wartości do kontrolowania bezpiecznych i zgodnych trybów procesu hosta dostawcy, należy zainstalować aktualizację zabezpieczeń w KB 959454. Aby uzyskać więcej informacji, zobacz Biuletyn zabezpieczeń firmy Microsoft MS09-012.

Klucze i wartości rejestru

Ustawienia trybu bezpiecznego i zgodnego są określane za pomocą kluczy rejestru. Klucze rejestru dla usługi WMI znajdują się w rejestrze w HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\.

Następujące klucze rejestru i DWORD wartości opisane na poniższej liście zostały dodane do kontrolowania zachowania dostawców WMI.

SecuredHostProviders

Ten klucz steruje zachowaniem poszczególnych dostawców. Wszyscy dostawcy wymienieni w tym kluczu zawsze działają w trybie bezpiecznym. Wszyscy dostawcy skrzynki odbiorczej dostarczane z systemem Windows są wyświetlani w tym kluczu i są domyślnie uruchamiani w trybie bezpiecznym.

Ten klucz ma pierwszeństwo przed dostawcami wymienionymi w kluczu CompatibleHostProviders.

CompatibleHostProviders

Ten klucz steruje zachowaniem poszczególnych dostawców. Wszyscy dostawcy wymienieni w tym kluczu zawsze działają w trybie zgodnym. Ten klucz jest domyślnie pusty.

Jeśli dostawca jest wymieniony zarówno w kluczu SecuredHostProviders, jak i w kluczu CompatibleHostProviders, dostawca jest uruchamiany w trybie bezpiecznym.

Nuta

Klucz CompatibleHostProviders zapewnia zgodność aplikacji dla aplikacji innych firm, jeśli klucz DefaultSecuredHost jest ustawiony na 1, a dostawca nie działa w trybie bezpiecznym.

 

DefaultSecuredHost

Wartość rejestru globalnego DWORD określająca, czy wszyscy dostawcy, którzy nie są wymienieni w SecuredHostProviders lub CompatibleHostProviders klucze, są uruchamiane w trybie bezpiecznym lub zgodnym. Ta wartość DWORD pozwala administratorowi zdecydować, w którym trybie musi działać dostawca innej firmy. Domyślnie ta wartość jest ustawiona na zero, a wszyscy dostawcy innych firm są uruchamiani w trybie zgodnym. Administratorzy mogą domyślnie zwiększyć bezpieczeństwo komputera, ustawiając wartość DefaultSecuredHost na 1.

Nuta

Wartość DefaultSecuredHost nie ma wpływu na inne klucze rejestru. Dostawcy wymienieni w SecuredHostProviders klucz pozostają w trybie bezpiecznym, a te wymienione w CompatibleHostProviders klucz pozostają w trybie zgodnym.

 

Możliwe są następujące ustawienia:

0

Określa, że dostawcy działają w trybie zgodnym.

1

Określa, że dostawcy działają w trybie bezpiecznym.

Poniższa lista zawiera listę możliwych ustawień rejestru i skojarzonych trybów uruchamiania dla dostawcy.

Wymienione w obszarze SecuredHostProviders Wymienione w obszarze CompatibleHostProviders Domyślne ustawienieSecuredHost Tryb
Nie Nie 0 Zgodny
Nie Tak 0 Zgodny
Tak Nie 0 Zabezpieczyć
Tak Tak 0 Zabezpieczyć
Nie Nie 1 Zabezpieczyć
Nie Tak 1 Zgodny
Tak Nie 1 Zabezpieczyć
Tak Tak 1 Zabezpieczyć

 

Konfigurowanie dostawcy do uruchamiania w trybie bezpiecznym lub zgodnym

Klucze rejestru można modyfikować przy użyciu konsoli zarządzania zasadami grupy (GPMC). Aby uzyskać więcej informacji, zobacz konsoli zarządzania zasadami grupy.

Poniższe procedury ilustrują sposób zarządzania ustawieniami trybu bezpiecznego i zgodnego przy użyciu preferencji zasad grupy. Aby uzyskać więcej informacji na temat preferencji zasad grupy, zobacz Preferencje zasad grupy — omówienie.

Aby dodać dostawcę do trybu bezpiecznego lub zgodnego przy użyciu zasad grupy

  1. Otwórz konsolę zarządzania zasadami grupy.

  2. Utwórz obiekt zasad grupy (GPO).

  3. Edytuj obiekt zasad grupy.

  4. Przejdź do obszaru Preferencje/Ustawienia systemu Windows/Rejestr.

  5. Kliknij prawym przyciskiem myszy i wybierz pozycję Nowy... Rejestr. Ta akcja przedstawia interfejs użytkownika, w którym można wprowadzić informacje o rejestrze.

  6. Wybierz polecenie Utwórz.

  7. Wybierz następującą ścieżkę klucza rejestru:

    tryb bezpieczny : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders

    Tryb zgodny : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders

  8. W polu nazwa wprowadź nazwę dostawcy, który chcesz dodać do tego klucza. Nazwa dostawcy musi mieć następujący format: <przestrzeni nazw>:<__RELPATH>. Na przykład root\cimv2:__win32provider.name="MyProvider".

  9. W polu danych wprowadź wartość 0.

  10. Kliknij przycisk OK.

Aby usunąć dostawcę z trybu bezpiecznego lub zgodnego przy użyciu zasad grupy

  1. Otwórz konsolę zarządzania zasadami grupy.

  2. Utwórz obiekt zasad grupy.

  3. Edytuj obiekt zasad grupy.

  4. Przejdź do obszaru Preferencje/Ustawienia systemu Windows/Rejestr.

  5. Kliknij prawym przyciskiem myszy i wybierz pozycję Nowy... Rejestr. Ta akcja przedstawia interfejs użytkownika, w którym można wprowadzić informacje o rejestrze.

  6. Wybierz polecenie usuń .

  7. Wybierz następującą ścieżkę klucza rejestru:

    tryb bezpieczny : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders

    Tryb zgodny : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders

  8. W polu nazwa wprowadź nazwę dostawcy, który chcesz usunąć z tego klucza.

  9. W polu danych wprowadź wartość 0.

  10. Kliknij przycisk OK.

Poniższa procedura zawiera szczegółowe informacje na temat modyfikowania zachowania dostawców, którzy nie są wymienieni w SecuredHostProviders lub CompatibleHostProviders kluczy.

Aby zmienić wartość domyślną klucza DefaultSecuredHost przy użyciu zasad grupy

  1. Otwórz konsolę zarządzania zasadami grupy.
  2. Utwórz obiekt zasad grupy.
  3. Edytuj obiekt zasad grupy.
  4. Przejdź do obszaru Preferencje/Ustawienia systemu Windows/Rejestr.
  5. Kliknij prawym przyciskiem myszy i wybierz pozycję Nowy... Rejestr. Ta akcja przedstawia interfejs użytkownika, w którym można wprowadzić informacje o rejestrze.
  6. Wybierz polecenie Update.
  7. Wybierz następującą ścieżkę klucza rejestru: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM.
  8. W polu nazwa wprowadź DefaultSecuredHost.
  9. W polu danych wprowadź wartość 0 dla trybu zgodnego lub 1 dla trybu bezpiecznego.
  10. Kliknij przycisk OK.