Compartilhar via

Acesso a objetos protegíveis do WMI

  • Artigo

O WMI depende dos descritores de segurança padrão do Windows para controlar e proteger o acesso a objetos protegíveis, como namespaces WMI, impressoras, serviços e aplicativos DCOM. Para obter mais informações, consulte Access to WMI Namespaces.

Os tópicos a seguir são discutidos nesta seção:

Descritores de segurança e SIDs

O WMI mantém a segurança de acesso comparando o token de acesso do usuário que tenta acessar um objeto protegível com o descritor de segurança do objeto.

Quando um usuário ou grupo é criado em um sistema, a conta recebe um SID (identificador de segurança) o SID garante que uma conta criada com o mesmo nome de uma conta excluída anteriormente não herda as configurações de segurança anteriores. Um token de acesso é criado combinando o SID, a lista de grupos dos quais o usuário é membro e a lista de privilégios habilitados ou desabilitados. Esses tokens são atribuídos a todos os processos e threads pertencentes ao usuário.

Controle de acesso

Quando o usuário deseja usar um objeto protegido, o token de acesso é comparado com o DACL (lista de controle de acesso discricionário) no descritor de segurança no objeto. O DACL contém permissões chamadas entradas de controle de acesso (ACE). SACL (listas de controle de acesso do sistema) fazer a mesma coisa que os DACLs, mas pode gerar eventos de auditoria de segurança. A partir do Windows Vista, o WMI pode fazer entradas de auditoria no Log de Segurança do Windows. Para obter mais informações sobre auditoria no WMI, consulte Access to WMI Namespaces.

Tanto o DACL quanto o SACL consistem em uma lista de ACEs que descrevem quais usuários têm direitos de acesso específicos, incluindo gravação no repositório WMI, acesso remoto e execução e permissões de logon. O WMI armazena essas ACLs no repositório WMI.

As ACEs contêm três tipos de níveis de acesso ou direitos de concessão/negação: permitir, negar para DACL e auditoria do sistema (para SACLs). Negar ACEs precedem permitir ACEs no DACL ou SACL. Ao verificar os direitos de acesso do usuário, o WMI é executado consecutivamente por meio da lista de controle de acesso até encontrar uma ACE de permissão que se aplique ao token de acesso solicitado. As ACEs restantes não são verificadas após este ponto. Se nenhuma ACE de permissão apropriada for encontrada, o acesso será negado. Para obter mais informações, consulte Order of ACEs in a DACL and Creating a DACL.

Alterando a segurança do acesso

Com as permissões apropriadas, você pode alterar a segurança em um objeto protegível com um script ou aplicativo. Você também pode alterar as configurações de segurança em namespaces WMI usando o de controle WMI ou adicionando uma cadeia de caracteres SDDL (Linguagem de Definição de Descritor de Segurança) no arquivo de MOF (formato de objeto gerenciado) que define classes para o namespace. Para obter mais informações, consulte Acesso a namespaces WMI, protegendo namespaces WMIe alterando a segurança de acesso em objetos protegíveis.

objetos descritores de segurança WMI

constantes de segurança WMI

controle de conta de usuário e WMI

objetos descritores de segurança WMI

acesso a namespaces WMI