Acesso a namespaces WMI
O WMI usa um descritor de segurança padrão do Windows para controlar o acesso a namespaces WMI. Quando você se conecta ao WMI, seja por meio do moniker WMI "winmgmts" ou de uma chamada para IWbemLocator::ConnectServer ou SWbemLocator.ConnectServer, você se conecta a um namespace específico.
As seguintes informações são discutidas neste tópico:
- de segurança de namespace WMI
- de auditoria de namespace WMI
- tipos de eventos de namespace
- Configurações de acesso ao namespace
- permissões padrão em namespaces WMI
- Tópicos relacionados
Segurança de namespace WMI
O WMI mantém a segurança do namespace comparando ado token de acessodo usuário que se conecta ao namespace com odo descritor de segurançado namespace. Para obter mais informações sobre a segurança do Windows, consulte Acesso a objetos protegíveis WMI.
Lembre-se de que, a partir do Windows Vista, Controle de Conta de Usuário (UAC) afeta o acesso aos dados WMI e o que pode ser configurado com oControle WMI. Para obter mais informações, consulte permissões padrão em namespaces WMI e Controle de Conta de Usuário eWMI.
O acesso a namespaces WMI também é afetado quando a conexão é de um computador remoto. Para obter mais informações, consulte Conectando-se ao WMI em um computador remoto, Protegendo uma conexão WMI remotae Conectando-se por meio do Firewall do Windows.
Os provedores devem confiar na configuração de representação da conexão para determinar se o script ou aplicativo cliente deve receber dados. Para obter mais informações sobre scripts e aplicativos cliente, consulte Setting Client Application Process Security. Para obter mais informações sobre provedor representação, consulte Desenvolvendo um provedor WMI.
Auditoria de namespace WMI
O WMI usa o namespace de listas de controle de acesso do sistema (SACL) para auditar a atividade do namespace. Para habilitar a auditoria de namespaces WMI, use a guia de Segurança noControle WMIpara alterar as configurações de auditoria do namespace.
A auditoria não está habilitada durante a instalação do sistema operacional. Para habilitar a auditoria, clique na guia Auditoria na janela de Segurança do padrão. Em seguida, você pode adicionar uma entrada de auditoria.
A Diretiva de Grupo para o computador local deve ser definida para permitir auditoria. Você pode habilitar a auditoria executando o snap-in MMC Gpedit.msc e definindo de Acesso a Objeto de Auditoria em Configuração do Computador>Configurações do Windows>Configurações de Segurança>Diretivas Locais>de Diretiva de Auditoria.
Uma entrada de auditoria edita a SACL do namespace. Quando você adiciona uma entrada de auditoria, ela é um usuário, grupo, computador ou entidade de segurança interna. Depois de adicionar a entrada, você pode definir as operações de acesso que resultam em eventos do Log de Segurança. Por exemplo, para o grupo Usuários Autenticados, você pode clicar em Métodos de Execução. Essa configuração resulta em eventos de Log de Segurança sempre que um membro do grupo Usuários Autenticados executa um método nesse namespace. A ID do evento para eventos WMI é 4662.
Sua conta deve estar no grupo Administradores e em execução com privilégios elevados para alterar as configurações de auditoria. A conta de administrador interna também pode alterar a segurança ou a auditoria de um namespace. Para obter mais informações sobre como executar no modo elevado, consulte Controle de Conta de Usuário e WMI.
A auditoria WMI gera eventos de sucesso ou falha para tentativas de acessar namespaces WMI. O serviço não audita o sucesso ou o fracasso das operações do provedor. Por exemplo, quando um script se conecta ao WMI e a um namespace, ele pode falhar porque a conta sob a qual o script está sendo executado não tem acesso a esse namespace ou pode tentar uma operação, como editar a DACL, que não é concedida.
Se você estiver executando em uma conta no grupo Administradores, poderá exibir os eventos de auditoria de namespace na interface do usuário do do Visualizador de Eventos.
Tipos de eventos de namespace
O WMI rastreia os seguintes tipos de eventos no Log de Eventos de Segurança:
Sucesso da auditoria
A operação deve concluir com êxito duas etapas para um sucesso de auditoria. Primeiro, o WMI concede acesso ao aplicativo cliente ou script com base no SID do cliente e na DACL do namespace. Em segundo lugar, a operação solicitada corresponde aos direitos de acesso na SACL de namespace para esse usuário ou grupo.
Falha na auditoria
O WMI nega acesso ao namespace, mas a operação solicitada corresponde aos direitos de acesso na SACL do namespace para esse usuário ou grupo.
Configurações de acesso ao namespace
Você pode exibir os direitos de acesso de namespace para várias contas no Controle WMI. Essas constantes são descritas em Constantes de Direitos de Acesso de Namespace. Você pode alterar o acesso a um namespace WMI usando o Controle WMI ou programaticamente. Para obter mais informações, consulte Alterando a segurança de acesso em objetos protegíveis.
O WMI audita as alterações em todas as permissões de acesso listadas na lista a seguir, exceto a permissão de Habilitação Remota. As alterações são registradas como êxito ou falha de auditoria correspondente à permissão Editar segurança.
-
Métodos de execução
-
Permite que o usuário execute métodos definidos em classes WMI. Corresponde à constante de permissão de acesso WBEM_METHOD_EXECUTE.
-
Escrita completa
-
Permite acesso completo de leitura, gravação e exclusão a classes WMI e instâncias de classe, estáticas e dinâmicas. Corresponde à constante de permissão de acesso WBEM_FULL_WRITE_REP.
-
Escrita parcial
-
Permite acesso de gravação a instâncias de classe WMI estáticas. Corresponde à constante de permissão de acesso WBEM_PARTIAL_WRITE_REP.
-
Gravação do provedor de
-
Permite acesso de gravação a instâncias dinâmicas de classe WMI. Corresponde à constante de permissão de acesso WBEM_WRITE_PROVIDER.
-
Ativar Conta
-
Permite acesso de leitura a instâncias de classe WMI. Corresponde à constante de permissão de acesso WBEM_ENABLE.
-
Ativação remota
-
Permite o acesso ao namespace por computadores remotos. Corresponde à constante de permissão de acesso WBEM_REMOTE_ACCESS.
-
Segurança Read
-
Permite acesso somente leitura às configurações de DACL. Corresponde à constante de permissão de acesso READ_CONTROL.
-
Editar Segurança
-
Permite acesso de gravação às configurações da DACL. Corresponde à constante de permissão de acesso WRITE_DAC.
Permissões padrão em namespaces WMI
Os grupos de segurança padrão são:
- Usuários autenticados
- SERVIÇO LOCAL
- SERVIÇO DE REDE
- Administradores (no computador local)
As permissões de acesso padrão para Usuários Autenticados, SERVIÇO LOCAL e SERVIÇO DE REDE são:
- Métodos de execução
- Escrita completa
- Ativar conta
As contas no grupo Administradores têm todos os direitos disponíveis, incluindo a edição de descritores de segurança. No entanto, devido ao Controle de Conta de Usuário (UAC), o Controle WMI ou o script deve estar sendo executado com segurança elevada. Para obter mais informações, consulte Controle de Conta de Usuário e WMI.
Às vezes, um script ou aplicativo deve habilitar um privilégio de administrador, como SeSecurityPrivilege, para executar uma operação. Por exemplo, um script pode executar o método GetSecurityDescriptor da classe Win32_Printer sem SeSecurityPrivilege e obter as informações de segurança nolista de controle de acesso discricionário (DACL) do objeto de impressora descritor de segurança. No entanto, as informações da SACL não são retornadas ao script, a menos que o SeSecurityPrivilege privilégio esteja disponível e habilitado para a conta. Se a conta não tiver o privilégio disponível, ela não poderá ser habilitada. Para obter mais informações, consulte Executando operações privilegiadas.
Tópicos relacionados