Chaves e valores do Registro para controlar a segurança do provedor
Para aumentar a segurança do processo de host do provedor compartilhado WMI (Instrumentação de Gerenciamento do Windows) (wmiprvse.exe), foram feitas alterações nas plataformas Windows que protegem o processo de host do provedor com um identificador de segurança de serviço (SID) . Essas alterações introduzem os seguintes modos de execução para o host compartilhado WMI: seguro e compatível.
As seguintes seções são abordadas neste tópico:
- Modos Seguro e Compatível
- chaves e valores do Registro
- Configurando um provedor para ser executado no modo seguro ou compatível
Modos Seguros e Compatíveis
A partir do Windows 7, os dois modos de execução a seguir para o processo de host compartilhado WMI foram adicionados:
-
Modo seguro
-
Os recursos do processo de host do provedor WMI são protegidos com um SID de serviço . Somente o SID do serviço tem permissões para esses recursos.
-
Modo compatível
-
O processo de host do provedor compartilhado WMI não é protegido com um SID de serviço . O processo de host do provedor permite o acesso às contas NetworkService ou LocalService, dependendo do modelo de hospedagem. Para obter mais informações sobre modelos de hospedagem, consulte Provider Hosting and Security.
Windows Vista e Windows Server 2008: Para acessar as chaves e os valores do Registro para controlar os modos seguros e compatíveis para o processo de host do provedor, você deve instalar a atualização de segurança em KB 959454. Para obter mais informações, consulte o Microsoft Security Bulletin MS09-012.
Chaves e valores do Registro
As configurações de modo seguro e compatível são especificadas através de chaves do Registro. As chaves do Registro para WMI estão localizadas no registro em HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\.
As seguintes chaves do Registro e valor de DWORD descritos na lista a seguir foram adicionados para controlar o comportamento dos provedores WMI.
-
SecuredHostProviders
-
Essa chave controla o comportamento de provedores individuais. Todos os provedores listados nessa chave sempre são executados no modo seguro. Todos os provedores de caixa de entrada fornecidos com o Windows são listados sob essa chave e são executados no modo seguro por padrão.
Essa chave tem precedência sobre os provedores listados na chave de CompatibleHostProviders.
-
CompatibleHostProviders
-
Essa chave controla o comportamento de provedores individuais. Todos os provedores listados nessa chave sempre são executados no modo compatível. Essa chave está vazia por padrão.
Se um provedor estiver listado na chave de SecuredHostProviders e na chave CompatibleHostProviders, o provedor será executado no modo seguro.
Observação
A chave CompatibleHostProviders fornece compatibilidade de aplicativos para aplicativos de terceiros se a chave DefaultSecuredHost estiver definida como 1 e o provedor for conhecido por não funcionar no modo seguro.
-
DefaultSecuredHost
-
Um registro global valor de DWORD que determina se todos os provedores, que não estão listados no SecuredHostProviders ou chaves de CompatibleHostProviders, são executados no modo seguro ou compatível. Esse valor DWORD permite que o administrador decida em qual modo um provedor de terceiros deve ser executado. Por padrão, esse valor é definido como zero e todos os provedores de terceiros são executados no modo compatível. Os administradores podem tornar o computador mais seguro por padrão definindo o valor DefaultSecuredHost como 1.
Observação
O valor de DefaultSecuredHost não afeta as outras chaves do Registro. Os provedores listados na chave SecuredHostProviders permanecem no modo seguro e os listados na chave CompatibleHostProviders permanecem no modo compatível.
As seguintes configurações são possíveis:
-
0
-
Especifica que os provedores são executados no modo compatível.
-
1
-
Especifica que os provedores são executados no modo seguro.
-
A lista a seguir lista as possíveis configurações do Registro e os modos de execução associados para um provedor.
| Listado em SecuredHostProviders | Listado em CompatibleHostProviders | Configuração DefaultSecuredHost | Modo |
|---|---|---|---|
| Não | Não | 0 | Compatível |
| Não | Sim | 0 | Compatível |
| Sim | Não | 0 | Seguro |
| Sim | Sim | 0 | Seguro |
| Não | Não | 1 | Seguro |
| Não | Sim | 1 | Compatível |
| Sim | Não | 1 | Seguro |
| Sim | Sim | 1 | Seguro |
Configurando um provedor para ser executado no modo seguro ou compatível
As chaves do Registro podem ser modificadas usando o GPMC (Console de Gerenciamento de Diretiva de Grupo). Para obter mais informações, consulte Console de Gerenciamento de Diretiva de Grupo.
Os procedimentos a seguir ilustram como gerenciar configurações de modo seguro e compatível usando preferências de política de grupo. Para obter mais informações sobre preferências de política de grupo, consulte a Visão geral das preferências de política de grupo.
Para adicionar um provedor ao modo seguro ou compatível usando a Diretiva de Grupo
Abra o GPMC.
Crie um GPO (Objeto de Diretiva de Grupo).
Edite o GPO.
Navegue até Preferências/Configurações do Windows/Registro.
Clique com o botão direito do rato e selecione Novo... Registo. Esta ação apresenta uma interface de usuário onde você pode inserir informações do registro.
Selecione o comando Criar.
Selecione o seguinte caminho de chave do Registro:
Modo Seguro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders
Modo compatível: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders
No campo nome, introduza o nome do fornecedor que pretende adicionar a esta chave. O nome do provedor deve estar no seguinte formato: <namespace>:<__RELPATH>. Por exemplo, root\cimv2:__win32provider.name="MyProvider".
No campo de dados, digite 0.
Clique em OK.
Para remover um provedor do modo seguro ou compatível usando a Diretiva de Grupo
Abra o GPMC.
Crie um GPO.
Edite o GPO.
Navegue até Preferências/Configurações do Windows/Registro.
Clique com o botão direito do rato e selecione Novo... Registo. Esta ação apresenta uma interface de usuário onde você pode inserir informações do registro.
Selecione o comando Remover.
Selecione o seguinte caminho de chave do Registro:
Modo Seguro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders
Modo compatível: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders
No campo nome, introduza o nome do fornecedor que pretende remover desta chave.
No campo de dados, digite 0.
Clique em OK.
O procedimento a seguir fornece detalhes sobre como modificar o comportamento de provedores que não estão listados no SecuredHostProviders ou chaves de CompatibleHostProviders.
Para alterar o valor padrão da chave DefaultSecuredHost usando a Diretiva de Grupo
- Abra o GPMC.
- Crie um GPO.
- Edite o GPO.
- Navegue até Preferências/Configurações do Windows/Registro.
- Clique com o botão direito do rato e selecione Novo... Registo. Esta ação apresenta uma interface de usuário onde você pode inserir informações do registro.
- Selecione o comando Update.
- Selecione o seguinte caminho da chave do Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM.
- No campo nome, digite DefaultSecuredHost.
- No campo de dados, digite 0 para o modo compatível ou 1 para o modo seguro.
- Clique em OK.