Поделиться через


Доступ к защищаемым объектам WMI

WMI использует стандартные дескрипторы безопасности Windows для управления и защиты доступа к защищаемым объектам, таким как пространства имен WMI, принтеры, службы и приложения DCOM. Дополнительные сведения см. в разделе Access к пространствам имен WMI.

В этом разделе рассматриваются следующие разделы:

Дескрипторы безопасности и идентификаторы SID

WMI поддерживает безопасность доступа, сравнивая маркер доступа пользователя, который пытается получить доступ к защищаемому объекту с дескриптором безопасности объекта.

При создании пользователя или группы в системе учетная запись получает идентификатор безопасности (SID) идентификатор безопасности гарантирует, что учетная запись, созданная с тем же именем, что и ранее удаленная учетная запись, не наследует предыдущие параметры безопасности. Маркер доступа создается путем объединения идентификатора безопасности, списка групп, в которых пользователь является членом, и списка включенных или отключенных привилегий. Эти маркеры назначаются всем процессам и потокам, принадлежащим пользователю.

Управление доступом

Когда пользователь хочет использовать защищенный объект, маркер доступа сравнивается с списком управления доступом (DACL) в дескрипторе безопасности объекта. DACL содержит разрешения, называемые записи управления доступом (ACE). списки системного управления доступом (SACL) делать то же самое, что и списки DAC, но могут создавать события аудита безопасности. Начиная с Windows Vista, WMI может выполнять аудит записей в журнале безопасности Windows. Дополнительные сведения об аудите в WMI см. в разделе Доступ к пространствам имен WMI.

DaCL и SACL состоят из списка aces, описывающих, какие пользователи имеют определенные права доступа, включая запись в репозиторий WMI, удаленный доступ и выполнение, а также разрешения на вход. WMI сохраняет эти списки управления доступом в репозитории WMI.

ACEs содержат три типа уровней доступа или предоставления или запрета прав: разрешить, запретить для DACL и системного аудита (для SACLs). Запретить acEs предшествуют разрешить службы управления доступом в DACL или SACL. При проверке прав доступа пользователей WMI выполняется последовательно через список управления доступом, пока не обнаружит разрешение ACE, которое применяется к запрашиваемой маркеру доступа. Остальные acES не проверяются после этого момента. Если нет соответствующего разрешения ACE, то доступ запрещен. Дополнительные сведения см. в разделе порядок управления правами доступа в DACL и созданииDACL.

Изменение безопасности доступа

С соответствующими разрешениями можно изменить безопасность защищаемого объекта с помощью скрипта или приложения. Вы также можете изменить параметры безопасности в пространствах имен WMI с помощью элемента управления WMI или добавления строки языка определения дескриптора безопасности (SDDL) вфайлеуправляемого формата объектов (MOF), который определяет классы для пространства имен. Дополнительные сведения см. в статье Доступ к пространствам имен WMI, защите пространств имен WMIи изменение безопасности доступа в защищаемых объектах.

дескрипторов безопасности WMI

константы безопасности WMI

управление учетными записями пользователей и WMI

дескрипторов безопасности WMI

Доступ к пространствам имен WMI