Доступ к защищаемым объектам WMI
WMI использует стандартные дескрипторы безопасности Windows для управления и защиты доступа к защищаемым объектам, таким как пространства имен WMI, принтеры, службы и приложения DCOM. Дополнительные сведения см. в разделе Access к пространствам имен WMI.
В этом разделе рассматриваются следующие разделы:
- дескрипторы безопасности и идентификаторы SID
- управления доступом
- изменение безопасности доступа
- связанные разделы
Дескрипторы безопасности и идентификаторы SID
WMI поддерживает безопасность доступа, сравнивая маркер доступа пользователя, который пытается получить доступ к защищаемому объекту с дескриптором безопасности объекта.
При создании пользователя или группы в системе учетная запись получает идентификатор безопасности (SID) идентификатор безопасности гарантирует, что учетная запись, созданная с тем же именем, что и ранее удаленная учетная запись, не наследует предыдущие параметры безопасности. Маркер доступа создается путем объединения идентификатора безопасности, списка групп, в которых пользователь является членом, и списка включенных или отключенных привилегий. Эти маркеры назначаются всем процессам и потокам, принадлежащим пользователю.
Управление доступом
Когда пользователь хочет использовать защищенный объект, маркер доступа сравнивается с списком управления доступом (DACL) в дескрипторе безопасности объекта. DACL содержит разрешения, называемые записи управления доступом (ACE). списки системного управления доступом (SACL) делать то же самое, что и списки DAC, но могут создавать события аудита безопасности. Начиная с Windows Vista, WMI может выполнять аудит записей в журнале безопасности Windows. Дополнительные сведения об аудите в WMI см. в разделе Доступ к пространствам имен WMI.
DaCL и SACL состоят из списка aces, описывающих, какие пользователи имеют определенные права доступа, включая запись в репозиторий WMI, удаленный доступ и выполнение, а также разрешения на вход. WMI сохраняет эти списки управления доступом в репозитории WMI.
ACEs содержат три типа уровней доступа или предоставления или запрета прав: разрешить, запретить для DACL и системного аудита (для SACLs). Запретить acEs предшествуют разрешить службы управления доступом в DACL или SACL. При проверке прав доступа пользователей WMI выполняется последовательно через список управления доступом, пока не обнаружит разрешение ACE, которое применяется к запрашиваемой маркеру доступа. Остальные acES не проверяются после этого момента. Если нет соответствующего разрешения ACE, то доступ запрещен. Дополнительные сведения см. в разделе порядок управления правами доступа в DACL и созданииDACL.
Изменение безопасности доступа
С соответствующими разрешениями можно изменить безопасность защищаемого объекта с помощью скрипта или приложения. Вы также можете изменить параметры безопасности в пространствах имен WMI с помощью элемента управления WMI или добавления строки языка определения дескриптора безопасности (SDDL) вфайлеуправляемого формата объектов (MOF), который определяет классы для пространства имен. Дополнительные сведения см. в статье Доступ к пространствам имен WMI, защите пространств имен WMIи изменение безопасности доступа в защищаемых объектах.
Связанные разделы