Поддержание безопасности WMI
Безопасность WMI ориентирована на защиту доступа к данным пространства имен. WMI сначала предоставляет доступ к группам пользователей, как указано в параметрах управления WMI и DCOM, а затем поставщики определяют, должен ли пользователь иметь доступ к данным пространства имен.
В этом разделе рассматриваются следующие разделы:
- безопасность пространства имен
- параметры безопасности распределенной объектной модели компонентов (DCOM).
- WMI, узлы общей службы и аутентификация
- Безопасность для клиентских сценариев и приложений WMI
- Связанные Темы
Безопасность пространства имен
Безопасность пространства имен зависит от стандартных идентификаторов безопасности (SID) пользователя Windowsи дескриптора безопасности для пространства имен WMI.
Безопасность пространства имен можно задать, выполнив следующие действия:
- Предоставление или запрет прав доступа к пространствам имен для пользователей с помощью элемента управления WMI или при создании пространства имен. Дополнительные сведения см. в разделах Настройка безопасности пространства имен с помощью элемента управления WMI и Настройка безопасности пространства имен при создании пространства имен.
- Используйте вкладку "Безопасность управления WMI", чтобы установить аудит безопасности. Аудит безопасности приводит к записям в журнал событий, когда пользователю удается или не удается выполнить действие, например, запись данных в объект WMI или чтение дескриптора безопасности. Дополнительные сведения см. в разделе Доступ к пространствам имен WMI.
- Используйте MOF-файл, определяющий пространство имен, чтобы пользователь мог выполнить зашифрованное подключение. Дополнительные сведения см. в разделе Требование зашифрованного подключения к пространству имен.
Параметры безопасности распределенной объектной модели компонентов (DCOM).
Для безопасности DCOM требуется параметр проверки подлинности и параметр олицетворения. Проверка подлинности означает, что один процесс идентифицирует себя другому. Олицетворение определяет полномочия, которые клиент предоставляет серверу, чтобы выполнять различные процессы. Во время проверки безопасности сервер олицетворяет клиента. Дополнительные сведения см. в статье Защита клиентов и поставщиков C++ или Защита клиентов сценариев.
Скрипты и приложения на C/C++/C# или устанавливают уровни проверки подлинности и олицетворения при подключении к пространству имен WMI, или используют параметры по умолчанию. Для подключений к удаленным компьютерам требуются разные параметры, отличные от пространств имен WMI на локальном компьютере. Дополнительные сведения см. Подключение к WMI на удаленном компьютере.
WMI, общие хосты служб и проверка подлинности
WMI находится на узле общей службы с несколькими другими службами, работающими под учетной записью NetworkService. В процессе Svchost WMI использует ту же проверку подлинности, что и другие процессы в узле.
Библиотеки DLL поставщика загружаются в отдельные служебные процессы узла в отличие от WMI. Свойство HostingModel в системном классе __Win32Provider, представляющем поставщика, указывает системную учетную запись, под которой работает поставщик. Установка этого свойства приводит к загрузке поставщика в общий процесс узла, имеющий указанный уровень привилегий. Дополнительные сведения см. в разделе Размещение и безопасность поставщика.
Безопасность клиентских скриптов и приложений WMI
Скрипты и приложения должны установить правильную безопасность для подключения к пространствам имен WMI на локальных и удаленных компьютерах. Дополнительные сведения см. в разделе "Защита клиентов и поставщиков C++", разделе "Защита клиентов скриптов"и разделе "Защита событий WMI".
В следующей таблице перечислены разделы по поддержанию безопасности WMI.
| Тема | Описание |
|---|---|
| Защита пространств имен WMI | Вы можете ограничить доступ к данным пространства имен авторизованным пользователям с помощью элемента управления WMI. |
| защита вашего поставщика | Сведения о разработке безопасных провайдеров. |
| защита клиентов и поставщиков C++ | Поставщики C++ и клиентские приложения должны выполнять множество одинаковых операций для обеспечения безопасности WMI. |
| Защита клиентов скриптов | Скрипты и приложения Visual Basic (клиенты автоматизации) должны задать соответствующую безопасность, чтобы получить доступ к данным и событиям WMI. |
| защита событий WMI | События WMI доставляются поставщиком событий временному или постоянному потребителю. События доставляются в виде экземпляра класса событий. |
| изменение безопасности доступа в защищаемых объектах | С соответствующими разрешениями можно вызывать методы для объектов WMI, представляющих защищаемые объекты, которые считывают или изменяют дескрипторы безопасности для защищаемых объектов. |
Связанные разделы
-
Использование WMI