Åtkomst till WMI-skyddsbara objekt
WMI förlitar sig på standardsäkerhetsbeskrivningar för Windows för att styra och skydda åtkomst till skyddsbara objekt som WMI-namnområden, skrivare, tjänster och DCOM-program. Mer information finns i Åtkomst till WMI-namnområden.
Följande avsnitt beskrivs i det här avsnittet:
Säkerhetsbeskrivningar och SID:er
WMI upprätthåller åtkomstsäkerhet genom att jämföra åtkomsttoken för användaren som försöker komma åt ett skyddsbart objekt med objektets säkerhetsbeskrivning.
När en användare eller grupp skapas i ett system får kontot en säkerhetsidentifierare (SID) SID säkerställer att ett konto som skapats med samma namn som ett tidigare borttaget konto inte ärver de tidigare säkerhetsinställningarna. En åtkomsttoken skapas genom att kombinera SID, listan över grupper som användaren är medlem i och listan över aktiverade eller inaktiverade privilegier. Dessa token tilldelas till alla processer och trådar som ägs av användaren.
Åtkomstkontroll
När användaren vill använda ett skyddat objekt jämförs åtkomsttoken med diskretionär åtkomstkontrollista (DACL) i säkerhetsbeskrivningen för objektet. DACL innehåller behörigheter som kallas åtkomstkontrollposter (ACE). SACL (System Access Control Lists) göra samma sak som DACLs, men kan generera säkerhetsgranskningshändelser. Från och med Windows Vista kan WMI göra granskningsposter i Windows-säkerhetsloggen. Mer information om granskning i WMI finns i Åtkomst till WMI-namnområden.
Både DACL och SACL består av en lista över ACL:er som beskriver vilka användare som har specifika åtkomsträttigheter, inklusive skrivning till WMI-lagringsplatsen, fjärråtkomst och körning samt inloggningsbehörigheter. WMI lagrar dessa ACL:er på WMI-lagringsplatsen.
ACL:er har tre typer av åtkomstnivåer eller behörigheter för beviljande/nekande: tillåt, neka för DACL och systemgranskning (för SACL:er). Neka ACL:er föregår tillåtna åtkomstkontrollistor i DACL eller SACL. När du kontrollerar användaråtkomsträttigheterna körs WMI i följd via åtkomstkontrollistan tills den hittar ett tillåtet ACE som gäller för den begärande åtkomsttoken. De återstående ACL:erna kontrolleras inte efter den här punkten. Om ingen lämplig tillåten ACE hittas nekas åtkomst. Mer information finns i Order of ACEs in a DACL and Creating a DACL.
Ändra åtkomstsäkerhet
Med lämpliga behörigheter kan du ändra säkerheten för ett skyddsbart objekt med ett skript eller program. Du kan också ändra säkerhetsinställningarna på WMI-namnområden med hjälp av WMI-kontroll eller genom att lägga till en SDDL (Security Descriptor Definition Language) sträng i Managed Object Format (MOF) fil som definierar klasser för namnområdet. Mer information finns i Åtkomst till WMI-namnområden, Skydda WMI-namnområdenoch Ändra åtkomstsäkerhet för skyddsbara objekt.
Relaterade ämnen