Dela via

Kräva en krypterad anslutning till ett namnområde

  • Artikel

Du kan kräva att klientskript och program upprättar en krypterad anslutning för autentisering genom att lägga till RequiresEncryption kvalificerare till MOF-filen (Managed Object Format) som skapar namnområdet.

En krypterad anslutning till ett WMI-namnområde anger RPC_C_AUTHN_LEVEL_PKT_PRIVACY (eller PktPrivacy- i ett skript) för autentisering. RequiresEncryption-kvalificeraren gör att WMI avvisar inkommande databegäranden om de inte uttryckligen använder krypterad autentisering. Mer information finns i Ange standardprocesssäkerhetsnivå med VBScript- eller ställa in autentisering med C++.

Du kan också ändra ett befintligt namnområde genom att lägga till det här attributet och sedan kompilera MOF-filen igen. RequiresEncryption används i MOF- med pragma namespace preprocessor-instruktionen.

Följande procedur anger att namnområdet kräver en krypterad anslutning.

Ställ in nödvändig kryptering

  1. Skapa en MOF-fil (Managed Object Format) eller ändra din befintliga MOF-fil som definierar namnområdet.

    I följande kodexempel visas namnområdet som kommer att ändras är root\MyNamespace och filen heter MyNamespace_security.mof. RequiresEncryption har en boolesk datatyp så den måste anges till True eller False.

    #pragma namespace("\\\\.\\Root\\MyNamespace") 

[RequiresEncryption(TRUE)] 
instance of __systemSecurity { };

  2. Kör mofcomp.exe för att kompilera MOF-filen.

    c:\mofcomp MyNamespace_security.mof

    I C++ använder du metoderna IMoFCompiler.

WMI avvisar en klient som använder standardautentiseringsnivån eftersom DCOM förhandlar om säkerheten till den nivå som krävs av SVCHOST-processen där WMI-tjänsten körs. Mer information om tjänstvärdar finns i Provider Hosting and Security. Mer information om hur du anger autentiseringsnivåer när du ansluter till WMI-namnområden finns i Ange standardprocesssäkerhetsnivå med C++, ställa in autentisering med C++eller Ange standardprocesssäkerhetsnivå med VBScript-.

När du returnerar data på en asynkron återanropsanslutning returnerar WMI ett meddelande om nekad åtkomst till den begärande datorn. WMI gör också en loggpost i NT-händelseloggen för datorn med det krypterade namnområdet och anger att en säker anslutning inte kan upprättas med klienten.

Från och med Windows Vista finns inte längre filen WbemCore.log. Du kan kontrollera NT-händelseloggen för poster som anger avvisade inkommande databegäranden till namnområden som kräver kryptering.

Ställa in namnrymdssäkerhetsbeskrivningar

WbemAuthenticationLevelEnum

Skydda en WMI-fjärranslutning