Teilen über


Aufrechterhalten der WMI-Sicherheit

WMI-Sicherheit konzentriert sich auf den Schutz des Zugriffs auf Namespacedaten. WMI gewährt zuerst Zugriff auf Gruppen von Benutzenden, wie in den Einstellungen für WMI Control und DCOM angegeben, und dann bestimmen Anbieter, ob der Benutzende Zugriff auf Namespacedaten haben soll.

In diesem Themenbereich werden die folgenden Abschnitte behandelt:

Namespacesicherheit

Die Namespacesicherheit hängt von den Standardmäßigen Windows-Benutzer-Sicherheitsbezeichnern (SID) und dem Sicherheitsdeskriptor für den WMI-Namespace ab.

Sie können die Namespacesicherheit festlegen, indem Sie die folgenden Aktionen ausführen:

Distributed Component Object Model (DCOM) Sicherheitseinstellungen

DCOM-Sicherheit erfordert eine Authentifizierungseinstellung und eine Identitätswechseleinstellung. Authentifizierung bedeutet, dass sich ein Prozess bei einem anderen identifiziert. Identitätswechsel identifiziert die Autorität, die ein Client einem Server zum Aufrufen verschiedener Prozesse gewährt. Während einer Sicherheitsüberprüfung wechselt der Server zur Identität des Clients. Weitere Informationen finden Sie unter Schützen von C++-Clients und -Anbietern oder Schützen von Skripting-Clients.

Skripts und C/C++/C#-Anwendungen richten entweder eine Authentifizierungs- und Identitätswechselebene ein, wenn sie eine Verbindung mit einem WMI-Namespace herstellen oder sie verwenden die Standardeinstellungen. Verbindungen mit Remotecomputern erfordern andere Einstellungen als die WMI-Namespaces auf dem lokalen Computer. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit WMI auf einem Remotecomputer.

WMI, Shared Service Hosts und Authentifizierung

WMI befindet sich in einem freigegebenen Diensthost mit mehreren anderen Diensten, die unter dem NetworkService-Konto ausgeführt werden. In einem Svchost-Prozess nutzt WMI dieselbe Authentifizierung gemeinsam mit anderen Prozessen auf dem Host.

Anbieter-DLLs werden von WMI in separate Diensthostprozesse geladen. Die Eigenschaft HostingModel in der __Win32Provider-Systemklasse, die einen Anbieter darstellt, gibt das Systemkonto an, unter dem der Anbieter ausgeführt wird. Durch Festlegen dieser Eigenschaft wird der Anbieter in einen freigegebenen Hostprozess geladen, der über eine bestimmte Berechtigungsstufe verfügt. Weitere Informationen finden Sie unter Anbieterhosting und Sicherheit.

Sicherheit für WMI-Clientskripts und -anwendungen

Skripts und Anwendungen müssen die korrekte Sicherheit einrichten, um eine Verbindung mit WMI-Namespaces auf lokalen und Remotecomputern herzustellen. Weitere Informationen finden Sie unter Schützen von C++-Clients und -Anbietern, Schützen von Skripting-Clients und Schützen von WMI-Ereignissen.

In der folgenden Tabelle sind die Themen zur Aufrechterhaltung der WMI-Sicherheit aufgeführt.

Thema BESCHREIBUNG
Schützen von WMI-Namespaces Sie können den Zugriff auf Namespacedaten auf autorisierte Benutzende über das WMI-Steuerelement beschränken.
Schützen Ihres Anbieters Informationen zum Schreiben sicherer Anbieter.
Schützen von C++-Clients und -Anbietern Sowohl C++-Anbieter als auch Clientanwendungen müssen viele gleiche Vorgänge ausführen, um die WMI-Sicherheit zu gewährleisten.
Schützen von Skripting-Clients Skripts und Visual Basic-Anwendungen (Automatisierungsclients) müssen eine geeignete Sicherheit festlegen, um Zugriff auf WMI-Daten und -Ereignisse zu erhalten.
Schützen von WMI-Ereignissen WMI-Ereignisse werden vom Ereignisanbieter an einen temporären oder dauerhaften Consumer übermittelt. Ereignisse werden in Form einer Instanz einer Ereignisklasse übermittelt.
Ändern der Zugriffssicherheit für schutzfähige Objekte Mit den entsprechenden Berechtigungen können Sie Methoden für die WMI-Objekte aufrufen, die schutzfähige Objekte darstellen, die Sicherheitsdeskriptoren für schutzfähige Objekte lesen oder ändern.

 

Verwenden von WMI