Festlegen der Sicherheitsstufe für Standardprozesse mit VBScript
Ein Skript kann die Standardeinstellungen für WMI-Authentifizierung und Identitätswechsel verwenden. Das Skript benötigt jedoch möglicherweise eine Verbindung mit höherer Sicherheit oder stellt eventuell eine Verbindung mit einem Namespace her, der eine verschlüsselte Verbindung erfordert. Weitere Informationen finden Sie unter Festlegen von Sicherheitsbeschreibungen für Namepaces und unter Anfordern einer verschlüsselten Verbindung mit einem Namespace.
Im einfachsten Fall kann ein Skript die Standardeinstellungen für WMI-Authentifizierung und Identitätswechsel verwenden. WMI wird normalerweise auf einem Host für gemeinsame Dienste ausgeführt und verwendet dieselbe Authentifizierung wie andere Prozesse auf dem Host. Wenn Sie den WMI-Prozess mit einer anderen Authentifizierungsebene ausführen möchten, führen Sie WMI mit dem Befehl winmgmt mit der Option /standalonehost aus, und legen Sie die Authentifizierungsebene für WMI im Allgemeinen fest. Weitere Informationen finden Sie unter Verwalten der WMI-Sicherheit.
Das folgende Skript verwendet Standardeinstellungen für Identitätswechsel- und Authentifizierungsebenen.
strComputer = "."
Set objServices = GetObject("winmgmts:\\" _
& strComputer & "\root\CIMV2")
set objProcessSet = objServices.ExecQuery _
("SELECT Name FROM Win32_Process",,48)
For Each Process in objProcessSet
WScript.Echo Process.Name
Next
Sie können auch einen Moniker in einem Aufruf von GetObject verwenden und die Standardsicherheitseinstellungen festlegen, wie im folgenden Beispiel dargestellt.
strComputer = "."
Set objServices = GetObject( _
"winmgmts:{impersonationLevel=impersonate," _
& "authenticationLevel=pktPrivacy}!root/cimv2")
set objProcessSet = objServices.ExecQuery _
("SELECT Name FROM Win32_Process",,48)
For Each Process in objProcessSet
WScript.Echo Process.Name
Next
Weitere Informationen zum Festlegen verschiedener Identitätswechsel- oder Authentifizierungsebenen in einem Skript oder zum Festlegen der Standardwerte für einen Computer finden Sie in den folgenden Themen:
- Ändern der Standardanmeldeinformationen für die Authentifizierung mithilfe von VBScript
- Ändern der Standardeinstellungen für den Identitätswechsel mithilfe von VBScript
- Festlegen der Standardidentitätswechselebene mithilfe der Registrierung
- Zugreifen auf das SWbemSecurity-Objekt in VBScript
- SWbemSecurity
Ändern der Standardanmeldeinformationen für die Authentifizierung mithilfe von VBScript
Sie können die Authentifizierungsebene in einem Skript mithilfe einer Monikerzeichenfolge und über die Objekte SWbemLocator und SWbemSecurity ändern.
Die Authentifizierungsebene muss entsprechend den Anforderungen des Zielbetriebssystems festgelegt werden, mit dem Sie eine Verbindung herstellen. Weitere Informationen finden Sie unter Herstellen einer Verbindung zwischen verschiedenen Betriebssystemen.
Das folgende VBScript-Codebeispiel zeigt, wie Sie die Authentifizierungsebene in einem Skript ändern, das die Daten zum verfügbaren Speicherplatz von einem Remotecomputer namens „Server1“ abruft.
strComputer = "Server1"
Set objWMIService = GetObject("winmgmts:{authenticationLevel=Pkt}!\\" _
& strComputer & "\root\cimv2")
Set colDisks = objWMIService.ExecQuery ("Select * from Win32_LogicalDisk")
For each objDisk in colDisks
Wscript.Echo "DeviceID: " & vbTab & objDisk.DeviceID & vbNewLine & _
"FreeSpace: " & vbTab & objDisk.FreeSpace
NextstrComputer = "."
Set objServices = GetObject( "winmgmts:{impersonationLevel=impersonate," _
& "authenticationLevel=pktPrivacy}!root/cimv2")
Set objProcessSet = objServices.ExecQuery("SELECT Name FROM Win32_Process",,48)
For Each Process in objProcessSet
WScript.Echo Process.Name
Next
Next
Verwenden Sie in Skriptmonikerverbindungen mit WMI den kurzen Namen, der in der Spalte „Monikername/Beschreibung“ der folgenden Tabelle aufgeführt ist. Im folgenden Skript wird die Authentifizierungsebene beispielsweise auf WbemAuthenticationLevelPktIntegrity festgelegt.
SetobjWMIService = GetObject( _
"winmgmts:{authenticationLevel=pktPrivacy}!root\cimv2")
In der folgenden Tabelle sind die Authentifizierungsebenen aufgeführt, die festgelegt werden können. Diese Ebenen werden in „Wbemdisp.tlb“ in der Enumeration WbemAuthenticationLevelEnum definiert.
| Name/Wert | BESCHREIBUNG |
|---|---|
| WbemAuthenticationLevelDefault 0 |
Moniker: Default WMI verwendet die Standardeinstellung zur Windows-Authentifizierung. Dies ist die empfohlene Einstellung, die WMI das Aushandeln der Ebene ermöglicht, die für den Server für die Datenrückgabe erforderlich ist. Wenn der Namespace jedoch eine Verschlüsselung erfordert, verwenden Sie WbemAuthenticationLevelPktPrivacy. |
| WbemAuthenticationLevelNone 1 |
Moniker: None Verwendet keine Authentifizierung. |
| WbemAuthenticationLevelConnect 2 |
Moniker: Connect Die Anmeldeinformationen des Clients werden nur dann authentifiziert, wenn der Client eine Beziehung mit dem Server herstellt. |
| WbemAuthenticationLevelCall 3 |
Aufruf Die Authentifizierung erfolgt nur zu Beginn der einzelnen Aufrufe, wenn der Server die Anforderung erhält. |
| WbemAuthenticationLevelPkt 4 |
Moniker: Pkt Es wird authentifiziert, dass alle empfangenen Daten vom erwarteten Client stammen. |
| WbemAuthenticationLevelPktIntegrity 5 |
Moniker: PktIntegrity Es wird authentifiziert und verifiziert, dass die zwischen Client und Server übertragenen Daten nicht verändert wurden. |
| WbemAuthenticationLevelPktPrivacy 6 |
Moniker: PktPrivacy Alle vorherigen Identitätswechselebenen werden authentifiziert, und der Argumentwert der einzelnen Remoteprozeduraufrufe wird verschlüsselt. Verwenden Sie diese Einstellung, wenn für den Namespace, mit dem Sie eine Verbindung herstellen, eine verschlüsselte Verbindung erforderlich ist. |
Um zu ermitteln, ob ein Aufruf erfolgreich war, überprüfen Sie nach dem Ändern der Authentifizierungsebene den Rückgabewert.
Da lokale Verbindungen beispielsweise immer über die Authentifizierungsebene wbemAuthenticationLevelPktPrivacy verfügen, kann im folgenden Beispiel die Authentifizierungsebene nicht festgelegt werden, weil eine Verbindung mit dem lokalen Computer hergestellt wird.
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate," _
& "authenticationLevel=pktPrivacy}!" _
& "\\" & strComputer & "\root\cimv2")
Ein Anbieter kann die Sicherheit für einen Namespace so festlegen, dass nur dann Daten zurückgegeben werden, wenn Sie den Paketdatenschutz (PktPrivacy) in Ihrer Verbindung mit diesem Namespace verwenden. Dadurch wird sichergestellt, dass die Daten auf ihrem Weg durch das Netzwerk verschlüsselt werden. Wenn Sie versuchen, eine niedrigere Authentifizierungsebene festzulegen, erhalten Sie eine Nachricht „Zugriff verweigert“. Weitere Informationen finden Sie unter Schützen von WMI-Namespaces.
Ändern der Standardidentitätswechselebenen mithilfe von VBScript
Wenn Sie die Skript-API für WMI aufrufen, wird empfohlen, die von WMI für die Identitätswechselebene bereitstellten Standardwerte zu verwenden. Remoteaufrufe und einige Anbieter mit mehreren Netzwerkhops erfordern eine höhere Identitätswechselebene, als von WMI verwendet wird. Wenn die Identitätswechselebene nicht ausreicht, kann ein Anbieter eine Anforderung ablehnen oder unvollständige Informationen bereitstellen.
Wenn Sie die Identitätswechselebene weder in einem Moniker noch durch Angabe von SWbemSecurity.ImpersonationLevel für ein zu schützendes Objekt festlegen, stellen Sie die standardmäßige DCOM-Identitätswechselebene für das Betriebssystem ein. Die Identitätswechselebene muss entsprechend den Anforderungen des Zielbetriebssystems festgelegt werden, mit dem Sie eine Verbindung herstellen. Weitere Informationen finden Sie unter Herstellen einer Verbindung zwischen verschiedenen Betriebssystemen.
Das folgende VBScript-Codebeispiel zeigt das Ändern der Identitätswechselebene in dem oben gezeigten Skript.
strComputer = "Server1"
Set objWMIService = GetObject("winmgmts:{impersonationLevel=Impersonate}!\\" _
& strComputer & "\root\cimv2")
Set colDisks = objWMIService.ExecQuery("Select * from Win32_LogicalDisk")
For each objDisk in colDisks
Wscript.Echo "DeviceID: " & vbTab & objDisk.DeviceID & vbNewLine & _
"FreeSpace: " & vbTab & objDisk.FreeSpace
Next
In der folgenden Tabelle sind die Authentifizierungsebenen in WbemImpersonationLevelEnum aufgeführt.
| Name/Wert | BESCHREIBUNG |
|---|---|
| wbemImpersonationLevelAnonymous 1 |
Moniker: Anonymous Verbirgt die Anmeldeinformationen des Aufrufers. Bei Verwendung dieser Identitätswechselebene können Aufrufe von WMI fehlschlagen. |
| wbemImpersonationLevelIdentify 2 |
Moniker: Identify Ermöglicht es Objekten, die Anmeldeinformationen des Aufrufers abzufragen. Bei Verwendung dieser Identitätswechselebene können Aufrufe von WMI fehlschlagen. |
| wbemImpersonationLevelImpersonate 3 |
Moniker: Impersonate Ermöglicht es Objekten, die Anmeldeinformationen des Aufrufers zu verwenden. Dies ist die für Aufrufe der Skript-API für WMI empfohlene Identitätswechselebene. |
| wbemImpersonationLevelDelegate 4 |
Moniker: Delegate Ermöglicht es Objekten, anderen Objekten die Verwendung der Anmeldeinformationen des Aufrufers zu gestatten. Dieser Identitätswechsel funktioniert mit Aufrufen der Skript-API für WMI, stellt jedoch möglicherweise ein unnötiges Sicherheitsrisiko dar. |
Im folgenden Beispiel wird gezeigt, wie der Identitätswechsel in einer Monikerzeichenfolge festgelegt wird, wenn eine bestimmte Instanz von Win32_Process abgerufen wird.
Set object = GetObject("winmgmts:{impersonationLevel=impersonate}!root\cimv2:Win32_Process.Handle='0'")
Weitere Informationen finden Sie unter Erstellen einer WMI-Anwendung oder eines WMI-Skripts.
Festlegen der Standardidentitätswechselebene mithilfe der Registrierung
Wenn Sie Zugriff auf die Registrierung haben, können Sie auch den Registrierungsschlüssel für die Standardidentitätswechselebene festlegen. Dieser Schlüssel gibt an, welche Identitätswechselebene die Skript-API für WMI verwendet, sofern nichts anderes angegeben wird. Der folgende Pfad gibt den Registrierungspfad an.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\Scripting\Default Impersonation Level
Standardmäßig ist der Registrierungsschlüssel auf 3 festgelegt, womit die Identitätswechselebene „Impersonate“ (Identität annehmen) angegeben wird. Einige Anbieter erfordern möglicherweise eine höhere Ebene des Identitätswechsels.
Zugreifen auf das SWbemSecurity-Objekt in VBScript
Die andere Möglichkeit zum Festlegen der Identitätswechselebene ist das SWbemSecurity-Sicherheitsobjekt, das als Eigenschaft Security_ der Objekte SWbemServices, SWbemObject, SWbemObjectSet, SWbemEventSource, SWbemObjectPath und SwbemLocator angezeigt wird.
WMI übergibt die Sicherheitseinstellung eines übergeordneten Objekts an die Nachfolger des ursprünglichen Objekts. Daher können Sie die Identitätswechselebene eines SWbemServices-Objekts festlegen, nachdem Sie sich bei WMI- und API-Aufrufen über dieses Objekt oder daraus erstellte Objekte, z. B. Objekte vom Typ SWbemObject, angemeldet haben.
Zugehörige Themen
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für