Ändern der Zugriffssicherheit für schutzfähige Objekte

Drucker, Dienste, Registrierungsschlüssel, DCOM-Anwendungen und WMI-Namespaces sind sicherungsfähige Objekte. Der Zugriff auf sicherungsfähige Objekte wird durch Sicherheitsbeschreibungen geschützt, die die Benutzer angeben, die Zugriff haben. Ab Windows Vista verfügen viele sicherungsfähige Objekte über Methoden zum Abrufen oder Festlegen der Sicherheitsbeschreibung. Mit den entsprechenden Berechtigungen können Sie Sicherheitsbeschreibungen für sicherungsfähige Objekte lesen oder ändern. Mit diesen Methoden können Sie steuern, welche Benutzerkonten oder Gruppen Zugriff auf einen Drucker, Dienst, WMI-Namespace oder ein anderes Objekt haben. Weitere Informationen zu Sicherheitsbeschreibungen und deren Verwendung in WMI finden Sie unter Zugriff auf WMI-sicherungsfähige Objekte.

In diesem Themenbereich werden die folgenden Abschnitte behandelt:

• Objekte und Sicherheitsbeschreibungsmethoden
• Konvertieren zwischen Sicherheitsbeschreibungsformaten
• Sicherheitsprobleme
• Zugehörige Themen

Objekte und Sicherheitsbeschreibungsmethoden

Die folgende Liste enthält die Methoden, die sicherungsfähige Objekte benötigen, damit Sie die Sicherheitsbeschreibung lesen oder ändern können:

• WMI-Namespaces

  Ein Anbieter kann Sicherheit einrichten, die nur bestimmte Gruppen den Zugriff auf die Daten in einem WMI-Namespace zulässt. Die Namespacesicherheit wird durch Methoden für die Klasse __SystemSecurity gesteuert. Ab Windows Vista geben die Methoden GetSecurityDescriptor und SetSecurityDescriptorObjekte __SecurityDescriptor Objekte zurück und schreiben sie. Weitere Informationen finden Sie unter Festlegen von Namepace-Sicherheitsbeschreibungen.

• Registrierungsschlüssel

  Ab Windows Vista können Sie Registrierungsschlüssel schützen, sodass sie nicht von nicht autorisierten Benutzern geändert werden können. Die Klasse StdRegProv verfügt über die Methoden GetSecurityDescriptor und SetSecurityDescriptor. Diese Methoden geben Objekte Win32_SecurityDescriptor zurück und schreiben sie.

• Drucker

  Ab Windows Vista können Sie den Zugriff auf Instanzen der Klasse Win32_Printer mit den Methoden GetSecurityDescriptor und SetSecurityDescriptor sichern. Diese Methoden geben Objekte Win32_SecurityDescriptor zurück und schreiben sie.

• Dienste

  Ab Windows Vista können Sie den Zugriff auf Instanzen der Klasse Win32_Service mit den Methoden GetSecurityDescriptor und SetSecurityDescriptor sichern. Diese Methoden geben Objekte Win32_SecurityDescriptor zurück und schreiben sie.

• DCOM-Anwendungen

  DCOM-Anwendungsinstanzen verfügen über mehrere Sicherheitsbeschreibungen. Verwenden Sie ab Windows Vista Methoden der Klasse Win32_DCOMApplicationSetting, um die verschiedenen Sicherheitsbeschreibungen abzurufen oder zu ändern. Sicherheitsbeschreibungen werden als Instanzen der Klasse Win32_SecurityDescriptor zurückgegeben.

  Rufen Sie zum Abrufen oder Ändern der Konfigurationsberechtigungen die Methoden GetConfigurationSecurityDescriptor oder SetConfigurationSecurityDescriptor auf.

  Rufen Sie zum Abrufen oder Ändern der Zugriffsberechtigungen die Methoden GetAccessSecurityDescriptor oder SetAccessSecurityDescriptor auf.

  Rufen Sie zum Abrufen oder Ändern der Start- und Aktivierungsberechtigungen die MethodenGetLaunchSecurityDescriptor oder SetLaunchSecurityDescriptor auf.

• Dateien

  Die Methoden GetSecurityDescriptor und SetSecurityDescriptor befinden sich in der Klasse Win32_LogicalFileSecuritySetting und nicht in der Klasse CIM_DataFile.

• Freigaben

  Die Methoden GetSecurityDescriptor und SetSecurityDescriptor befinden sich in der klasse Win32_LogicalShareSecuritySetting und nicht in der klasse Win32_Share.

Hinweis

Wenn keine neue Security Access Control List (SACL) in einem Aufruf einer Methode SetSecurityDescriptor angegeben wird, wird die SACL der Sicherheitsbeschreibung für das sicherungsfähige Zielobjekt auf NULL festgelegt, sodass die vorherige SACL-Einstellung nicht beibehalten wird.

 

Konvertieren zwischen Sicherheitsbeschreibungsformaten

Sicherheitsbeschreibungen sind komplexe binäre Bytearrays, die normalerweise in C++ erstellt und geändert werden müssen. Nachdem Sie eine der Get-Methoden zum Abrufen der Sicherheitsbeschreibung verwendet haben, stellt die Klasse Win32_SecurityDescriptorHelper Methoden bereit, die Sicherheitsbeschreibungen entweder in SDDL (Security Descriptor Definition Language) oder in Win32_SecurityDescriptor-Instanzen konvertieren.

Sie können die Access Control Lists (ACL) einfacher in Instanzen Win32_SecurityDescriptor oder in SDDL bearbeiten. Weitere Informationen zur Struktur und Verwendung von Sicherheitsdeskriptoren in WMI finden Sie unter WMI-Sicherheitsbeschreibungsobjekte.

Verwenden Sie in C++ oder C# Konvertierungsfunktionen, um binäre Sicherheitsdeskriptoren in SDDL (Security Descriptor Definition Language) zu konvertieren. Verwenden Sie zum Ändern von Sicherheitsbeschreibungswerten in C++-Anwendungen ConvertSecurityDescriptorToStringSecurityDescriptor und ConvertStringSecurityDescriptorToSecurityDescriptor.

Sicherheitsprobleme

Es wird empfohlen, Änderungen an Sicherheitsbeschreibungen mit großer Vorsicht durchzuführen, damit die Sicherheit des Objekts nicht gefährdet wird. Beachten Sie, dass sich die Reihenfolge der Zugriffssteuerungseinträge (Access Control Entries, ACEs) in einer DACL (Discretionary Access Control List) auf die Zugriffssicherheit auswirken kann. Weitere Informationen finden Sie unter Reihenfolge von ACEs in einer DACL.

Zugehörige Themen

WMI-Sicherheitsbeschreibungsobjekte

Sicherheitsbeschreibungshilfsklasse

Best Practices for the Security APIs (Bewährte Methoden für die Sicherheits-APIs)

Aufrechterhalten der WMI-Sicherheit

Zugriffssteuerung

Zugriff auf WMI-Namespaces