Mantenimiento de la seguridad de WMI
La seguridad de WMI se centra en proteger el acceso a los datos del espacio de nombres. WMI primero concede acceso a grupos de usuarios según lo especificado por el control de WMI y la configuración de DCOM y, a continuación, los proveedores determinan si el usuario debe tener acceso a los datos del espacio de nombres.
En este tema se describen las secciones siguientes:
- Seguridad de espacios de nombres
- Configuración de la seguridad del Modelo de objetos componentes distribuido (DCOM)
- WMI, hosts de servicio compartido y autenticación
- Seguridad para aplicaciones y scripts de cliente de WMI
- Temas relacionados
La seguridad del espacio de nombres depende de los identificadores de seguridad (SID) de usuario estándar de Windows y del descriptor de seguridad del espacio de nombres de WMI.
Puede establecer la seguridad del espacio de nombres realizando las siguientes acciones:
- Conceda o deniegue derechos de acceso a espacios de nombres para los usuarios que usan el control WMI o cuando se cree el espacio de nombres. Para obtener más información, consulte Establecimiento de la seguridad del espacio de nombres con el control de WMI y Establecimiento de la seguridad del espacio de nombres cuando se crea el espacio de nombres.
- Use la pestaña Seguridad del control de WMI para establecer la auditoría de seguridad. La auditoría de seguridad da lugar a entradas de registro de eventos cuando un usuario consigue superar o no una acción auditada, como escribir datos en un objeto de WMI o leer el descriptor de seguridad. Para obtener más información, consulte Acceso a espacios de nombres de WMI.
- Use el archivo MOF que define el espacio de nombres para requerir que un usuario realice una conexión cifrada. Para obtener más información, consulte Exigencia de una conexión cifrada a un espacio de nombres.
La seguridad de DCOM requiere una configuración de autenticación y una configuración de suplantación. La autenticación significa que un proceso se identifica a sí mismo a otro. La suplantación identifica la autoridad que un cliente concede a un servidor para llamar a diferentes procesos. Durante una comprobación de seguridad, el servidor suplanta al cliente. Para obtener más información, consulte Protección de clientes y proveedores de C++ o Protección de clientes de scripting.
Los scripts y las aplicaciones de C, C++ o C# establecen un nivel de autenticación y suplantación cuando se conectan a un espacio de nombres de WMI o usan la configuración predeterminada. Las conexiones a equipos remotos requieren una configuración diferente a los espacios de nombres de WMI en el equipo local. Para obtener más información, consulte Conexión a WMI en un equipo remoto (puede estar en inglés).
WMI reside en un host de servicio compartido con otros servicios que se ejecutan en la cuenta NetworkService. En un proceso de Svchost, WMI comparte la misma autenticación que los demás procesos del host.
Los archivos DLL del proveedor se cargan en procesos de host de servicio independientes de WMI. La propiedad HostingModel de la clase del sistema __Win32Provider que representa un proveedor especifica la cuenta del sistema en la que se ejecuta el proveedor. Establecer esta propiedad hace que el proveedor se cargue en un proceso de hospedaje compartido que tenga un nivel de privilegio especificado. Para obtener más información, consulte Hospedaje y seguridad del proveedor.
Los scripts y las aplicaciones deben establecer la seguridad correcta para conectarse a espacios de nombres de WMI en equipos locales y remotos. Para obtener más información, consulte Protección de clientes y proveedores de C++, Protección de clientes de scripting y Protección de eventos WMI.
En la tabla siguiente se enumeran los temas sobre cómo mantener la seguridad de WMI.
Tema | Descripción |
---|---|
Protección de espacios de nombres de WMI | Puede limitar el acceso a los datos del espacio de nombres a los usuarios autorizados a través del control de WMI. |
Protección del proveedor | Información sobre cómo escribir proveedores seguros. |
Protección de clientes y proveedores de C++ | Tanto los proveedores de C++ como las aplicaciones cliente deben realizar muchas de las mismas operaciones para mantener la seguridad de WMI. |
Protección de clientes de scripting | Los scripts y las aplicaciones de Visual Basic (clientes de automatización) deben establecer la seguridad adecuada para obtener acceso a datos y eventos de WMI. |
Protección de eventos de WMI | El proveedor de eventos entrega los eventos de WMI a un consumidor temporal o permanente. Los eventos se entregan en forma de una instancia de una clase de eventos. |
Cambio de la seguridad de acceso en objetos protegibles | Con los permisos adecuados, puede llamar a métodos en los objetos de WMI que representan objetos protegibles que leen o cambian descriptores de seguridad en objetos protegibles. |