Claves del Registro y valores para controlar la seguridad del proveedor
Para mejorar la seguridad del proceso de host del proveedor compartido de Instrumental de administración de Windows (WMI) (wmiprvse.exe), se realizaron cambios en las plataformas Windows que protegen el proceso de host del proveedor con un identificador de seguridad de servicio (SID). Estos cambios presentan los siguientes modos de ejecución para el host compartido de WMI: seguro y compatible.
En las secciones siguientes se trata este tema:
- Modos Seguro y Compatible
- Claves del Registro y valores
- Configuración de un proveedor para que se ejecute en modo seguro o modo compatible
Modo Seguro y modo Compatible
A partir de Windows 7, se agregaron los dos modos de ejecución siguientes para el proceso de host compartido de WMI:
-
Modo seguro
-
Los recursos de proceso del host del proveedor de WMI se protegen con un SID de servicio. Solo el SID de servicio tiene permisos para estos recursos.
-
Modo Compatible
-
El proceso de host del proveedor compartido de WMI no está protegido con un SID de servicio. El proceso de host del proveedor permite el acceso a las cuentas NetworkService o LocalService en función del modelo de hospedaje. Para más información sobre los modelos de hospedaje, consulte Hospedaje y seguridad del proveedor.
Windows Vista y Windows Server 2008: para acceder a las claves y valores del Registro para controlar los modos seguros y compatibles para el proceso de host del proveedor, debe instalar la actualización de seguridad de KB 959454. Para más información, consulte el boletín de seguridad de Microsoft MS09-012.
Claves del Registro y valores
La configuración del modo seguro y el modo compatible se especifica mediante claves del Registro. Las claves del Registro para WMI se encuentran en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\.
Se agregaron las siguientes claves del Registro y el valor DWORD descritos en la lista siguiente para controlar el comportamiento de los proveedores de WMI.
-
SecuredHostProviders
-
Esta clave controla el comportamiento de los proveedores individuales. Todos los proveedores que aparecen en esta clave siempre se ejecutan en modo seguro. Todos los proveedores de bandejas de entrada que se incluyen con Windows aparecen en esta clave y se ejecutan en modo seguro de forma predeterminada.
Esta clave tiene prioridad sobre los proveedores que aparecen en la clave CompatibleHostProviders.
-
CompatibleHostProviders
-
Esta clave controla el comportamiento de los proveedores individuales. Todos los proveedores que aparecen en esta clave siempre se ejecutan en modo compatible. Esta clave está vacía de forma predeterminada.
Si un proveedor aparece en la clave SecuredHostProviders y en la clave CompatibleHostProviders, el proveedor se ejecuta en modo seguro.
Nota
La clave CompatibleHostProviders proporciona compatibilidad de aplicaciones para aplicaciones de terceros si la clave DefaultSecuredHost está establecida en 1 y se sabe que el proveedor no funciona en modo seguro.
-
DefaultSecuredHost
-
Valor DWORD del registro global que determina si todos los proveedores que no aparecen en las claves SecuredHostProviders o CompatibleHostProviders, se ejecutan en el modo seguro o en modo compatible. Este valor DWORD permite al administrador decidir en qué modo se debe ejecutar un proveedor de terceros. De forma predeterminada, este valor se establece en cero y todos los proveedores de terceros se ejecutan en modo compatible. Los administradores pueden hacer que su equipo sea más seguro de forma predeterminada estableciendo el valor DefaultSecuredHost en 1.
Nota
El valor DefaultSecuredHost no afecta a las demás claves del registro. Los proveedores que aparecen en la clave SecuredHostProviders permanecen en modo seguro y los que aparecen en la clave CompatibleHostProviders permanecen en modo compatible.
Son posibles las siguientes configuraciones:
-
0
-
Especifica que los proveedores se ejecutan en modo compatible.
-
1
-
Especifica que los proveedores se ejecutan en modo seguro.
-
En la lista siguiente se enumeran las posibles opciones de configuración del Registro y los modos de ejecución asociados de un proveedor.
Enumerado en SecuredHostProviders | Enumerado en CompatibleHostProviders | Configuración de DefaultSecuredHost | Modo |
---|---|---|---|
No | No | 0 | Compatible |
No | Sí | 0 | Compatible |
Sí | No | 0 | Seguridad |
Sí | Sí | 0 | Seguridad |
No | No | 1 | Seguridad |
No | Sí | 1 | Compatible |
Sí | No | 1 | Seguridad |
Sí | Sí | 1 | Seguridad |
Configuración de un proveedor para que se ejecute en modo seguro o modo compatible
Las claves del Registro se pueden modificar mediante la Consola de administración de directivas de grupo (GPMC). Para más información, consulte Consola de administración de directivas de grupo.
Los procedimientos siguientes muestran cómo administrar la configuración de los modos seguro y compatible mediante las preferencias de la directiva de grupo. Para más información sobre las preferencias de directiva de grupo, consulte la información general sobre preferencias de directiva de grupo.
Para agregar un proveedor al modo seguro o al modo compatible mediante directiva de grupo
Abra GPMC.
Cree un objeto de directiva de grupo (GPO).
Edite el GPO.
Vaya a Preferencias/Configuración de Windows/Registro.
Haga clic con el botón derecho y seleccione Nuevo... Registro. Esta acción presenta una interfaz de usuario en la que puede escribir información del Registro.
Seleccione el comando Crear.
Seleccione la siguiente ruta de acceso a la clave del Registro:
Modo seguro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders
Modo compatible: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders
En el campo nombre, escriba el nombre del proveedor que desea agregar a esta clave. El nombre del proveedor debe tener el siguiente formato: <espacio de nombres>:<__RELPATH>. Por ejemplo, root\cimv2:__win32provider.name="MyProvider".
En el campo de datos, escriba 0.
Haga clic en Aceptar.
Para eliminar un proveedor del modo seguro o del modo compatible mediante directiva de grupo
Abra GPMC.
Cree un GPO.
Edite el GPO.
Vaya a Preferencias/Configuración de Windows/Registro.
Haga clic con el botón derecho y seleccione Nuevo... Registro. Esta acción presenta una interfaz de usuario en la que puede escribir información del Registro.
Seleccione el comando Quitar.
Seleccione la siguiente ruta de acceso a la clave del Registro:
Modo seguro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders
Modo compatible: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders
En el campo nombre, escriba el nombre del proveedor que desea eliminar de esta clave.
En el campo de datos, escriba 0.
Haga clic en Aceptar.
En el procedimiento siguiente se proporcionan detalles sobre cómo modificar el comportamiento de los proveedores que no aparecen en las claves SecuredHostProviders ni CompatibleHostProviders.
Para cambiar el valor predeterminado de la clave DefaultSecuredHost mediante directiva de grupo
- Abra GPMC.
- Cree un GPO.
- Edite el GPO.
- Vaya a Preferencias/Configuración de Windows/Registro.
- Haga clic con el botón derecho y seleccione Nuevo... Registro. Esta acción presenta una interfaz de usuario en la que puede escribir información del Registro.
- Seleccione el comando Actualizar.
- Seleccione la siguiente ruta de acceso de la clave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM.
- En el campo nombre, escriba DefaultSecuredHost.
- En el campo de datos, escriba 0 para el modo compatible o 1 para el modo seguro.
- Haga clic en Aceptar.