Accès aux espaces de noms WMI

  • Article

WMI utilise un descripteur de sécurité Windows standard pour contrôler l’accès aux espaces de noms WMI. Lorsque vous vous connectez à WMI, par le biais du moniker WMI « winmgmts » ou d’un appel à IWbemLocator::ConnectServer ou SWbemLocator.ConnectServer, vous vous connectez à un espace de noms spécifique.

Les informations suivantes sont abordées dans cette rubrique :

Sécurité des espaces de noms WMI

WMI maintient la sécurité de l’espace de noms en comparant le jeton d’accès de l’utilisateur qui se connecte à l’espace de noms avec le descripteur de sécurité de l’espace de noms. Pour plus d’informations sur la sécurité Windows, consultez Accès aux objets sécurisables WMI.

N’oubliez pas que, à compter de Windows Vista, le Contrôle de compte d’utilisateur (UAC) affecte l’accès aux données WMI et à ce qui peut être configuré avec le contrôle WMI. Pour plus d’informations, consultez Autorisations par défaut sur les espaces de noms WMI et le Contrôle de compte d’utilisateur et WMI.

L’accès aux espaces de noms WMI est également affecté lorsque la connexion provient d’un ordinateur distant. Pour plus d’informations, consultez Connexion à WMI sur un ordinateur distant, Sécurisation d’une connexion WMI distante et Connexion via le pare-feu Windows.

Les fournisseurs doivent s’appuyer sur le paramètre d’emprunt d’identité pour la connexion afin de déterminer si l’application ou le script client doit recevoir des données. Pour plus d’informations sur les scripts et les applications clientes, consultez Définition de la sécurité du processus d’application cliente. Pour plus d’informations sur l’emprunt d’identité de fournisseur, consultez Développement d’un fournisseur WMI.

Audit de l’espace de noms WMI

WMI utilise l’espace de noms Listes de contrôle d’accès système (SACL) pour auditer l’activité de l’espace de noms. Pour activer l’audit des espaces de noms WMI, utilisez l’onglet Sécurité du contrôle WMI afin de modifier les paramètres d’audit de l’espace de noms.

L’audit n’est pas activé pendant l’installation du système d’exploitation. Pour activer l’audit, cliquez sur l’onglet Audit dans la fenêtre Sécurité standard. Vous pouvez ensuite ajouter une entrée d’audit.

La stratégie de groupe pour l’ordinateur local doit être définie pour autoriser l’audit. Vous pouvez activer l’audit en exécutant le composant logiciel enfichable MMC Gpedit.msc et en définissant Auditer l’accès aux objets sous Configuration ordinateur>Paramètres Windows>Paramètres de sécurité>Stratégies locales>Stratégie d’audit.

Une entrée d’audit modifie la SACL de l’espace de noms. Lorsque vous ajoutez une entrée d’audit, il s’agit d’un utilisateur, d’un groupe, d’un ordinateur ou d’un principal de sécurité intégré. Après avoir ajouté l’entrée, vous pouvez définir les opérations d’accès qui aboutissent à des événements du journal de sécurité. Par exemple, pour le groupe Utilisateurs authentifiés, vous pouvez cliquer sur Exécuter des méthodes. Ce paramètre génère des événements de journal de sécurité chaque fois qu’un membre du groupe Utilisateurs authentifiés exécute une méthode dans cet espace de noms. L’ID d’événement pour les événements WMI est 4662.

Votre compte doit se trouver dans le groupe Administrateurs et s’exécuter sous des privilèges élevés pour modifier les paramètres d’audit. Le compte Administrateur intégré peut également modifier la sécurité ou l’audit d’un espace de noms. Pour plus d’informations sur l’exécution en mode avec élévation de privilèges, consultez Contrôle de compte d’utilisateur et WMI.

L’audit WMI génère des événements de réussite ou d’échec pour les tentatives d’accès aux espaces de noms WMI. Le service n’audite pas la réussite ou l’échec des opérations du fournisseur. Par exemple, lorsqu’un script se connecte à WMI et à un espace de noms, il peut échouer, car le compte sous lequel le script s’exécute n’a pas accès à l’espace de noms ou peut tenter une opération, telle que la modification du DACL, qui n’est pas accordée.

Si vous exécutez sous un compte dans le groupe Administrateurs, vous pouvez afficher les événements d’audit de l’espace de noms dans l’interface utilisateur observateur d'événements.

Types d’événements d’espace de noms

WMI suit les types d’événements suivants dans le journal des événements de sécurité :

  • Succès de l’audit

    L’opération doit réussir deux étapes pour un audit réussi. Tout d’abord, WMI accorde l’accès à l’application cliente ou au script en fonction du SID client et du DACL de l’espace de noms. Deuxièmement, l’opération demandée correspond aux droits d’accès dans la SACL de l’espace de noms pour cet utilisateur ou groupe.

  • Échec de l'audit

    WMI refuse l’accès à l’espace de noms, mais l’opération demandée correspond aux droits d’accès dans la SACL de l’espace de noms pour cet utilisateur ou groupe.

Paramètres d’accès à l’espace de noms

Vous pouvez afficher les droits d’accès à l’espace de noms pour différents comptes sur le contrôle WMI. Ces constantes sont décrites dans Constantes des droits d’accès à l’espace de noms. Vous pouvez modifier l’accès à un espace de noms WMI à l’aide du contrôle WMI ou par programmation. Pour plus d’informations, consultez Modification de la sécurité d’accès sur les objets sécurisables.

WMI audite les modifications apportées à toutes les autorisations d’accès répertoriées dans la liste suivante, à l’exception de l’autorisation Activer à distance. Les modifications sont enregistrées en tant que réussite ou échec de l’audit correspondant à l’autorisation Modifier la sécurité.

Méthodes d’exécution

Permet à l’utilisateur d’exécuter des méthodes définies sur des classes WMI. Correspond à la constante d’autorisation d’accès WBEM_METHOD_EXECUTE.

Écriture complète

Autorise l’accès complet en lecture, écriture et suppression aux classes WMI et aux instances de classe, à la fois statiques et dynamiques. Correspond à la constante d’autorisation d’accès WBEM_FULL_WRITE_REP.

Écriture partielle

Autorise l’accès en écriture aux instances de classe WMI statiques. Correspond à la constante d’autorisation d’accès WBEM_PARTIAL_WRITE_REP.

Écriture fournisseur

Autorise l’accès en écriture aux instances de classe WMI dynamiques. Correspond à la constante d’autorisation d’accès WBEM_WRITE_PROVIDER.

Activer le compte

Autorise l’accès en lecture aux instances de classe WMI. Correspond à la constante d’autorisation d’accès WBEM_ENABLE.

Appel à distance autorisé

Autorise l’accès à l’espace de noms par les ordinateurs distants. Correspond à la constante d’autorisation d’accès WBEM_REMOTE_ACCESS.

Consulter les données relatives à la sécurité

Autorise l’accès en lecture seule aux paramètres DACL. Correspond à la constante d’autorisation d’accès READ_CONTROL.

Modifier la sécurité

Autorise l’accès en écriture aux paramètres DACL. Correspond à la constante d’autorisation d’accès WRITE_DAC.

Autorisations par défaut sur les espaces de noms WMI

Les groupes de sécurité par défaut sont les suivants :

  • Utilisateurs authentifiés
  • SERVICE LOCAL
  • SERVICE RÉSEAU
  • Administrateurs (sur l’ordinateur local)

Les autorisations d’accès par défaut pour les utilisateurs authentifiés, LE SERVICE LOCAL et le SERVICE RÉSEAU sont les suivantes :

  • Méthodes d’exécution
  • Écriture complète
  • Activer le compte

Les comptes du groupe Administrateurs ont tous les droits à leur disposition, y compris la modification des descripteurs de sécurité. Toutefois, en raison du contrôle de compte d’utilisateur (UAC), le contrôle WMI ou le script doivent s’exécuter avec une sécurité élevée. Pour plus d’informations, consultez Contrôle de compte d’utilisateur et WMI.

Parfois, un script ou une application doit activer un privilège d’administrateur, tel que SeSecurityPrivilege, pour effectuer une opération. Par exemple, un script peut exécuter la méthode GetSecurityDescriptor de la classe Win32_Printer sans SeSecurityPrivilege et obtenir les informations de sécurité dans la liste de contrôle d’accès discrétionnaire (DACL) du descripteur de sécurité de l’objet imprimante. Toutefois, les informations SACL ne sont pas retournées au script, sauf si le privilège SeSecurityPrivilege est disponible et activé pour le compte. Si le compte n’a pas le privilège disponible, il ne peut pas être activé. Pour plus d’informations, consultez Exécution d’opérations privilégiées.

À propos de WMI