Maintenance de la sécurité WMI
La sécurité WMI se concentre sur la protection de l’accès aux données d’espace de noms. WMI accorde d’abord l’accès à des groupes d’utilisateurs comme spécifié par le contrôle WMI et les paramètres DCOM, puis les fournisseurs déterminent si l’utilisateur doit avoir accès aux données d’espace de noms.
Les sections suivantes seront abordées dans cette rubrique :
- sécurité de l'espace de noms
- Paramètres de sécurité du modèle d'objets à composants distribués (DCOM).
- WMI, hôtes de service partagé et authentification
- Sécurité pour les applications et scripts clients WMI
- Rubriques connexes
Sécurité de l'espace de noms
La sécurité de l’espace de noms dépend des identificateurs de sécurité utilisateur (SID) Windows standard et du descripteur de sécurité pour l’espace de noms WMI.
Vous pouvez définir la sécurité de l’espace de noms en effectuant les actions suivantes :
- Accordez ou refusez des droits d’accès aux espaces de noms pour les utilisateurs à l’aide du contrôle WMI ou lors de la création de l’espace de noms. Pour plus d’informations, consultez Définition de la sécurité de l’espace de noms avec le contrôle WMI et Définition de la sécurité de l’espace de noms lors de la création de l’espace de noms.
- Utilisez l’onglet Sécurité du contrôle WMI pour établir l’audit de sécurité. L’audit de sécurité génère des entrées de journal des événements lorsqu’un utilisateur échoue ou réussit une action auditée, telle que l’écriture de données dans un objet WMI ou la lecture du descripteur de sécurité. Pour plus d’informations, consultez Accès aux espaces de noms WMI.
- Utilisez le fichier MOF qui définit l’espace de noms pour demander à un utilisateur d’établir une connexion chiffrée. Pour plus d’informations, consultez Exiger une connexion chiffrée à un espace de noms.
Paramètres de sécurité du modèle d'objets à composants distribués (DCOM).
La sécurité DCOM nécessite un paramètre d’authentification et un paramètre d’emprunt d’identité. L’authentification signifie qu’un processus s’identifie à un autre. L’emprunt d’identité identifie l’autorité qu’un client accorde à un serveur pour appeler différents processus. Pendant une case activée de sécurité, le serveur emprunte l’identité du client. Pour plus d’informations, consultez Sécurisation des clients et fournisseurs C++ ou Sécurisation des clients de script.
Les scripts et les applications C/C++/C# établissent des niveaux d’authentification et d’emprunt d’identité lorsqu’ils se connectent à un espace de noms WMI ou utilisent les paramètres par défaut. Les connexions aux ordinateurs distants nécessitent des paramètres différents de ceux des espaces de noms WMI sur l’ordinateur local. Pour plus d’informations, consultez Connexion à WMI sur un ordinateur distant.
WMI, hôtes de service partagé et authentification
WMI réside dans un hôte de service partagé avec plusieurs autres services exécutés sous le compte NetworkService. Dans un processus Svchost, WMI partage la même authentification que les autres processus de l’hôte.
Les DLL de fournisseur sont chargées dans des processus hôtes de service distincts de WMI. La propriété HostingModel dans la classe système __Win32Provider qui représente un fournisseur spécifie le compte système sous lequel le fournisseur s’exécute. La définition de cette propriété entraîne le chargement du fournisseur dans un processus hôte partagé qui a un niveau de privilège spécifié. Pour plus d’informations, consultez Hébergement et sécurité du fournisseur.
Sécurité pour les applications et scripts clients WMI
Les scripts et les applications doivent établir la sécurité appropriée pour se connecter aux espaces de noms WMI sur les ordinateurs locaux et distants. Pour plus d’informations, consultez Sécurisation des clients et fournisseurs C++, Sécurisation des clients de script et Sécurisation des événements WMI.
Le tableau suivant répertorie les rubriques sur la maintenance de la sécurité WMI.
| Rubrique | Description |
|---|---|
| Sécurisation des espaces de noms WMI | Vous pouvez limiter l’accès aux données d’espace de noms aux utilisateurs autorisés via le contrôle WMI. |
| Sécurisation de votre fournisseur | Informations sur l’écriture de fournisseurs sécurisés. |
| Sécurisation des clients et fournisseurs C++ | Les fournisseurs C++ et les applications clientes doivent effectuer la plupart des mêmes opérations pour maintenir la sécurité WMI. |
| Sécurisation des clients de script | Les scripts et les applications Visual Basic (clients Automation) doivent définir une sécurité appropriée pour accéder aux données et aux événements WMI. |
| Sécurisation des événements WMI | Les événements WMI sont remis par le fournisseur d’événements à un consommateur temporaire ou permanent. Les événements sont remis sous la forme d’un instance d’une classe d’événements. |
| Modification de la sécurité d’accès sur les objets sécurisables | Avec les autorisations appropriées, vous pouvez appeler des méthodes sur les objets WMI qui représentent des objets sécurisables qui lisent ou modifient des descripteurs de sécurité sur des objets sécurisables. |
Rubriques connexes
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour