Clés de Registre et valeurs pour le contrôle de la sécurité du fournisseur
Pour renforcer la sécurité du processus hôte de fournisseur partagé WMI (Windows Management Instrumentation) (wmiprvse.exe), des modifications ont été apportées aux plateformes Windows qui sécurisent le processus hôte du fournisseur avec un identificateur de sécurité de service (SID). Ces modifications introduisent les modes d’exécution suivants pour l’hôte partagé WMI : sécurisé et compatible.
Les sections suivantes sont abordées dans cette rubrique :
- Modes sécurisé et compatible
- Clés de Registre et valeurs
- Configuration d’un fournisseur pour qu’il s’exécute en mode sécurisé ou compatible
Modes sécurisé et compatible
À compter de Windows 7, les deux modes d’exécution suivants pour le processus hôte partagé WMI ont été ajoutés :
-
Mode sécurisé
-
Les ressources de processus hôte du fournisseur WMI sont sécurisées avec un SID de service. Seul le SID de service dispose d’autorisations pour ces ressources.
-
Mode compatible
-
Le processus hôte du fournisseur partagé WMI n’est pas sécurisé avec un SID de service. Le processus hôte du fournisseur permet d’accéder aux comptes NetworkService ou LocalService en fonction du modèle d’hébergement. Pour plus d’informations sur les modèles d’hébergement, consultez Hébergement et sécurité du fournisseur.
Windows Vista et Windows Server 2008 : pour accéder aux clés de Registre et aux valeurs pour contrôler les modes sécurisé et compatible pour le processus hôte du fournisseur, vous devez installer la mise à jour de sécurité dans KB 959454. Pour plus d’informations, consultez le bulletin de sécurité Microsoft MS09-012.
Clés de Registre et valeurs
Les paramètres des modes sécurisé et compatible sont spécifiés via des clés de Registre. Les clés de Registre pour WMI se trouvent dans le Registre sous HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\.
Les clés de Registre et la valeur DWORD suivantes décrites dans la liste suivante ont été ajoutées pour contrôler le comportement des fournisseurs WMI.
-
SecuredHostProviders
-
Cette clé contrôle le comportement des fournisseurs individuels. Tous les fournisseurs répertoriés dans cette clé s’exécutent toujours en mode sécurisé. Tous les fournisseurs de boîte de réception livrés avec Windows sont répertoriés sous cette clé et sont exécutés en mode sécurisé par défaut.
Cette clé est prioritaire sur les fournisseurs répertoriés dans la clé CompatibleHostProviders.
-
CompatibleHostProviders
-
Cette clé contrôle le comportement des fournisseurs individuels. Tous les fournisseurs répertoriés dans cette clé s’exécutent toujours en mode compatible. Cette clé est vide par défaut.
Si un fournisseur est répertorié à la fois dans la clé SecureHostProviders et dans la clé CompatibleHostProviders, le fournisseur est exécuté en mode sécurisé.
Notes
La clé CompatibleHostProviders fournit la compatibilité des applications pour les applications tierces si la clé DefaultSecuredHost a la valeur 1 et si le fournisseur est connu pour ne pas fonctionner en mode sécurisé.
-
DefaultSecuredHost
-
Valeur DWORD du Registre global qui détermine si tous les fournisseurs, qui ne sont pas répertoriés dans les clés SecureHostProviders et CompatibleHostProviders, sont exécutés en mode sécurisé ou compatible. Cette valeur DWORD permet à l’administrateur de décider sous quel mode un fournisseur tiers doit s’exécuter. Par défaut, cette valeur est définie sur zéro et tous les fournisseurs tiers sont exécutés en mode compatible. Les administrateurs peuvent rendre leur ordinateur plus sécurisé par défaut en définissant la valeur de DefaultSecuredHost sur 1.
Notes
La valeur de DefaultSecuredHost n’affecte pas les autres clés de Registre. Les fournisseurs répertoriés dans la clé SecureHostProviders restent en mode sécurisé, et ceux répertoriés dans la clé CompatibleHostProviders restent en mode compatible.
Les paramètres suivants sont possibles :
-
0
-
Spécifie que les fournisseurs s’exécutent en mode compatible.
-
1
-
Spécifie que les fournisseurs s’exécutent en mode sécurisé.
-
La liste suivante répertorie les paramètres de Registre possibles et les modes d’exécution associés pour un fournisseur.
| Répertorié sous SecuredHostProviders | Répertorié sous CompatibleHostProviders | Paramètre DefaultSecuredHost | Mode |
|---|---|---|---|
| Non | Non | 0 | Compatible |
| Non | Oui | 0 | Compatible |
| Oui | Non | 0 | Sécurisé |
| Oui | Oui | 0 | Sécurisé |
| Non | Non | 1 | Sécurisé |
| Non | Oui | 1 | Compatible |
| Oui | Non | 1 | Sécurisé |
| Oui | Oui | 1 | Sécurisé |
Configuration d’un fournisseur pour qu’il s’exécute en mode sécurisé ou compatible
Les clés de Registre peuvent être modifiées à l’aide de la console de gestion des stratégies de groupe (GPMC). Pour plus d’informations, consultez Console de gestion des stratégies de groupe.
Les procédures suivantes illustrent comment gérer les paramètres des modes sécurisé et compatible à l’aide des préférences de stratégie de groupe. Pour plus d’informations sur les préférences de stratégie de groupe, consultez la présentation des préférences de stratégie de groupe.
Pour ajouter un fournisseur au mode sécurisé ou compatible à l’aide d’une stratégie de groupe
Ouvrez la console GPMC.
Créez un objet de stratégie de groupe (GPO).
Modifiez l’objet de stratégie de groupe.
Accédez à Préférences/Paramètres Windows/Registre.
Cliquez avec le bouton droit et sélectionnez Nouveau... Registre. Cette action présente une interface utilisateur dans laquelle vous pouvez entrer des informations de Registre.
Sélectionnez la commande Créer.
Modifiez le chemin de clé de Registre suivant :
Mode sécurisé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders
Mode compatible : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders
Dans le champ nom, entrez le nom du fournisseur que vous souhaitez ajouter à cette clé. Le nom du fournisseur doit être au format suivant : <espace de noms>:<__RELPATH>. Par exemple, root\cimv2:__win32provider.name="MyProvider".
Dans le champ données, entrez 0.
Cliquez sur OK.
Pour supprimer un fournisseur du mode sécurisé ou compatible à l’aide d’une stratégie de groupe
Ouvrez la console GPMC.
Créez un objet de stratégie de groupe.
Modifiez l’objet de stratégie de groupe.
Accédez à Préférences/Paramètres Windows/Registre.
Cliquez avec le bouton droit et sélectionnez Nouveau... Registre. Cette action présente une interface utilisateur dans laquelle vous pouvez entrer des informations de Registre.
Sélectionnez la commande Supprimer.
Modifiez le chemin de clé de Registre suivant :
Mode sécurisé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders
Mode compatible : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders
Dans le champ nom, entrez le nom du fournisseur que vous souhaitez supprimer de cette clé.
Dans le champ données, entrez 0.
Cliquez sur OK.
La procédure suivante fournit des détails sur la façon de modifier le comportement des fournisseurs qui ne sont pas répertoriés dans les clés SecuredHostProviders et CompatibleHostProviders.
Pour modifier la valeur par défaut de la clé DefaultSecuredHost à l’aide d’une stratégie de groupe
- Ouvrez la console GPMC.
- Créez un objet de stratégie de groupe.
- Modifiez l’objet de stratégie de groupe.
- Accédez à Préférences/Paramètres Windows/Registre.
- Cliquez avec le bouton droit et sélectionnez Nouveau... Registre. Cette action présente une interface utilisateur dans laquelle vous pouvez entrer des informations de Registre.
- Sélectionnez la commande Mettre à jour.
- Sélectionnez le chemin de clé de Registre suivant : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM.
- Dans le champ nom, entrez DefaultSecuredHost.
- Dans le champ données, entrez 0 pour le mode compatible ou 1 pour le mode sécurisé.
- Cliquez sur OK.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour