Akses ke Objek Yang Dapat Diamankan WMI
WMI mengandalkan deskriptor keamanan Windows standar untuk mengontrol dan melindungi akses ke objek yang dapat diamankan seperti namespace WMI, printer, layanan, dan aplikasi DCOM. Untuk informasi selengkapnya, lihat Akses ke Namespace WMI.
Topik berikut dibahas di bagian ini:
Deskriptor dan SID Keamanan
WMI mempertahankan keamanan akses dengan membandingkan token akses pengguna yang mencoba mengakses objek yang dapat diamankan dengan pendeskripsi keamanan objek.
Saat pengguna atau grup dibuat pada sistem, akun diberi pengidentifikasi keamanan (SID) SID memastikan bahwa akun yang dibuat dengan nama yang sama dengan akun yang dihapus sebelumnya tidak mewarisi pengaturan keamanan sebelumnya. Token akses dibuat dengan menggabungkan SID, daftar grup di mana pengguna adalah anggota, dan daftar hak istimewa yang diaktifkan atau dinonaktifkan. Token ini ditetapkan ke semua proses dan utas yang dimiliki oleh pengguna.
Access Control
Ketika pengguna ingin menggunakan objek aman, token akses dibandingkan dengan daftar kontrol akses diskresi (DACL) dalam pendeskripsi keamanan pada objek. DACL berisi izin yang disebut entri kontrol akses (ACE). Daftar kontrol akses sistem (SACL) melakukan hal yang sama seperti DACL, tetapi dapat menghasilkan peristiwa audit keamanan. Dimulai dengan Windows Vista, WMI dapat membuat entri audit di log Keamanan Windows. Untuk informasi selengkapnya tentang audit di WMI, lihat Akses ke Namespace WMI.
BAIK DACL maupun SACL terdiri dari daftar ACE yang menjelaskan pengguna mana yang memiliki hak akses khusus, termasuk menulis ke repositori WMI, akses dan eksekusi jarak jauh, dan izin masuk. WMI menyimpan ACL ini di repositori WMI.
ACE memiliki tiga jenis tingkat akses atau hak pemberian/penolakan: izinkan, tolak untuk DACL, dan audit sistem (untuk SACL). Tolak ACE sebelum memungkinkan ACE di DACL atau SACL. Saat memeriksa hak akses pengguna, WMI berjalan berturut-turut melalui daftar kontrol akses hingga menemukan ACE yang diizinkan yang berlaku untuk token akses yang meminta. ACE yang tersisa tidak diperiksa setelah titik ini. Jika tidak ada izin yang sesuai, ACE ditemukan, maka akses ditolak. Untuk informasi selengkapnya, lihat Urutan ACE di DACL dan Membuat DACL.
Mengubah Keamanan Akses
Dengan izin yang sesuai, Anda dapat mengubah keamanan pada objek yang dapat diamankan dengan skrip atau aplikasi. Anda juga dapat mengubah pengaturan keamanan pada namespace WMI menggunakan Kontrol WMI atau dengan menambahkan string Security Descriptor Definition Language (SDDL) dalam file Managed Object Format (MOF) yang menentukan kelas untuk namespace layanan. Untuk informasi selengkapnya, lihat Akses ke Namespace WMI, Mengamankan Namespace WMI, dan Mengubah Keamanan Akses pada Objek yang Dapat Diamankan.
Topik terkait