Chiavi e valori del Registro di sistema per il controllo della sicurezza del provider
Per migliorare la sicurezza del processo host del provider condiviso wmi (WMI) di Strumentazione gestione Windows (wmiprvse.exe), sono state apportate modifiche alle piattaforme Windows che proteggono il processo host del provider con un SID (Service Security Identifier). Queste modifiche introducono le modalità di esecuzione seguenti per l'host condiviso WMI: sicuro e compatibile.
Le sezioni seguenti sono descritte in questo argomento:
- Modalità sicure e compatibili
- Chiavi e valori del Registro di sistema
- Configurazione di un provider per l'esecuzione in modalità protetta o compatibile
Modalità sicure e compatibili
A partire da Windows 7 sono state aggiunte le due modalità in esecuzione seguenti per il processo host condiviso WMI:
-
Modalità protetta
-
Le risorse del processo host del provider WMI sono protette con un SID del servizio. Solo il SID del servizio dispone delle autorizzazioni per queste risorse.
-
Modalità compatibile
-
Il processo host del provider condiviso WMI non è protetto con un SID del servizio. Il processo host del provider consente l'accesso agli account NetworkService o LocalService a seconda del modello di hosting. Per altre informazioni sull'hosting dei modelli, vedere Hosting e sicurezza del provider.
Windows Vista e Windows Server 2008: per accedere alle chiavi e ai valori del Registro di sistema per controllare le modalità sicure e compatibili per il processo host del provider, è necessario installare l'aggiornamento della sicurezza in KB 959454. Per altre informazioni, vedere il Microsoft Security Bulletin MS09-012.
Chiavi e valori del Registro di sistema
Le impostazioni della modalità sicura e compatibile vengono specificate tramite le chiavi del Registro di sistema. Le chiavi del Registro di sistema per WMI si trovano nel Registro di sistema in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\.
Sono state aggiunte le chiavi del Registro di sistema e il valore DWORD seguenti nell'elenco seguente per controllare il comportamento dei provider WMI.
-
SecuredHostProviders
-
Questa chiave controlla il comportamento dei singoli provider. Tutti i provider elencati in questa chiave vengono sempre eseguiti in modalità protetta. Tutti i provider di posta in arrivo forniti con Windows sono elencati in questa chiave e vengono eseguiti in modalità protetta per impostazione predefinita.
Questa chiave ha la precedenza sui provider elencati nella chiave CompatibleHostProviders .
-
CompatibleHostProviders
-
Questa chiave controlla il comportamento dei singoli provider. Tutti i provider elencati in questa chiave vengono sempre eseguiti in modalità compatibile. Questa chiave è vuota per impostazione predefinita.
Se un provider è elencato sia nella chiave SecuredHostProviders che nella chiave CompatibleHostProviders , il provider viene eseguito in modalità protetta.
Nota
La chiave CompatibleHostProviders fornisce la compatibilità delle applicazioni per le applicazioni di terze parti se la chiave DefaultSecuredHost è impostata su 1 e il provider non funziona in modalità protetta.
-
DefaultSecuredHost
-
Valore DWORD del Registro di sistema globale che determina se tutti i provider, che non sono elencati nelle chiavi SecuredHostProviders o CompatibleHostProviders, vengono eseguiti nella modalità protetta o compatibile. Questo valore DWORD consente all'amministratore di decidere in quale modalità deve essere eseguito un provider di terze parti. Per impostazione predefinita, questo valore è impostato su zero e tutti i provider di terze parti vengono eseguiti in modalità compatibile. Amministrazione istrator può rendere il computer più sicuro per impostazione predefinita impostando Valore DefaultSecuredHost su 1.
Nota
Il valore DefaultSecuredHost non influisce sulle altre chiavi del Registro di sistema. I provider elencati nella chiave SecuredHostProviders rimangono in modalità protetta e quelli elencati nella chiave CompatibleHostProviders rimangono in modalità compatibile.
Sono possibili le impostazioni seguenti:
-
0
-
Specifica che i provider vengono eseguiti in modalità compatibile.
-
1
-
Specifica che i provider vengono eseguiti in modalità protetta.
-
Nell'elenco seguente sono elencate le possibili impostazioni del Registro di sistema e le modalità di esecuzione associate per un provider.
| Elencato in SecuredHostProviders | Elencato in CompatibleHostProviders | Impostazione DefaultSecuredHost | Modalità |
|---|---|---|---|
| No | No | 0 | Compatibile |
| No | Sì | 0 | Compatibile |
| Sì | No | 0 | Protezione |
| Sì | Sì | 0 | Protezione |
| No | No | 1 | Protezione |
| No | Sì | 1 | Compatibile |
| Sì | No | 1 | Protezione |
| Sì | Sì | 1 | Protezione |
Configurazione di un provider per l'esecuzione in modalità protetta o compatibile
Le chiavi del Registro di sistema possono essere modificate tramite Console Gestione Criteri di gruppo. Per altre informazioni, vedere Console Gestione Criteri di gruppo.
Le procedure seguenti illustrano come gestire le impostazioni della modalità sicura e compatibile usando le preferenze di Criteri di gruppo. Per altre informazioni sulle preferenze di Criteri di gruppo, vedere Panoramica delle preferenze di Criteri di gruppo.
Per aggiungere un provider alla modalità protetta o compatibile tramite Criteri di gruppo
Aprire Console Gestione Criteri di gruppo (GPMC).
Creare un oggetto Criteri di gruppo.
Modificare l'oggetto Criteri di gruppo.
Passare a Preferenze/Windows Impostazioni/Registro di sistema.
Fare clic con il pulsante destro del mouse e scegliere Nuovo... Registro di sistema. Questa azione presenta un'interfaccia utente in cui è possibile immettere le informazioni del Registro di sistema.
Selezionare il comando Crea .
Selezionare il percorso della chiave del Registro di sistema seguente:
Modalità protetta: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders
Modalità compatibile: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders
Nel campo nome immettere il nome del provider da aggiungere a questa chiave. Il nome del provider deve essere nel formato seguente: <namespace>:<__RELPATH>. Ad esempio, root\cimv2:__win32provider.name="MyProvider".
Nel campo dati immettere 0.
Fare clic su OK.
Per rimuovere un provider dalla modalità protetta o compatibile tramite Criteri di gruppo
Aprire Console Gestione Criteri di gruppo (GPMC).
Creare un oggetto Criteri di gruppo.
Modificare l'oggetto Criteri di gruppo.
Passare a Preferenze/Windows Impostazioni/Registro di sistema.
Fare clic con il pulsante destro del mouse e scegliere Nuovo... Registro di sistema. Questa azione presenta un'interfaccia utente in cui è possibile immettere le informazioni del Registro di sistema.
Selezionare il comando Rimuovi.
Selezionare il percorso della chiave del Registro di sistema seguente:
Modalità protetta: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders
Modalità compatibile: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders
Nel campo nome immettere il nome del provider da rimuovere da questa chiave.
Nel campo dati immettere 0.
Fare clic su OK.
La procedura seguente fornisce informazioni dettagliate su come modificare il comportamento dei provider non elencati nelle chiavi SecuredHostProviders o CompatibleHostProviders .
Per modificare il valore predefinito della chiave DefaultSecuredHost usando Criteri di gruppo
- Aprire Console Gestione Criteri di gruppo (GPMC).
- Creare un oggetto Criteri di gruppo.
- Modificare l'oggetto Criteri di gruppo.
- Passare a Preferenze/Windows Impostazioni/Registro di sistema.
- Fare clic con il pulsante destro del mouse e scegliere Nuovo... Registro di sistema. Questa azione presenta un'interfaccia utente in cui è possibile immettere le informazioni del Registro di sistema.
- Selezionare il comando Aggiorna .
- Selezionare il percorso della chiave del Registro di sistema seguente: HKEY_LOCAL_MACHINE\SOFTWARE Microsoft\\WBEM\CIMOM.
- Nel campo nome immettere DefaultSecuredHost.
- Nel campo dati immettere 0 per la modalità compatibile o 1 per la modalità protetta.
- Fare clic su OK.