Accesso agli spazi dei nomi WMI

  • Articolo

WMI usa un descrittore di sicurezza Di Windows standard per controllare l'accesso agli spazi dei nomi WMI. Quando ci si connette a WMI, tramite il moniker "winmgmts" WMI o una chiamata a IWbemLocator::Connessione Server o SWbemLocator.ConnessioneIl server si connette a uno spazio dei nomi specifico.

In questo argomento vengono descritte le informazioni seguenti:

Sicurezza dello spazio dei nomi WMI

WMI mantiene la sicurezza dello spazio dei nomi confrontando il token di accesso dell'utente che si connette allo spazio dei nomi con il descrittore di sicurezza dello spazio dei nomi. Per altre informazioni sulla sicurezza di Windows, vedere Accesso a oggetti a protezione diretta WMI.

Tenere presente che, a partire da Windows Vista, controllo dell'account utente influisce sull'accesso ai dati WMI e su cosa può essere configurato con il controllo WMI. Per altre informazioni, vedere Autorizzazioni predefinite per gli spazi dei nomi WMI e controllo dell'account utente e WMI.

L'accesso agli spazi dei nomi WMI è interessato anche quando la connessione proviene da un computer remoto. Per altre informazioni, vedere Connessione a WMI in un computer remoto, Protezione di un Connessione WMI remoto e Connessione tramite Windows Firewall.

I provider devono basarsi sull'impostazione di rappresentazione per la connessione per determinare se lo script client o l'applicazione devono ricevere dati. Per altre informazioni sulle applicazioni client e script, vedere Impostazione della sicurezza del processo dell'applicazione client. Per altre informazioni sulla rappresentazione del provider , vedere Sviluppo di un provider WMI.

Controllo dello spazio dei nomi WMI

WMI usa lo spazio dei nomi Elenchi di controllo di accesso di sistema (SACL) per controllare l'attività dello spazio dei nomi. Per abilitare il controllo degli spazi dei nomi WMI, usare la scheda Sicurezza nel controllo WMI per modificare le impostazioni di controllo per lo spazio dei nomi.

Il controllo non è abilitato durante l'installazione del sistema operativo. Per abilitare il controllo, fare clic sulla scheda Controllo nella finestra Sicurezza standard. È quindi possibile aggiungere una voce di controllo.

I Criteri di gruppo per il computer locale devono essere impostati per consentire il controllo. È possibile abilitare il controllo eseguendo lo snap-in MMC Gpedit.msc e impostando Audit Object Access in Configurazione>computer Windows Impostazioni> Security Impostazioni> Criteri>di controllo locali.

Una voce di controllo modifica l'elenco SACL dello spazio dei nomi. Quando si aggiunge una voce di controllo, si tratta di un utente, un gruppo, un computer o un'entità di sicurezza predefinita. Dopo aver aggiunto la voce, è possibile impostare le operazioni di accesso che generano eventi del log di sicurezza. Ad esempio, per il gruppo Utenti autenticati, è possibile fare clic su Esegui metodi. Questa impostazione genera eventi del log di sicurezza ogni volta che un membro del gruppo Authenticated Users esegue un metodo in tale spazio dei nomi. L'ID evento per gli eventi WMI è 4662.

L'account deve trovarsi nel gruppo Amministrazione istrators ed eseguire con privilegi elevati per modificare le impostazioni di controllo. L'account Amministrazione istrator predefinito può anche modificare la sicurezza o il controllo per uno spazio dei nomi. Per altre informazioni sull'esecuzione in modalità con privilegi elevati, vedere Controllo dell'account utente e WMI.

Il controllo WMI genera eventi di esito positivo o negativo per i tentativi di accesso agli spazi dei nomi WMI. Il servizio non controlla l'esito positivo o negativo delle operazioni del provider. Ad esempio, quando uno script si connette a WMI e a uno spazio dei nomi, può non riuscire perché l'account in cui è in esecuzione lo script non ha accesso a tale spazio dei nomi o può tentare un'operazione, ad esempio la modifica dell'elenco di controllo di accesso a database, non concesso.

Se si esegue con un account nel gruppo Amministrazione istrators, è possibile visualizzare gli eventi di controllo dello spazio dei nomi nell'interfaccia utente Visualizzatore eventi.

Tipi di eventi dello spazio dei nomi

WMI traccia i tipi di eventi seguenti nel registro eventi di sicurezza:

  • Controlla esito positivo

    L'operazione deve completare due passaggi per un controllo riuscito. In primo luogo, WMI concede l'accesso all'applicazione client o allo script in base al SID client e allo spazio dei nomi DACL. In secondo luogo, l'operazione richiesta corrisponde ai diritti di accesso nello spazio dei nomi SACL per tale utente o gruppo.

  • Errore di controllo

    WMI nega l'accesso allo spazio dei nomi, ma l'operazione richiesta corrisponde ai diritti di accesso nello spazio dei nomi SACL per tale utente o gruppo.

Impostazioni di accesso agli spazi dei nomi

È possibile visualizzare i diritti di accesso allo spazio dei nomi per vari account nel controllo WMI. Queste costanti sono descritte in Costanti diritti di accesso allo spazio dei nomi. È possibile modificare l'accesso a uno spazio dei nomi WMI usando il controllo WMI o a livello di codice. Per altre informazioni, vedere Modifica della sicurezza degli accessi in oggetti a protezione diretta.

WMI controlla le modifiche apportate a tutte le autorizzazioni di accesso elencate nell'elenco seguente, ad eccezione dell'autorizzazione Di abilitazione remota. Le modifiche vengono registrate come esito positivo o negativo del controllo corrispondenti all'autorizzazione Modifica sicurezza.

Metodi Execute

Consente all'utente di eseguire metodi definiti nelle classi WMI. Corrisponde alla costante dell'autorizzazione di accesso WBEM_METHOD_EXECUTE .

Scrittura completa

Consente l'accesso completo in lettura, scrittura ed eliminazione alle classi WMI e alle istanze di classe, sia statiche che dinamiche. Corrisponde alla costante dell'autorizzazione di accesso WBEM_FULL_WRITE_REP .

Scrittura parziale

Consente l'accesso in scrittura alle istanze di classe WMI statiche. Corrisponde alla costante dell'autorizzazione di accesso WBEM_PARTIAL_WRITE_REP .

Scrittura provider

Consente l'accesso in scrittura alle istanze dinamiche della classe WMI. Corrisponde alla costante dell'autorizzazione di accesso WBEM_WRITE_PROVIDER .

Abilitare l'account

Consente l'accesso in lettura alle istanze della classe WMI. Corrisponde alla costante dell'autorizzazione di accesso WBEM_ENABLE .

Abilitazione remota

Consente l'accesso allo spazio dei nomi da parte di computer remoti. Corrisponde alla costante dell'autorizzazione di accesso WBEM_REMOTE_ACCESS .

Lettura della sicurezza

Consente l'accesso in sola lettura alle impostazioni DACL. Corrisponde alla costante dell'autorizzazione di accesso READ_CONTROL .

Modifica sicurezza

Consente l'accesso in scrittura alle impostazioni DACL. Corrisponde alla costante delle autorizzazioni di accesso WRITE_DAC .

Autorizzazioni predefinite per gli spazi dei nomi WMI

I gruppi di sicurezza predefiniti sono:

  • Utenti autenticati
  • LOCAL SERVICE
  • NETWORK SERVICE
  • Amministrazione istrator (nel computer locale)

Le autorizzazioni di accesso predefinite per utenti autenticati, LOCAL edizione Standard RVICE e NETWORK edizione Standard RVICE sono:

  • Metodi Execute
  • Scrittura completa
  • Abilita account

Gli account nel gruppo Amministrazione istrators dispongono di tutti i diritti disponibili, inclusa la modifica dei descrittori di sicurezza. Tuttavia, a causa del controllo dell'account utente, il controllo WMI o lo script deve essere in esecuzione con sicurezza elevata. Per altre informazioni, vedere Controllo dell'account utente e WMI.

A volte uno script o un'applicazione deve abilitare un privilegio di amministratore, ad esempio SeSecurityPrivilege, per eseguire un'operazione. Ad esempio, uno script può eseguire il metodo GetSecurityDescriptor della classe Win32_Printer senza SeSecurityPrivilege e ottenere le informazioni di sicurezza nell'elenco di controllo di accesso discrezionale (DACL) del descrittore di sicurezza degli oggetti della stampante. Tuttavia, le informazioni SACL non vengono restituite allo script a meno che il privilegio SeSecurityPrivilege non sia disponibile e abilitato per l'account. Se l'account non dispone dei privilegi disponibili, non può essere abilitato. Per altre informazioni, vedere Esecuzione di operazioni con privilegi.

Informazioni su WMI