次の方法で共有

プロバイダーのセキュリティを制御するためのレジストリのキーと値

  • [アーティクル]

Windows Management Instrumentation (WMI) 共有プロバイダー ホスト プロセス (wmiprvse.exe) のセキュリティを強化するために、"サービス セキュリティ識別子 (SID)" を使用してプロバイダー ホスト プロセスをセキュリティで保護する変更が Windows プラットフォームに加えられました。 これらの変更により、WMI 共有ホストに対して保護と互換の実行モードが導入されます。

このトピックには以下のセクショがあります。

保護および互換モード

Windows 7 以降では、WMI 共有ホスト プロセスに対して次の 2 つの実行モードが追加されました。

保護モード

WMI プロバイダーのホスト プロセス リソースは、"サービス SID" を使用してセキュリティ保護されます。 これらのリソースに対するアクセス許可を持つのは、"サービス SID" のみです。

互換モード

WMI 共有プロバイダー ホスト プロセスは、"サービス SID" で保護されていません。 プロバイダー ホスト プロセスでは、ホスティング モデルに応じて NetworkService または LocalService アカウントにアクセスできます。 ホスティング モデルの詳細については、「プロバイダーのホスティングとセキュリティ」を参照してください。

Windows Vista および Windows Server 2008: プロバイダー ホスト プロセスの保護および互換モードを制御するためのレジストリのキーと値にアクセスするには、KB 959454 のセキュリティ更新プログラムをインストールする必要があります。 詳細については、Microsoft セキュリティ情報 MS09-012 を参照してください。

レジストリのキーと値

保護および互換モードの設定は、レジストリ キーを使用して指定されます。 WMI のレジストリ キーは、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\ のレジストリにあります。

WMI プロバイダーの動作を制御するために、次の一覧で説明する次のレジストリ キーと DWORD 値が追加されました。

SecuredHostProviders

このキーは、個々のプロバイダーの動作を制御します。 このキーに一覧表示されているすべてのプロバイダーは、常に保護モードで実行されます。 Windows に付属するすべての受信トレイ プロバイダーは、このキーの下に一覧表示され、既定では保護モードで実行されます。

このキーは、CompatibleHostProviders キーに一覧表示されているプロバイダーよりも優先されます。

CompatibleHostProviders

このキーは、個々のプロバイダーの動作を制御します。 このキーに一覧表示されているすべてのプロバイダーは、常に互換モードで実行されます。 既定では、このキーは空です。

プロバイダーが SecuredHostProviders キーと CompatibleHostProviders キーの両方に一覧表示されている場合、そのプロバイダーは保護モードで実行されます。

注意

CompatibleHostProviders キーは、DefaultSecuredHost キーが 1 に設定され、プロバイダーが保護モードで機能しないことが判明している場合に、サード パーティ製アプリケーションにアプリケーションの互換性を提供します。

 

DefaultSecuredHost

SecuredHostProviders または CompatibleHostProviders キーに一覧表示されていないすべてのプロバイダーを、保護と互換のどちらのモードで実行するかを決定するグローバル レジストリ DWORD 値。 この DWORD 値を使用すると、管理者はサードパーティ プロバイダーをどのモードで実行する必要があるかを決定できます。 既定では、この値は 0 に設定され、すべてのサードパーティ プロバイダーは互換モードで実行されます。 管理者は、DefaultSecuredHost の値を 1 に設定することで、既定でコンピューターの安全性を高めることができます。

注意

DefaultSecuredHost の値は、他のレジストリ キーには影響しません。 SecuredHostProviders キーに一覧表示されているプロバイダーは保護モードのままであり、CompatibleHostProviders キーに一覧表示されているものは互換モードのままです。

 

次の設定が可能です。

0

プロバイダーが互換モードで実行されることを指定します。

1

プロバイダーが保護モードで実行されることを指定します。

使用可能なレジストリ設定と、プロバイダーに関連付けられている実行モードの一覧を次に示します。

SecuredHostProviders に一覧表示 CompatibleHostProviders に一覧表示 DefaultSecuredHost の設定 モード
いいえ いいえ 0 互換性あり
いいえ はい 0 互換性あり
はい いいえ 0 セキュリテイ保護
はい はい 0 セキュリテイ保護
いいえ いいえ 1 セキュリテイ保護
いいえ はい 1 互換性あり
はい いいえ 1 セキュリテイ保護
はい はい 1 セキュリテイ保護

 

保護または互換モードで実行するためのプロバイダーの構成

レジストリ キーは、グループ ポリシー管理コンソール (GPMC) を使用して変更できます。 詳細については、「グループ ポリシー管理コンソール」を参照してください。

次の手順は、グループ ポリシーの基本設定を使用して、保護および互換モードの設定を管理する方法を示しています。 グループ ポリシーの基本設定の詳細については、グループ ポリシーの基本設定の概要に関する記事を参照してください。

グループ ポリシーを使用して保護または互換モードにプロバイダーを追加するには

  1. GPMC を開きます。

  2. グループ ポリシー オブジェクト (GPO) を作成します。

  3. GPO を編集します。

  4. [基本設定] > [Windows の設定] > [レジストリ] を参照します。

  5. 右クリックして [新規...] > [レジストリ] を選択します。 このアクションにより、レジストリ情報を入力できるユーザー インターフェイスが表示されます。

  6. [作成] コマンドを選択します。

  7. 次のレジストリ キー パスを選択します。

    保護モード: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders

    互換モード: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders

  8. [名前] フィールドに、このキーに追加するプロバイダーの名前を入力します。 プロバイダー名は、<namespace>:<__RELPATH> の形式である必要があります。 たとえば、root\cimv2:__win32provider.name="MyProvider" などです。

  9. [データ] フィールドに、「0」と入力します。

  10. [OK] をクリックします。

グループ ポリシーを使用して保護または互換モードからプロバイダーを削除するには

  1. GPMC を開きます。

  2. GPO を作成します。

  3. GPO を編集します。

  4. [基本設定] > [Windows の設定] > [レジストリ] を参照します。

  5. 右クリックして [新規...] > [レジストリ] を選択します。 このアクションにより、レジストリ情報を入力できるユーザー インターフェイスが表示されます。

  6. [削除] コマンドを選択します。

  7. 次のレジストリ キー パスを選択します。

    保護モード: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders

    互換モード: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders

  8. [名前] フィールドに、このキーから削除するプロバイダーの名前を入力します。

  9. [データ] フィールドに、「0」と入力します。

  10. [OK] をクリックします。

次の手順では、SecuredHostProviders または CompatibleHostProviders キーに記載されていないプロバイダーの動作を変更する方法について詳しく説明します。

グループ ポリシーを使用して DefaultSecuredHost キーの既定値を変更するには

  1. GPMC を開きます。
  2. GPO を作成します。
  3. GPO を編集します。
  4. [基本設定] > [Windows の設定] > [レジストリ] を参照します。
  5. 右クリックして [新規...] > [レジストリ] を選択します。 このアクションにより、レジストリ情報を入力できるユーザー インターフェイスが表示されます。
  6. [更新] コマンドを選択します。
  7. 次のレジストリ キー パスを選択します: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM
  8. [名前] フィールドに、「DefaultSecuredHost」と入力します。
  9. [データ] フィールドに、互換モードの場合は 0、保護モードの場合は 1 を入力します。
  10. [OK] をクリックします。