C++ を使用した既定のプロセス セキュリティ レベルの設定

クライアント アプリケーションが Windows Management Instrumentation (WMI) に初めてログオンするときは、CoInitializeSecurity の呼び出しで既定のプロセス セキュリティ レベルを設定する必要があります。 COM は、呼び出し内の情報を使用して、他のプロセスがクライアント アプリケーション プロセスにアクセスするためにどれだけのセキュリティを必要とするかを調べます。

このトピックでは次のセクションを扱います。

• C++ を使用した既定の認証資格情報の変更
• C++ を使用した既定の偽装レベルの変更

ほとんどのクライアント アプリケーションでは、次の例に示す引数で WMI の既定のセキュリティを設定します。

HRESULT hr = NULL;
hr = CoInitializeSecurity(
        NULL,                       // security descriptor
       -1,                          // use this simple setting
       NULL,                        // use this simple setting
       NULL,                        // reserved
       RPC_C_AUTHN_LEVEL_DEFAULT,   // authentication level  
       RPC_C_IMP_LEVEL_IMPERSONATE, // impersonation level
       NULL,                        // use this simple setting
       EOAC_NONE,                   // no special capabilities
       NULL);                          // reserved

if (FAILED(hr))
{
  CoUninitialize();
  cout << "Failed to initialize security. Error code = 0x"
       << hex << hr << endl;
  return;
}

コードは、正しくコンパイルするために次の参照と #include ステートメントが必要です。

#define _WIN32_DCOM
#include <iostream>
using namespace std;
#include <Wbemidl.h>

#pragma comment(lib, "wbemuuid.lib")

認証レベルを RPC_C_AUTHN_LEVEL_DEFAULT に設定すると、DCOM はターゲット コンピューターのセキュリティ需要に合わせて認証レベルをネゴシエートできます。 詳細については、「C++ を使用した既定の認証資格情報の変更」と「C++ を使用した既定の偽装設定の変更」を参照してください。

C++ を使用した既定の認証資格情報の変更

既定の認証資格情報はほとんどの状況で機能しますが、さまざまな状況で異なる認証資格情報を使用したくなる場合もあるでしょう。 たとえば、認証手順に暗号化を追加するのもよいかもしれません。

次の表に、さまざまな認証レベルの一覧と説明を示します。

認証レベル	説明
RPC_C_AUTHN_LEVEL_DEFAULT	既定のセキュリティ認証。
RPC_C_AUTHN_LEVEL_NONE	認証なし。
RPC_C_AUTHN_LEVEL_CONNECT	クライアントがサーバーとのリレーションシップを作成するときに限った認証。
RPC_C_AUTHN_LEVEL_CALL	サーバーが RPC を受け取るたびに行われる認証。
RPC_C_AUTHN_LEVEL_PKT	サーバーがクライアントからデータを受け取るたびに行われる認証。
RPC_C_AUTHN_LEVEL_PKT_INTEGRITY	パケットからのデータが変更されていないことの認証。
RPC_C_AUTHN_LEVEL_PKT_PRIVACY	以前のすべての認証レベルが含まれており、各 RPC 呼び出しの値が暗号化されます。

 

CoInitializeSecurity の pAuthList パラメーターで SOLE_AUTHENTICATION_LIST 構造を使用することで、複数のユーザーの既定の認証資格情報を指定できます。

次のコード例は、認証資格情報を変更する方法を示しています。

// Auth Identity structure
SEC_WINNT_AUTH_IDENTITY_W        authidentity;
SecureZeroMemory( &authidentity, sizeof(authidentity) );

authidentity.User = L"MyUser";
authidentity.UserLength = wcslen( authidentity.User );
authidentity.Domain = L"MyDomain ";
authidentity.DomainLength = wcslen( authidentity.Domain );
authidentity.Password = L"";
authidentity.PasswordLength = wcslen( authidentity.Password );
authidentity.Flags = SEC_WINNT_AUTH_IDENTITY_UNICODE;

SecureZeroMemory( authninfo, sizeof(SOLE_AUTHENTICATION_INFO)*2 );

// NTLM Settings
authninfo[0].dwAuthnSvc = RPC_C_AUTHN_WINNT;
authninfo[0].dwAuthzSvc = RPC_C_AUTHZ_NONE;
authninfo[0].pAuthInfo = &authidentity;

// Kerberos Settings
authninfo[1].dwAuthnSvc = RPC_C_AUTHN_GSS_KERBEROS ;
authninfo[1].dwAuthzSvc = RPC_C_AUTHZ_NONE;
authninfo[1].pAuthInfo = &authidentity;

SOLE_AUTHENTICATION_LIST    authentlist;

authentlist.cAuthInfo = 2;
authentlist.aAuthInfo = authninfo;

CoInitializeSecurity( 
  NULL, 
  -1, 
  NULL, 
  NULL, 
  RPC_C_AUTHN_LEVEL_CALL, 
  RPC_C_IMP_LEVEL_IMPERSONATE,
  &authentlist, 
  EOAC_NONE,
  NULL);

C++ を使用した既定の偽装レベルの変更

COM から、システム レジストリから読み取られた既定のセキュリティ レベルが提供されます。 ただし、特に変更されない限り、レジストリ設定により設定される偽装レベルは、WMI が機能するには低すぎます。 通常、既定の偽装レベルは RPC_C_IMP_LEVEL_IDENTIFY ですが、WMI はほとんどのプロバイダーで機能するためには RPC_C_IMP_LEVEL_IMPERSONATE 以上を必要とし、もっと高いレベルの偽装の設定が必要になる場合もあるかもしれません。 詳細については、「リモート コンピューター上の WMI への接続」を参照してください。 次の表に、偽装のさまざまなレベルを示します。

Level	説明
RPC_C_IMP_LEVEL_DEFAULT	オペレーティング システムが偽装のレベルを選択します。
RPC_C_IMP_LEVEL_ANONYMOUS	サーバーはクライアントを偽装できますが、偽装トークンは何のためにも使用することができません。
RPC_C_IMP_LEVEL_IDENTIFY	サーバーは、クライアントの ID を取得し、クライアントを偽装して ACL チェックを行うことができます。
RPC_C_IMP_LEVEL_IMPERSONATE	サーバーは、1 つのコンピューター境界を越えてクライアントを偽装できます。
RPC_C_IMP_LEVEL_DELEGATE	サーバーは、複数の境界にわたってクライアントを偽装でき、クライアントの代わりに呼び出しを行うことができます。