WMI 네임스페이스에 대한 액세스

  • 아티클

WMI는 표준 Windows 보안 설명자를 사용하여 WMI 네임스페이스에 대한 액세스를 제어합니다. WMI "winmgmts" 모니커 또는 IWbemLocator::ConnectServer 또는 SWbemLocator.ConnectServer 호출을 통해 WMI에 연결하면 특정 네임스페이스에 연결합니다.

이 항목에서는 다음 정보를 설명합니다.

WMI 네임스페이스 보안

WMI는 네임스페이스에 연결하는 사용자의 액세스 토큰과 네임스페이스의 보안 설명자를 비교하여 네임스페이스 보안을 유지 관리합니다. Windows 보안에 관한 자세한 내용은 WMI 보안 개체에 대한 액세스를 참조하세요.

Windows Vista부터 사용자 계정 컨트롤(UAC)는 WMI 데이터에 대한 액세스와 WMI 컨트롤을 사용하여 구성할 수 있는 항목에 영향을 줍니다. 자세한 내용은 WMI 네임스페이스에 대한 기본 권한사용자 계정 컨트롤 및 WMI를 참조하세요.

연결이 원격 컴퓨터에서 온 경우에도 WMI 네임스페이스에 대한 액세스가 영향을 받습니다. 자세한 내용은 원격 컴퓨터에서 WMI에 연결, 원격 WMI 연결 보안Windows 방화벽을 통한 연결을 참조하세요.

클라이언트 스크립트 또는 애플리케이션이 데이터를 수신해야 하는지 여부를 확인하려면 공급자가 연결에 가장 설정을 사용해야 합니다. 스크립트 및 클라이언트 애플리케이션에 대한 자세한 내용은 클라이언트 애플리케이션 프로세스 보안 설정을 참조하세요. 공급자 가장에 대한 자세한 내용은 WMI 공급자 개발을 참조하세요.

WMI 네임스페이스 감사

WMI는 네임스페이스 SACL(시스템 액세스 제어 목록)을 사용하여 네임스페이스 활동을 감사합니다. WMI 네임스페이스의 감사를 활성화하려면 WMI 컨트롤보안 탭을 사용하여 네임스페이스에 대한 감사 설정을 변경합니다.

운영 체제를 설치하는 동안에는 감사를 사용할 수 없습니다. 감사를 사용하도록 설정하려면 표준 보안 창에서 감사 탭을 클릭합니다. 그런 다음 감사 항목을 추가할 수 있습니다.

로컬 컴퓨터에 대한 그룹 정책이 감사를 허용하도록 설정해야 합니다. Gpedit.msc MMC 스냅인을 실행하고 컴퓨터 구성>Windows 설정>보안 설정>로컬 정책>감사 정책에서 감사 개체 액세스를 설정하여 감사를 사용하도록 설정할 수 있습니다.

감사 항목은 네임스페이스의 SACL을 편집합니다. 감사 항목을 추가하면 사용자, 그룹, 컴퓨터 또는 기본 제공 보안 주체가 됩니다. 항목을 추가한 후 보안 로그 이벤트를 발생시키는 액세스 작업을 설정할 수 있습니다. 예를 들어 인증된 사용자 그룹의 경우 메서드 실행을 클릭할 수 있습니다. 이 설정은 인증된 사용자 그룹의 멤버가 해당 네임스페이스에서 메서드를 실행할 때마다 보안 로그 이벤트를 발생시킵니다. WMI 이벤트에 대한 이벤트 ID는 4662입니다.

감사 설정을 변경하려면 계정이 관리자 그룹에 있고 상승된 권한으로 실행되어야 합니다. 기본 제공 관리자 계정은 네임스페이스에 대한 보안 또는 감사를 변경할 수도 있습니다. 관리자 권한 모드에서 실행하는 방법에 대한 자세한 내용은 사용자 계정 컨트롤 및 WMI를 참조하세요.

WMI 감사는 WMI 네임스페이스에 액세스하려는 시도에 대한 성공 또는 실패 이벤트를 생성합니다. 서비스는 공급자 작업의 성공 또는 실패를 감사하지 않습니다. 예를 들어 스크립트가 WMI 및 네임스페이스에 연결하는 경우 스크립트가 실행 중인 계정에 해당 네임스페이스에 대한 액세스 권한이 없거나 부여되지 않은 DACL 편집과 같은 작업을 시도할 수 있으므로 실패할 수 있습니다.

관리자 그룹의 계정에서 실행하는 경우 이벤트 뷰어 사용자 인터페이스에서 네임스페이스 감사 이벤트를 볼 수 있습니다.

네임스페이스 이벤트 유형

WMI는 보안 이벤트 로그에서 다음 유형의 이벤트를 추적합니다.

  • 감사 성공

    작업이 감사 성공에 대한 두 단계를 성공적으로 완료해야 합니다. 먼저 WMI는 클라이언트 SID 및 네임스페이스 DACL을 기반으로 클라이언트 애플리케이션 또는 스크립트에 대한 액세스 권한을 부여합니다. 둘째, 요청된 작업은 해당 사용자 또는 그룹에 대한 네임스페이스 SACL의 액세스 권한과 일치합니다.

  • 감사 실패

    WMI는 네임스페이스에 대한 액세스를 거부하지만 요청된 작업은 해당 사용자 또는 그룹에 대한 네임스페이스 SACL의 액세스 권한과 일치합니다.

네임스페이스 액세스 설정

WMI 컨트롤에서 다양한 계정에 대한 네임스페이스 액세스 권한을 볼 수 있습니다. 이러한 상수는 네임스페이스 액세스 권한 상수에 설명되어 있습니다. WMI 컨트롤을 사용하거나 프로그래밍 방식으로 WMI 네임스페이스에 대한 액세스를 변경할 수 있습니다. 자세한 내용은 보안 개체에 대한 액세스 보안 변경을 참조하세요.

WMI는 원격으로부터 사용 가능 권한을 제외하고 다음 목록에 나열된 모든 액세스 권한의 변경을 감사합니다. 변경 내용은 보안 편집 권한에 해당하는 감사 성공 또는 실패로 기록됩니다.

메서드 실행

사용자가 WMI 클래스에 정의된 메서드를 실행하도록 허용합니다. WBEM_METHOD_EXECUTE 액세스 권한 상수에 해당합니다.

전체 쓰기

정적 및 동적 WMI 클래스 및 클래스 인스턴스에 대한 전체 읽기, 쓰기 및 삭제 액세스를 허용합니다. WBEM_FULL_WRITE_REP 액세스 권한 상수에 해당합니다.

부분 쓰기

정적 WMI 클래스 인스턴스에 대한 쓰기 액세스를 허용합니다. WBEM_PARTIAL_WRITE_REP 액세스 권한 상수에 해당합니다.

공급자 쓰기

동적 WMI 클래스 인스턴스에 대한 쓰기 액세스를 허용합니다. WBEM_WRITE_PROVIDER 액세스 권한 상수에 해당합니다.

계정 사용

WMI 클래스 인스턴스에 대한 읽기 액세스를 허용합니다. WBEM_ENABLE 액세스 권한 상수에 해당합니다.

원격으로부터 사용 가능

원격 컴퓨터에서 네임스페이스에 대한 액세스를 허용합니다. WBEM_REMOTE_ACCESS 액세스 권한 상수에 해당합니다.

보안 읽기

DACL 설정에 대한 읽기 전용 액세스를 허용합니다. READ_CONTROL 액세스 권한 상수에 해당합니다.

보안 편집

DACL 설정에 대한 쓰기 액세스를 허용합니다. WRITE_DAC 액세스 권한 상수에 해당합니다.

WMI 네임스페이스에 대한 기본 권한

기본 보안 그룹은 다음과 같습니다.

  • 인증된 사용자
  • LOCAL SERVICE
  • NETWORK SERVICE
  • 관리자(로컬 컴퓨터)

인증된 사용자, 로컬 서비스 및 네트워크 서비스에 대한 기본 액세스 권한은 다음과 같습니다.

  • 메서드 실행
  • 전체 쓰기
  • 계정 사용

관리자 그룹의 계정에는 보안 설명자 편집을 포함하여 사용할 수 있는 모든 권한이 있습니다. 그러나 UAC(사용자 계정 컨트롤)로 인해 WMI 컨트롤 또는 스크립트가 상승된 보안으로 실행되어야 합니다. 자세한 내용은 사용자 계정 컨트롤 및 WMI를 참조하세요.

경우에 따라 스크립트 또는 애플리케이션이 작업을 수행하려면 SeSecurityPrivilege와 같은 관리자 권한을 사용하도록 설정해야 합니다. 예를 들어 스크립트는 SeSecurityPrivilege 없이 Win32_Printer 클래스의 GetSecurityDescriptor 메서드를 실행하고 프린터 개체 보안 설명자DACL(임의 액세스 제어 목록)에서 보안 정보를 가져올 수 있습니다. 그러나 계정에 대해 SeSecurityPrivilege 권한을 사용할 수 있고 활성화하지 않으면 SACL 정보가 스크립트로 반환되지 않습니다. 계정에 사용 가능한 권한이 없으면 사용하도록 설정할 수 없습니다. 자세한 내용은 권한 있는 작업 실행을 참조하세요.

WMI 정보