Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano problem polegający na tym, że identyfikator zdarzenia ostrzeżenia 5605 jest rejestrowany w dzienniku aplikacji podczas wykonywania zapytań dotyczących przestrzeni nazw MSCluster za pośrednictwem usługi WMI.
Dotyczy: Windows Server 2008 R2 z dodatkiem Service Pack 1
Oryginalny numer KB: 2590230
Objawy
Podczas wykonywania zapytań dotyczących przestrzeni nazw MSCluster lub uruchamiania aplikacji, która wysyła zapytania o właściwości tej przestrzeni nazw, może zostać wyświetlone następujące zdarzenia ostrzegawcze, mimo że ustawienie Uwierzytelnianie ma wartość PacketPrivacy:
Nazwa dziennika: Aplikacja
Źródło: Microsoft-Windows-WMI
Identyfikator zdarzenia: 5605
Poziom: Ostrzeżenie
Opis rozwiązania:
Przestrzeń nazw Root\MSCluster jest oznaczona flagą RequiresEncryption. Dostęp do tej przestrzeni nazw może zostać odrzucony, jeśli skrypt lub aplikacja nie ma odpowiedniego poziomu uwierzytelniania. Zmień poziom uwierzytelniania na Pkt_Privacy i ponownie uruchom skrypt lub aplikację.
Uwaga
Nie jest to specyficzne tylko dla przestrzeni nazw Root\MSCluster, a zdarzenie może być rejestrowane przy użyciu dowolnej przestrzeni nazw oznaczonej flagą RequiresEncryption (np. root\cimv2\TerminalServices).
To ostrzeżenie może być rejestrowane nawet wtedy, gdy dla uwierzytelniania ustawiono wartość PacketPrivacy i można je bezpiecznie zignorować, o ile zapytania działają zgodnie z oczekiwaniami.
Rozwiązanie
Aby obejść ten problem i zapobiec rejestrowaniu ostrzeżeń, istnieją dwa możliwe rozwiązania. Z punktu widzenia zabezpieczeń zaleca się użycie obejścia b.
a. Modyfikowanie elementu ClusWMI.mof
W tym celu wykonaj następujące czynności:
- Otwórz plik C:\Windows\system32\wbem\ClusWMI.mof do edycji i ustaw wartość [RequiresEncryption(FALSE)].
- Ponownie skompiluj plik ClusWMI.mof, uruchamiając polecenie "mofcomp C:\Windows\system32\wbem\ClusWMI.mof".
- Uruchom ponownie usługę winmgmt.
Uwaga
To obejście należy ponownie zastosować, jeśli plik ClusWMI.mof zostanie zaktualizowany za pomocą poprawki lub dodatku Service Pack.
To obejście nie zostało przetestowane i potwierdzone przez firmę Microsoft pod kątem żadnych skutków związanych z zabezpieczeniami/możliwościami pomocy technicznej.
b. Modyfikowanie elementu authenticationLevel aplikacji wykonującej zapytanie
W tym celu zmodyfikuj rejestr za pomocą następującego skryptu w systemie, z którego zostało wykonane/uruchomione zapytanie:
Edytor rejestru systemu Windows w wersji 5.00
[HKEY_CLASSES_ROOT\AppID{<Guid>}]
@="Applicationname.exe"
"AuthenticationLevel"=dword:00000006
[HKEY_CLASSES_ROOT\AppID\Applicationname.exe]
"AppID"="{<Guid>}"
Gdzie <guid jest identyfikatorem Guid> appID, a Applicationname.exe jest nazwą aplikacji wykonującej zapytanie WMI.
Na przykład wbemtest.exe w przypadku nawiązania połączenia z narzędziem BuildIn WMI Test.
Więcej informacji
Stosując obejście wymienione w ramach elementu , wykonywanie zapytań dotyczących informacji z przestrzeni nazw ClusWMI można wykonać bez prywatności pakietów, a połączenie staje się mniej bezpieczne, nie wymagając zaszyfrowanego połączenia dla tej przestrzeni nazw.
Stosując obejście wymienione w obszarze b, wywołanie połączenia z przestrzenią nazw jest już wykonywane z prywatnością pakietów, w związku z czym zdarzenie 5605 nie jest rejestrowane.
Ustawianie domyślnego poziomu zabezpieczeń procesu przy użyciu języka VBScript