Manutenção da segurança do WMI
A segurança do WMI se concentra na proteção do acesso aos dados do namespace. Primeiro, o WMI concede acesso a grupos de usuários conforme especificado pelas configurações de Controle do WMI e do DCOM e, em seguida, os provedores determinam se o usuário deverá ter acesso aos dados do namespace.
As seguintes seções serão abordadas neste tópico:
- Segurança do namespace
- Configurações de segurança do DCOM (Distributed Component Object Model).
- WMI, Hosts de Serviço Compartilhado e Autenticação
- Segurança para scripts e aplicativos cliente do WMI
- Tópicos relacionados
Segurança do namespace
A segurança do namespace depende dos SID (identificadores de segurança de usuário) padrão do Windows e do descritor de segurança para o namespace do WMI.
Você pode definir a segurança do namespace executando as seguintes ações:
- Conceda ou negue direitos de acesso a namespaces para usuários que usam o Controle do WMI ou quando o namespace for criado. Para obter mais informações, consulte Configurar a segurança do namespace com o controle do WMI e Configurar a segurança do namespace quando o namespace for criado.
- Use a guia Segurança de Controle do WMI para estabelecer a auditoria de segurança. Quando a auditoria de segurança é estabelecida, são registradas entradas no log de eventos sempre que um usuário falha ou tem sucesso em uma ação que está sendo auditada. Isso inclui a gravação de dados em um objeto WMI ou a leitura do descritor de segurança. Para obter mais informações, consulte Acesso a namespaces do WMI.
- Use o arquivo MOF que define o namespace para exigir que um usuário faça uma conexão criptografada. Para obter mais informações, consulte Exigir uma conexão criptografada a um namespace.
Configurações de Segurança do DCOM (Distributed Component Object Model)
A segurança do DCOM requer uma configuração de autenticação e uma configuração de representação. A autenticação significa que um processo se identifica para outro. A representação identifica a autoridade que um cliente concede a um servidor para chamar processos diferentes. Durante uma verificação de segurança, o servidor representa o cliente. Para obter mais informações, consulte Proteger clientes e provedores C++ ou Proteger clientes de script.
Scripts e aplicativos C/C++/C# estabelecem níveis de autenticação e representação quando se conectam a um namespace do WMI ou usam as configurações padrão. As conexões com computadores remotos exigem configurações diferentes dos namespaces do WMI no computador local. Para obter mais informações, consulte Conexão ao WMI em um computador remoto.
WMI, Hosts de Serviço Compartilhado e Autenticação
O WMI reside em um host de serviço compartilhado com vários outros serviços em execução na conta NetworkService. Em um processo Svchost, o WMI compartilha a mesma autenticação que os outros processos no host.
As DLLs do provedor são carregadas em processos de host de serviço separados do WMI. A propriedade HostingModel na classe de sistema __Win32Provider que representa um provedor especifica a conta do sistema na qual o provedor é executado. Definir essa propriedade faz com que o provedor seja carregado em um processo de host compartilhado que tem um nível de privilégio especificado. Para obter mais informações, consulte Hospedagem e segurança do provedor.
Segurança para scripts e aplicativos cliente do WMI
Scripts e aplicativos devem estabelecer a segurança correta para se conectar a namespaces do WMI em computadores locais e remotos. Para obter mais informações, consulte Proteger clientes e provedores C++, Proteger clientes de script e Proteger eventos do WMI.
A tabela a seguir lista os tópicos sobre como manter a segurança do WMI.
| Tópico | Descrição |
|---|---|
| Como proteger namespaces do WMI | Você pode limitar o acesso a dados de namespace a usuários autorizados por meio do Controle do WMI. |
| Como proteger seu provedor | Informações sobre como escrever provedores seguros. |
| Proteger clientes e provedores C++ | Os provedores C++ e os aplicativos cliente devem executar muitas das mesmas operações para manter a segurança do WMI. |
| Proteger clientes de script | Scripts e aplicativos do Visual Basic (clientes de automação) devem definir a segurança apropriada para obter acesso a dados e eventos do WMI. |
| Proteger eventos do WMI | Os eventos do WMI são entregues pelo provedor de eventos a um consumidor temporário ou permanente. Os eventos são entregues na forma de uma instância de uma classe de evento. |
| Como alterar a segurança de acesso em objetos protegíveis | Com as permissões adequadas, você pode chamar métodos nos objetos WMI que representam objetos protegíveis, os quais podem ler ou alterar descritores de segurança em objetos protegíveis. |
Tópicos relacionados