Доступ к пространствам имен WMI

  • Статья

WMI использует стандартный дескриптор безопасности Windows для управления доступом к пространствам имен WMI. При подключении к WMI через моникер WMI winmgmts или вызов IWbemLocator::Подключение Server или SWbemLocator.ПодключениеСервер подключается к определенному пространству имен.

В этом разделе рассматриваются следующие сведения:

Безопасность пространства имен WMI

WMI поддерживает безопасность пространства имен, сравнивая маркер доступа пользователя, подключающегося к пространству имен, с дескриптором безопасности пространства имен. Дополнительные сведения о безопасности Windows см. в разделе "Доступ к защищаемым объектам WMI".

Помните, что начиная с Windows Vista контроль учетных записей (UAC) влияет на доступ к данным WMI и что можно настроить с помощью элемента управления WMI. Дополнительные сведения см. в разделе "Разрешения по умолчанию" для пространств имен WMI и управления учетными записями пользователей и WMI.

Доступ к пространствам имен WMI также затрагивается при подключении с удаленного компьютера. Дополнительные сведения см. в статье Подключение подключении к WMI на удаленном компьютере, защите удаленного Подключение WMI и Подключение через брандмауэр Windows.

Поставщики должны полагаться на параметр олицетворения для подключения, чтобы определить, должен ли клиентский скрипт или приложение получать данные. Дополнительные сведения о скриптах и клиентских приложениях см. в разделе "Настройка безопасности процесса клиентского приложения". Дополнительные сведения о олицетворении поставщика см. в статье "Разработка поставщика WMI".

Аудит пространства имен WMI

WMI использует списки управления доступом к пространству имен (SACL) для аудита действий пространства имен. Чтобы включить аудит пространств имен WMI, перейдите на вкладку "Безопасность " в элементе управления WMI, чтобы изменить параметры аудита для пространства имен.

Аудит не включен во время установки операционной системы. Чтобы включить аудит, щелкните вкладку "Аудит " в стандартном окне "Безопасность ". Затем можно добавить запись аудита.

Групповая политика для локального компьютера должна быть задана, чтобы разрешить аудит. Вы можете включить аудит, выполнив оснастку Gpedit.msc MMC и задав доступ к объектам аудита в разделе "Конфигурация>компьютера" Windows Параметры Security Параметры>> Local Policies Audit Policy.>

Запись аудита изменяет SACL пространства имен. При добавлении записи аудита это пользователь, группа, компьютер или встроенный субъект безопасности. После добавления записи можно задать операции доступа, которые приводят к событиям журнала безопасности. Например, для группы прошедших проверку подлинности пользователей можно нажать кнопку "Выполнить методы". Этот параметр приводит к событиям журнала безопасности всякий раз, когда член группы прошедших проверку подлинности пользователей выполняет метод в этом пространстве имен. Идентификатор события WMI — 4662.

Учетная запись должна находиться в группе Администратор istrators и работать под повышенными привилегиями, чтобы изменить параметры аудита. Встроенная учетная запись Администратор istrator также может изменить безопасность или аудит пространства имен. Дополнительные сведения о выполнении в режиме с повышенными привилегиями см. в разделе "Управление учетными записями пользователей" и WMI.

Аудит WMI создает события успешного или неудачного доступа к пространствам имен WMI. Служба не проверяет успешность или сбой операций поставщика. Например, при подключении скрипта к WMI и пространству имен может произойти сбой, так как учетная запись, в которой выполняется скрипт, не имеет доступа к пространству имен или может попытаться выполнить операцию, например редактирование DACL, которая не предоставляется.

Если вы работаете под учетной записью в группе Администратор istrators, вы можете просмотреть события аудита пространства имен в пользовательском интерфейсе Просмотр событий.

Типы событий пространства имен

WMI трассирует следующие типы событий в журнале событий безопасности:

  • Audit Success

    Операция должна успешно выполнить два шага для успешного выполнения аудита. Во-первых, WMI предоставляет доступ к клиентскому приложению или скрипту на основе идентификатора безопасности клиента и DACL пространства имен. Во-вторых, запрошенная операция соответствует правам доступа в пространстве имен SACL для этого пользователя или группы.

  • Сбой аудита

    WMI запрещает доступ к пространству имен, но запрошенная операция соответствует правам доступа в пространстве имен SACL для этого пользователя или группы.

Доступ к пространству имен Параметры

Вы можете просмотреть права доступа к пространству имен для различных учетных записей в элементе управления WMI. Эти константы описаны в константах прав доступа к пространству имен. Вы можете изменить доступ к пространству имен WMI с помощью элемента управления WMI или программно. Дополнительные сведения см. в разделе "Изменение безопасности доступа для защищаемых объектов".

WMI выполняет аудит изменений во всех разрешениях доступа, перечисленных в следующем списке, за исключением разрешения удаленного включения. Изменения регистрируются как успешное выполнение аудита или сбой, соответствующие разрешению "Изменить безопасность".

Выполнение методов

Позволяет пользователю выполнять методы, определенные в классах WMI. Соответствует константе разрешений доступа WBEM_METHOD_EXECUTE.

Полная запись

Разрешает полный доступ на чтение, запись и удаление доступа к классам WMI и экземплярам классов, как статическим, так и динамическим. Соответствует константе разрешений доступа WBEM_FULL_WRITE_REP.

Частичная запись

Разрешает доступ на запись к статическим экземплярам классов WMI. Соответствует константе разрешений доступа WBEM_PARTIAL_WRITE_REP.

Запись поставщика

Разрешает доступ на запись к динамическим экземплярам классов WMI. Соответствует константе разрешений доступа WBEM_WRITE_PROVIDER.

Включение учетной записи

Разрешает доступ на чтение к экземплярам классов WMI. Соответствует константе разрешений доступа WBEM_ENABLE .

Удаленное включение

Разрешает доступ к пространству имен удаленными компьютерами. Соответствует константе разрешений доступа WBEM_REMOTE_ACCESS .

Безопасность чтения

Разрешает доступ только для чтения к параметрам DACL. Соответствует константе разрешений доступа READ_CONTROL.

Изменение безопасности

Разрешает доступ на запись к параметрам DACL. Соответствует константе разрешений доступа WRITE_DAC .

Разрешения по умолчанию для пространств имен WMI

Группы безопасности по умолчанию:

  • Пользователи, прошедшие проверку подлинности
  • ЛОКАЛЬНАЯ СЛУЖБА
  • СЕТЕВАЯ СЛУЖБА
  • Администратор istrator (на локальном компьютере)

Разрешения доступа по умолчанию для прошедших проверку подлинности пользователей, LOCAL SERVICE и NETWORK SERVICE:

  • Выполнение методов
  • Полная запись
  • Включить учетную запись;

Учетные записи в группе Администратор istrator имеют все права, доступные для них, включая редактирование дескрипторов безопасности. Однако из-за контроля учетных записей пользователей (UAC) элемент управления WMI или скрипт должен выполняться при повышенной безопасности. Дополнительные сведения см. в разделе "Контроль учетных записей пользователей" и WMI.

Иногда скрипт или приложение должно включить права администратора, например SeSecurityPrivilege, для выполнения операции. Например, скрипт может выполнить метод GetSecurityDescriptor класса Win32_Printer без SeSecurityPrivilege и получить сведения о безопасности в списке управления доступом (DACL) дескриптора безопасности объекта принтера. Однако сведения ОБ SACL не возвращаются в скрипт, если только привилегия SeSecurityPrivilege не доступна и включена для учетной записи. Если у учетной записи нет доступных привилегий, ее нельзя включить. Дополнительные сведения см. в разделе "Выполнение привилегированных операций".

Сведения о WMI