Доступ к защищаемым объектам WMI
WMI использует стандартные дескрипторы безопасности Windows для управления и защиты доступа к защищаемым объектам, таким как пространства имен WMI, принтеры, службы и приложения DCOM. Дополнительные сведения см. в статье Доступ к пространствам имен WMI.
В этом разделе рассматриваются следующие вопросы.
- Дескрипторы безопасности и идентификаторы безопасности
- Управление доступом
- Изменение безопасности доступа
- Связанные темы
Дескрипторы безопасности и идентификаторы безопасности
WMI поддерживает безопасность доступа, сравнивая маркер доступа пользователя, который пытается получить доступ к защищаемому объекту, с дескриптором безопасности объекта.
При создании пользователя или группы в системе учетной записи присваивается идентификатор безопасности (SID). Идентификатор безопасности гарантирует, что учетная запись, созданная с тем же именем, что и ранее удаленная учетная запись, не наследует предыдущие параметры безопасности. Маркер доступа создается путем объединения идентификатора безопасности, списка групп, членом которых является пользователь, и списка включенных или отключенных привилегий. Эти маркеры назначаются всем процессам и потокам, принадлежащим пользователю.
Управление доступом
Когда пользователь хочет использовать защищенный объект, маркер доступа сравнивается со списком управления доступом на уровне пользователей (DACL) в дескрипторе безопасности объекта . DACL содержит разрешения, называемые записями управления доступом (ACE). Списки управления доступом к системе (SACL) выполняют то же самое, что и списки DACLs, но могут создавать события аудита безопасности. Начиная с Windows Vista WMI может вносить записи аудита в журнал Безопасность Windows. Дополнительные сведения об аудите в WMI см. в статье Доступ к пространствам имен WMI.
И DACL, и SACL состоят из списка ACE, которые описывают, какие пользователи имеют определенные права доступа, включая запись в репозиторий WMI, удаленный доступ и выполнение, а также разрешения на вход. WMI сохраняет эти списки управления доступом в репозитории WMI.
ACE содержат три типа уровней доступа или предоставления или запрета прав: разрешить, запретить для DACL и аудит системы (для списков SACLS). Запретить ACE предшествуют разрешить ACE в daCL или SACL. При проверке прав доступа пользователя WMI последовательно выполняется через список управления доступом, пока не найдет разрешение ACE, которое применяется к запрашивающей маркеру доступа. Остальные ACE не проверяются после этого момента. Если соответствующие разрешения ACE не найдены, доступ будет запрещен. Дополнительные сведения см. в разделах Порядок ACE в daCL и Создание daCL.
Изменение безопасности доступа
С помощью соответствующих разрешений можно изменить безопасность защищаемого объекта с помощью скрипта или приложения. Вы также можете изменить параметры безопасности в пространствах имен WMI с помощью элемента управления WMI или путем добавления строки языка определения дескриптора безопасности (SDDL) в MOF-файле , который определяет классы для пространства имен. Дополнительные сведения см. в статьях Доступ к пространствам имен WMI, Защита пространств имен WMI и Изменение безопасности доступа для защищаемых объектов.
Связанные темы