Поделиться через

Обеспечение безопасности WMI

  • Статья

Безопасность WMI направлена на защиту доступа к данным пространства имен. Сначала WMI предоставляет доступ группам пользователей в соответствии с параметрами управления WMI и DCOM, а затем поставщики определяют, должен ли пользователь иметь доступ к данным пространства имен.

В этом разделе рассматриваются следующие разделы:

Безопасность пространства имен

Безопасность пространства имен зависит от стандартных идентификаторов безопасности пользователей Windows (SID) и дескриптора безопасности для пространства имен WMI.

Вы можете задать безопасность пространства имен, выполнив следующие действия:

Параметры безопасности распределенной объектной объектной модели (DCOM).

Для обеспечения безопасности DCOM требуются параметры проверки подлинности и олицетворения. Проверка подлинности означает, что один процесс идентифицирует себя для другого. Олицетворение определяет полномочия, предоставляемые клиентом серверу для вызова различных процессов. Во время проверка безопасности сервер олицетворяет клиента. Дополнительные сведения см. в разделах Защита клиентов и поставщиков C++ или Защита клиентов скриптов.

Скрипты и приложения C/C++/C# либо устанавливают уровни проверки подлинности и олицетворения при подключении к пространству имен WMI, либо используют параметры по умолчанию. Для подключений к удаленным компьютерам требуются параметры, отличные от пространств имен WMI на локальном компьютере. Дополнительные сведения см. в статье Подключение к WMI на удаленном компьютере.

WMI, узлы общих служб и проверка подлинности

WMI находится на узле общей службы с несколькими другими службами, работающими под учетной записью NetworkService. В процессе Svchost WMI использует ту же проверку подлинности, что и другие процессы на узле.

Библиотеки DLL поставщика загружаются в отдельные процессы узла службы из WMI. Свойство HostingModel в системном классе __Win32Provider , представляющем поставщика, указывает системную учетную запись, под которой выполняется поставщик. Задание этого свойства приводит к загрузке поставщика в процесс общего узла с заданным уровнем привилегий. Дополнительные сведения см. в разделе Размещение и безопасность поставщика.

Безопасность клиентских скриптов и приложений WMI

Скрипты и приложения должны обеспечить правильную безопасность для подключения к пространствам имен WMI на локальных и удаленных компьютерах. Дополнительные сведения см. в статьях Защита клиентов и поставщиков C++, Защита клиентов скриптов и Защита событий WMI.

В следующей таблице перечислены разделы, посвященные обеспечению безопасности WMI.

Раздел Описание
Защита пространств имен WMI Доступ к данным пространства имен можно ограничить для авторизованных пользователей с помощью элемента управления WMI.
Защита поставщика Сведения о написании защищенных поставщиков.
Защита клиентов и поставщиков C++ Поставщики C++ и клиентские приложения должны выполнять множество одинаковых операций для обеспечения безопасности WMI.
Защита клиентов скриптов Скрипты и приложения Visual Basic (клиенты автоматизации) должны задавать соответствующую безопасность для получения доступа к данным и событиям WMI.
Защита событий WMI События WMI доставляются поставщиком событий временному или постоянному потребителю. События доставляются в виде экземпляра класса событий.
Изменение безопасности доступа для защищаемых объектов С соответствующими разрешениями можно вызывать методы объектов WMI, которые представляют защищаемые объекты, которые считывают или изменяют дескрипторы безопасности в защищаемых объектах.

 

Использование WMI