Разделы реестра и значения для управления безопасностью поставщика

Чтобы повысить безопасность процесса узла общего поставщика инструментария управления Windows (WMI) (wmiprvse.exe), были внесены изменения на платформы Windows, которые защищают процесс узла поставщика с помощью идентификатора безопасности службы (SID). В этих изменениях представлены следующие режимы выполнения для общего узла WMI: безопасный и совместимый.

В этом разделе рассматриваются следующие разделы:

• Безопасные и совместимые режимы
• Разделы и значения реестра
• Настройка поставщика для запуска в безопасном или совместимом режиме

Безопасные и совместимые режимы

Начиная с Windows 7 были добавлены следующие два режима выполнения для общего узла WMI:

Безопасный режим

Ресурсы процесса размещения поставщика WMI защищены с помощью идентификатора безопасности службы. Только идентификатор безопасности службы имеет разрешения для этих ресурсов.

Совместимый режим

Процесс узла общего поставщика WMI не защищен идентификатором безопасности службы. Процесс узла поставщика позволяет получить доступ к учетным записям NetworkService или LocalService в зависимости от модели размещения. Дополнительные сведения о моделях размещения см. в разделе "Размещение поставщиков" и " Безопасность".

Windows Vista и Windows Server 2008. Чтобы получить доступ к разделам реестра и значениям для управления безопасными и совместимыми режимами для процесса узла поставщика, необходимо установить обновление безопасности в КБ 959454. Дополнительные сведения см. в бюллетене майкрософт по безопасности MS09-012.

Разделы и значения реестра

Параметры безопасного и совместимого режима задаются с помощью разделов реестра. Разделы реестра для WMI находятся в реестре по адресу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM CIMOM\\.

Следующие разделы реестра и значение DWORD , описанные в следующем списке, были добавлены для управления поведением поставщиков WMI.

SecuredHostProviders

Этот ключ управляет поведением отдельных поставщиков. Все поставщики, перечисленные в этом ключе, всегда выполняются в безопасном режиме. Все поставщики почтовых ящиков, которые поставляются с Windows, перечислены в этом ключе и выполняются в безопасном режиме по умолчанию.

Этот ключ имеет приоритет над поставщиками, перечисленными в ключе CompatibleHostProviders .

CompatibleHostProviders

Этот ключ управляет поведением отдельных поставщиков. Все поставщики, перечисленные в этом ключе, всегда выполняются в совместимом режиме. Этот ключ по умолчанию пуст.

Если поставщик указан как в ключе SecuredHostProviders, так и в ключе CompatibleHostProviders, поставщик выполняется в безопасном режиме.

Примечание.

Ключ CompatibleHostProviders обеспечивает совместимость приложений для сторонних приложений, если для ключа DefaultSecuredHost задано значение 1, и поставщик, как известно, не работает в безопасном режиме.

 

DefaultSecuredHost

Значение DWORD глобального реестра, определяющее, выполняются ли все поставщики, не перечисленные в ключах SecuredHostProviders или CompatibleHostProviders, в безопасном или совместимом режиме. Это значение DWORD позволяет администратору решить, в каком режиме должен выполняться сторонний поставщик. По умолчанию это значение равно нулю, и все сторонние поставщики выполняются в совместимом режиме. Администратор istrator может сделать компьютер более безопасным по умолчанию, задав параметр Значение DefaultSecuredHost до 1.

Примечание.

Значение DefaultSecuredHost не влияет на другие разделы реестра. Поставщики, перечисленные в ключе SecuredHostProviders, остаются в безопасном режиме, а те, которые перечислены в ключе CompatibleHostProviders, остаются в совместимом режиме.

 

Возможны следующие параметры:

0

Указывает, что поставщики выполняются в совместимом режиме.

1

Указывает, что поставщики выполняются в безопасном режиме.

В следующем списке перечислены возможные параметры реестра и связанные режимы выполнения для поставщика.

Список в разделе SecuredHostProviders	Список в разделе CompatibleHostProviders	Параметр DefaultSecuredHost	Режим
No	No	0	Совместимые
No	Да	0	Совместимые
Да	No	0	Защита
Да	Да	0	Защита
No	No	1	Защита
No	Да	1	Совместимые
Да	Нет	1	Защита
Да	Да	1	Защита

 

Настройка поставщика для запуска в безопасном или совместимом режиме

Разделы реестра можно изменить с помощью консоли управления групповыми политиками (GPMC). Дополнительные сведения см. в консоли управления групповыми политиками.

В следующих процедурах показано, как управлять безопасными и совместимыми параметрами режима с помощью параметров групповой политики. Дополнительные сведения о параметрах групповой политики см. в обзоре параметров групповой политики.

Добавление поставщика в безопасный или совместимый режим с помощью групповой политики

1. Откройте GPMC.

2. Создание объекта групповой политики (GPO).

3. Измените объект групповой политики.

4. Перейдите в раздел "Параметры", "Windows Параметры/Реестр".

5. Щелкните правой кнопкой мыши и выберите "Создать" ... Реестр. Это действие представляет пользовательский интерфейс, в котором можно ввести сведения о реестре.

6. Выберите команду "Создать".

7. Выберите следующий путь к разделу реестра:

   Безопасный режим: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM CIMOM\\SecuredHostProviders

   Режим совместимости: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM CIMOM\\CompatibleHostProviders

8. В поле имени введите имя поставщика, который нужно добавить в этот ключ. Имя поставщика должно быть в следующем формате: <пространство> имен:<__RELPATH>. Например, root\cimv2:__win32provider.name="MyProvider".

9. В поле данных введите 0.

10. Щелкните OK.

Удаление поставщика из защищенного или совместимого режима с помощью групповой политики

1. Откройте GPMC.

2. Создайте объект групповой политики.

3. Измените объект групповой политики.

4. Перейдите в раздел "Параметры", "Windows Параметры/Реестр".

5. Щелкните правой кнопкой мыши и выберите "Создать" ... Реестр. Это действие представляет пользовательский интерфейс, в котором можно ввести сведения о реестре.

6. Выберите команду "Удалить".

7. Выберите следующий путь к разделу реестра:

   Безопасный режим: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM CIMOM\\SecuredHostProviders

   Режим совместимости: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM CIMOM\\CompatibleHostProviders

8. В поле имени введите имя поставщика, который нужно удалить из этого ключа.

9. В поле данных введите 0.

10. Щелкните OK.

Следующая процедура содержит сведения об изменении поведения поставщиков, которые не перечислены в ключах SecuredHostProviders или CompatibleHostProviders.

Изменение значения по умолчанию ключа DefaultSecuredHost с помощью групповой политики

1. Откройте GPMC.
2. Создайте объект групповой политики.
3. Измените объект групповой политики.
4. Перейдите в раздел "Параметры", "Windows Параметры/Реестр".
5. Щелкните правой кнопкой мыши и выберите "Создать" ... Реестр. Это действие представляет пользовательский интерфейс, в котором можно ввести сведения о реестре.
6. Выберите команду Update.
7. Выберите следующий путь к разделу реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM CIMOM.\
8. В поле имени введите DefaultSecuredHost.
9. В поле данных введите 0 для совместимого режима или 1 для безопасного режима.
10. Нажмите кнопку "OК".