用于控制提供程序安全性的注册表项和值

为了增强 Windows Management Instrumentation (WMI) 共享提供程序主机进程 (wmiprvse.exe) 的安全性,对Windows平台进行了更改,这些平台使用服务安全标识符 (SID) 保护提供程序主机进程的安全。 这些更改为 WMI 共享主机引入了以下运行模式:安全兼容。

本主题介绍了以下部分:

安全兼容模式

从 Windows 7 开始,添加了 WMI 共享主机进程的以下两种运行模式:

安全模式

WMI 提供程序主机进程资源使用 服务 SID 进行保护。 只有 服务 SID 对这些资源具有权限。

兼容模式

WMI 共享提供程序主机进程不受 服务 SID 保护。 提供程序主机进程允许根据托管模型访问 NetworkService 或 LocalService 帐户。 有关托管模型的详细信息,请参阅 提供程序托管和安全性

Windows Vista 和 Windows Server 2008:若要访问用于控制提供程序主机进程的安全兼容模式的注册表项和值,必须在 KB 959454 中安装安全更新。 有关详细信息,请参阅 Microsoft 安全公告 MS09-012

注册表项和值

安全和兼容的模式设置是通过注册表项指定的。 WMI 的注册表项位于 HKEY_LOCAL_MACHINE\ SOFTWAREMicrosoftWBEMCIMOM\\\\的注册表中。

添加了以下列表中的注册表项和 DWORD 值来控制 WMI 提供程序的行为。

SecuredHostProviders

此键控制各个提供程序的行为。 此密钥中列出的所有提供程序始终以安全模式运行。 随Windows随附的所有收件箱提供程序都在此密钥下列出,默认情况下以安全模式运行。

此密钥优先于 CompatibleHostProviders 密钥中列出的提供程序。

CompatibleHostProviders

此键控制各个提供程序的行为。 此密钥中列出的所有提供程序始终以兼容模式运行。 默认情况下,此键为空。

如果提供程序同时列在 SecureHostProviders 密钥和 CompatibleHostProviders 密钥中,则提供程序以安全模式运行。

注意

如果 DefaultSecuredHost 密钥设置为 1,并且提供程序在安全模式下无法正常工作,则 CompatibleHostProviders 密钥为第三方应用程序提供应用程序兼容性。

 

DefaultSecuredHost

一个全局注册表 DWORD 值,该值确定是否在 SecureHostProviders 或 CompatibleHostProviders 密钥中列出的所有提供程序都以安全或兼容模式运行。 此 DWORD 值允许管理员决定第三方提供程序必须运行哪种模式。 默认情况下,此值设置为零,所有第三方提供程序都以兼容模式运行。 默认情况下,管理员可以将 DefaultSecuredHost 值设置为 1,使其计算机更安全。

注意

DefaultSecuredHost 值不会影响其他注册表项。 SecureHostProviders 密钥中列出的提供程序仍处于安全模式,CompatibleHostProviders 密钥中列出的提供程序仍处于兼容模式。

 

可以使用以下设置:

0

指定提供程序以兼容模式运行。

1

指定提供程序在安全模式下运行。

以下列表列出了可能的注册表设置和提供程序的关联运行模式。

在 SecuredHostProviders 下列出 在 CompatibleHostProviders 下列出 DefaultSecuredHost 设置 模式
0 兼容
0 兼容
0 安全
0 安全
1 安全
1 兼容
1 安全
1 安全

 

配置提供程序以安全或兼容模式运行

可以使用 组策略 管理控制台 (GPMC) 修改注册表项。 有关详细信息,请参阅组策略管理控制台

以下过程演示了如何使用组策略首选项管理安全兼容模式设置。 有关组策略首选项的详细信息,请参阅组策略首选项概述

使用 组策略 将提供程序添加到安全模式或兼容模式

  1. 打开 GPMC。

  2. 创建组策略对象 (GPO) 。

  3. 编辑 GPO。

  4. 浏览到首选项/Windows 设置/注册表。

  5. 右键单击并选择“ 新建...”注册表。 此操作提供一个用户界面,可在其中输入注册表信息。

  6. 选择 “创建 ”命令。

  7. 选择以下注册表项路径:

    安全模式:HKEY_LOCAL_MACHINE\软件\微软\WBEM\CIMOM\SecuredHostProviders

    兼容模式:HKEY_LOCAL_MACHINE\软件\微软\WBEM\CIMOM\CompatibleHostProviders

  8. 名称 字段中,输入要添加到此密钥的提供程序的名称。 提供程序名称必须采用以下格式: <namespace>:<__RELPATH>。 例如,root\cimv2:__win32provider.name=“MyProvider”。

  9. 数据 字段中,输入 0。

  10. 单击“确定”。

使用 组策略 从安全模式或兼容模式中删除提供程序

  1. 打开 GPMC。

  2. 创建 GPO。

  3. 编辑 GPO。

  4. 浏览到首选项/Windows 设置/注册表。

  5. 右键单击并选择“ 新建...”注册表。 此操作提供了一个用户界面,可在其中输入注册表信息。

  6. 选择 “删除 ”命令。

  7. 选择以下注册表项路径:

    安全模式:HKEY_LOCAL_MACHINE\软件\微软\WBEM\CIMOM\SecuredHostProviders

    兼容模式:HKEY_LOCAL_MACHINE\软件\微软\WBEM\CIMOM\CompatibleHostProviders

  8. 名称 字段中,输入要从此密钥中删除的提供程序的名称。

  9. 数据 字段中,输入 0。

  10. 单击“确定”。

以下过程详细介绍了如何修改 未在 SecuredHostProvidersCompatibleHostProviders 密钥中列出的提供程序的行为。

使用 组策略 更改 DefaultSecuredHost 密钥的默认值

  1. 打开 GPMC。
  2. 创建 GPO。
  3. 编辑 GPO。
  4. 浏览到首选项/Windows 设置/注册表。
  5. 右键单击并选择“ 新建...”注册表。 此操作提供了一个用户界面,可在其中输入注册表信息。
  6. 选择 “更新 ”命令。
  7. 选择以下注册表项路径:HKEY_LOCAL_MACHINE\ SOFTWAREMicrosoftWBEMCIMOM。\\\
  8. 名称 字段中,输入 DefaultSecuredHost
  9. 数据 字段中,输入 0 以兼容模式或 1 进行安全模式。
  10. 单击“确定”。