共用方式為

控制提供者安全性的登錄機碼和值

  • 發行項

為了增強 Windows Management Instrumentation (WMI) 共用提供者主機進程 (wmiprvse.exe) 的安全性,已對使用服務安全性標識碼 (SID) 保護提供者主機進程的 Windows 平台進行變更。 這些變更為 WMI 共用主機引進了下列執行模式:安全且相容。

本主題涵蓋下列各節:

安全相容模式

從 Windows 7 開始,已新增下列兩種 WMI 共用主機進程的執行模式:

安全模式

WMI 提供者主機進程資源會受到 服務 SID 保護。 只有服務 SID 具有這些資源的許可權。

相容模式

WMI 共用提供者主機進程未受到 服務 SID 保護。 提供者主機進程允許根據裝載模型存取 NetworkService 或 LocalService 帳戶。 如需裝載模型的詳細資訊,請參閱 提供者裝載和安全性

Windows Vista 和 Windows Server 2008:若要存取登錄機碼和值,以控制提供者主機進程的安全相容模式,您必須在 KB 959454安裝安全性更新。 如需詳細資訊,請參閱 Microsoft 安全性佈告欄 MS09-012

登錄機碼和值

安全且相容的模式設定是透過登錄機碼來指定。 WMI 的登錄機碼位於 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM CIMOM\\的登錄機碼。

下列清單所述的登錄機碼和 DWORD 值已新增,以控制 WMI 提供者的行為。

SecuredHostProviders

此索引鍵會控制個別提供者的行為。 此金鑰中列出的所有提供者一律會以安全模式執行。 隨附於 Windows 的所有收件匣提供者都會列在此密鑰之下,且預設會以安全模式執行。

此金鑰的優先順序高於 CompatibleHostProviders 金鑰中列出的提供者。

CompatibleHostProviders

此索引鍵會控制個別提供者的行為。 此金鑰中列出的所有提供者一律會以相容模式執行。 根據預設,此索引鍵是空的。

如果提供者同時列在 SecureHostProviders 金鑰和 CompatibleHostProviders 金鑰中,則提供者會以安全模式執行。

注意

如果 DefaultSecuredHost 金鑰設定為 1,且提供者已知無法在安全模式中運作,CompatibleHostProviders 金鑰會提供第三方應用程式的應用程式相容性。

 

DefaultSecuredHost

全域登錄 DWORD 值,決定所有未列在 SecureHostProviders 或 CompatibleHostProviders 機碼中的提供者是否都是以安全或相容模式執行。 此 DWORD 值可讓系統管理員決定第三方提供者必須執行的模式。 根據預設,此值會設定為零,且所有第三方提供者都會以相容模式執行。 管理員 istrators 預設可藉由設定 ,使其電腦更安全DefaultSecuredHost 值設為 1。

注意

DefaultSecuredHost 值不會影響其他登錄機碼。 SecureHostProviders 金鑰中列出的提供者會維持在安全模式中,而 CompatibleHostProviders 金鑰中所列的提供者會維持在相容模式中。

 

下列設定是可能的:

0

指定提供者以相容模式執行。

1

指定提供者以安全模式執行。

下列清單列出提供者的可能登錄設定和相關聯的執行模式。

列在 SecuredHostProviders 底下 列在 CompatibleHostProviders 底下 DefaultSecuredHost 設定 模式
No 0 相容
No .是 0 相容
0 安全
Yes .是 0 安全
No No 1 安全
No Yes 1 相容
No 1 安全
Yes 1 安全

 

設定提供者以安全或相容模式執行

您可以使用組策略管理主控台 (GPMC) 來修改登錄機碼。 如需詳細資訊,請參閱 組策略管理主控台

下列程序說明如何使用組策略喜好設定來管理安全且相容的模式設定。 如需組策略喜好設定的詳細資訊,請參閱 組策略喜好設定概觀

使用組策略將提供者新增至安全或相容模式

  1. 開啟 GPMC。

  2. 建立組策略物件 (GPO)。

  3. 編輯 GPO。

  4. 流覽至 [喜好設定/Windows 設定/登錄]。

  5. 以滑鼠右鍵按鍵按下並選取[ 新增...登錄。 此動作會顯示使用者介面,您可以在其中輸入登錄資訊。

  6. 選取 [ 建立] 命令。

  7. 選取下列登入機碼路徑:

    安全模式:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM CIMOM\\SecureHostProviders

    相容模式:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM CIMOM\\CompatibleHostProviders

  8. 在 [ 名稱 ] 欄位中,輸入您要新增至此金鑰的提供者名稱。 提供者名稱的格式必須如下: <namespace>:<__RELPATH>。 例如,root\cimv2:__win32provider.name=“MyProvider”。

  9. 在 [ 數據 ] 欄位中,輸入 0。

  10. 按一下 [確定]。

若要使用組策略從安全或相容模式移除提供者

  1. 開啟 GPMC。

  2. 建立 GPO。

  3. 編輯 GPO。

  4. 流覽至 [喜好設定]/[Windows 設定/登錄]。

  5. 以滑鼠右鍵按鍵按下並選取[ 新增...登錄。 此動作會顯示使用者介面,您可以在其中輸入登錄資訊。

  6. 選取 [ 移除 ] 命令。

  7. 選取下列登入機碼路徑:

    安全模式:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM CIMOM\\SecureHostProviders

    相容模式:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM CIMOM\\CompatibleHostProviders

  8. 在 [ 名稱 ] 欄位中,輸入您要從此金鑰移除的提供者名稱。

  9. 在 [ 數據 ] 欄位中,輸入 0。

  10. 按一下 [確定]。

下列程式提供如何修改未列在 SecuredHostProviders 或 CompatibleHostProviders 金鑰中的提供者行為的詳細數據。

若要使用組策略變更 DefaultSecuredHost 金鑰的預設值

  1. 開啟 GPMC。
  2. 建立 GPO。
  3. 編輯 GPO。
  4. 流覽至 [喜好設定]/[Windows 設定/登錄]。
  5. 以滑鼠右鍵按鍵按下並選取[ 新增...登錄。 此動作會顯示使用者介面,您可以在其中輸入登錄資訊。
  6. 選取 [ 更新] 命令。
  7. 選取下列登錄機碼路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM CIMOM。\
  8. 在 [ 名稱] 欄位中,輸入 DefaultSecuredHost
  9. 在 [ 數據 ] 字段中,針對相容模式輸入 0,或輸入 1 以取得安全模式。
  10. 按一下 [確定] 。