Verwalten der WMI-Sicherheit

Die WMI-Sicherheit konzentriert sich auf den Schutz des Zugriffs auf Namespacedaten. WMI gewährt zunächst Zugriff auf Benutzergruppen, wie in den WMI-Steuerelement- und DCOM-Einstellungen angegeben, und dann bestimmen Anbieter, ob der Benutzer Zugriff auf Namespacedaten haben soll.

Die folgenden Abschnitte werden in diesem Thema erläutert:

Namespacesicherheit

Die Namespacesicherheit hängt von standard Windows Benutzersicherheits-IDs (SID) und der Sicherheitsbeschreibung für den WMI-Namespace ab.

Sie können die Namespacesicherheit festlegen, indem Sie die folgenden Aktionen ausführen:

Distributed Component Object Model (DCOM) Security Einstellungen.

Die DCOM-Sicherheit erfordert eine Authentifizierungseinstellung und eine Identitätswechseleinstellung. Authentifizierung bedeutet, dass sich ein Prozess gegenüber einem anderen identifiziert. Der Identitätswechsel identifiziert die Autorität, die ein Client einem Server gewährt, um verschiedene Prozesse aufzurufen. Während einer Sicherheitsüberprüfung nimmt der Server die Identität des Clients an. Weitere Informationen finden Sie unter Sichern von C++-Clients und -Anbietern oder Sichern von Skriptclients.

Skripts und C/C++/C#-Anwendungen richten entweder eine Authentifizierungs- und Identitätswechselebene ein, wenn sie eine Verbindung mit einem WMI-Namespace herstellen, oder sie verwenden die Standardeinstellungen. Für Verbindungen mit Remotecomputern sind andere Einstellungen als für die WMI-Namespaces auf dem lokalen Computer erforderlich. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit WMI auf einem Remotecomputer.

WMI, Hosts für gemeinsame Dienste und Authentifizierung

WMI befindet sich auf einem freigegebenen Diensthost mit mehreren anderen Diensten, die unter dem NetworkService-Konto ausgeführt werden. In einem Svchost-Prozess verwendet WMI dieselbe Authentifizierung wie die anderen Prozesse auf dem Host.

Anbieter-DLLs werden in separate Diensthostprozesse von WMI geladen. Die HostingModel-Eigenschaft in der _ _ Win32Provider-Systemklasse, die einen Anbieter darstellt, gibt das Systemkonto an, unter dem der Anbieter ausgeführt wird. Das Festlegen dieser Eigenschaft bewirkt, dass der Anbieter in einen freigegebenen Hostprozess geladen wird, der über eine angegebene Berechtigungsebene verfügt. Weitere Informationen finden Sie unter Anbieterhosting und Sicherheit.

Sicherheit für WMI-Clientskripts und -Anwendungen

Skripts und Anwendungen müssen die richtige Sicherheit einrichten, um eine Verbindung mit WMI-Namespaces auf lokalen und Remotecomputern herzustellen. Weitere Informationen finden Sie unter Sichern von C++-Clients und -Anbietern, Sichern von Skriptclientsund Sichern von WMI-Ereignissen.

In der folgenden Tabelle sind die Themen zur Aufrechterhaltung der WMI-Sicherheit aufgeführt.

Thema Beschreibung
Sichern von WMI-Namespaces Sie können den Zugriff auf Namespacedaten auf autorisierte Benutzer über die WMI-Steuerung beschränken.
Schützen Ihres Anbieters Informationen zum Schreiben sicherer Anbieter.
Sichern von C++-Clients und -Anbietern Sowohl C++-Anbieter als auch Clientanwendungen müssen viele der gleichen Vorgänge ausführen, um die WMI-Sicherheit aufrechtzuerhalten.
Sichern von Skriptclients Skripts und Visual Basic Anwendungen (Automatisierungsclients) müssen die entsprechende Sicherheit festlegen, um Zugriff auf WMI-Daten und -Ereignisse zu erhalten.
Sichern von WMI-Ereignissen WMI-Ereignisse werden vom Ereignisanbieter an einen temporären oder permanenten Consumer übermittelt. Ereignisse werden in Form einer Instanz einer Ereignisklasse übermittelt.
Ändern der Zugriffssicherheit für sicherungsfähige Objekte Mit entsprechenden Berechtigungen können Sie Methoden für die WMI-Objekte aufrufen, die sicherungsfähige Objekte darstellen, die Sicherheitsbeschreibungen für sicherungsfähige Objekte lesen oder ändern.

Verwenden von WMI