Verwalten der WMI-Sicherheit
Die WMI-Sicherheit konzentriert sich auf den Schutz des Zugriffs auf Namespacedaten. WMI gewährt zunächst Zugriff auf Benutzergruppen, wie in den WMI-Steuerelement- und DCOM-Einstellungen angegeben, und dann bestimmen Anbieter, ob der Benutzer Zugriff auf Namespacedaten haben soll.
Die folgenden Abschnitte werden in diesem Thema erläutert:
- Namespacesicherheit
- Distributed Component Object Model (DCOM) Security Einstellungen.
- WMI, Hosts für gemeinsame Dienste und Authentifizierung
- Sicherheit für WMI-Clientskripts und -Anwendungen
- Zugehörige Themen
Namespacesicherheit
Die Namespacesicherheit hängt von standard Windows Benutzersicherheits-IDs (SID) und der Sicherheitsbeschreibung für den WMI-Namespace ab.
Sie können die Namespacesicherheit festlegen, indem Sie die folgenden Aktionen ausführen:
- Gewähren oder Verweigern von Zugriffsrechten für Namespaces für Benutzer, die das WMI-Steuerelement verwenden oder wenn der Namespace erstellt wird. Weitere Informationen finden Sie unter Setting Namespace Security with the WMI Control (Festlegen der Namespacesicherheit mit dem WMI-Steuerelement) und Setting Namespace Security When the Namespace is Created (Festlegen der Namespacesicherheit beim Erstellen des Namespace).
- Verwenden Sie die WMI-Steuerungs-Registerkarte "Sicherheit", um die Sicherheitsüberwachung einzurichten. Die Sicherheitsüberwachung führt zu Ereignisprotokolleinträgen, wenn ein Benutzer fehlschlägt oder eine überwachte Aktion erfolgreich ausgeführt wird, z. B. das Schreiben von Daten in ein WMI-Objekt oder das Lesen des Sicherheitsdeskriptors. Weitere Informationen finden Sie unter Zugriff auf WMI-Namespaces.
- Verwenden Sie die MOF-Datei, die den Namespace definiert, damit ein Benutzer eine verschlüsselte Verbindung herstellen muss. Weitere Informationen finden Sie unter Erfordern einer verschlüsselten Verbindung mit einem Namespace.
Distributed Component Object Model (DCOM) Security Einstellungen.
Die DCOM-Sicherheit erfordert eine Authentifizierungseinstellung und eine Identitätswechseleinstellung. Authentifizierung bedeutet, dass sich ein Prozess gegenüber einem anderen identifiziert. Der Identitätswechsel identifiziert die Autorität, die ein Client einem Server gewährt, um verschiedene Prozesse aufzurufen. Während einer Sicherheitsüberprüfung nimmt der Server die Identität des Clients an. Weitere Informationen finden Sie unter Sichern von C++-Clients und -Anbietern oder Sichern von Skriptclients.
Skripts und C/C++/C#-Anwendungen richten entweder eine Authentifizierungs- und Identitätswechselebene ein, wenn sie eine Verbindung mit einem WMI-Namespace herstellen, oder sie verwenden die Standardeinstellungen. Für Verbindungen mit Remotecomputern sind andere Einstellungen als für die WMI-Namespaces auf dem lokalen Computer erforderlich. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit WMI auf einem Remotecomputer.
WMI, Hosts für gemeinsame Dienste und Authentifizierung
WMI befindet sich auf einem freigegebenen Diensthost mit mehreren anderen Diensten, die unter dem NetworkService-Konto ausgeführt werden. In einem Svchost-Prozess verwendet WMI dieselbe Authentifizierung wie die anderen Prozesse auf dem Host.
Anbieter-DLLs werden in separate Diensthostprozesse von WMI geladen. Die HostingModel-Eigenschaft in der _ _ Win32Provider-Systemklasse, die einen Anbieter darstellt, gibt das Systemkonto an, unter dem der Anbieter ausgeführt wird. Das Festlegen dieser Eigenschaft bewirkt, dass der Anbieter in einen freigegebenen Hostprozess geladen wird, der über eine angegebene Berechtigungsebene verfügt. Weitere Informationen finden Sie unter Anbieterhosting und Sicherheit.
Sicherheit für WMI-Clientskripts und -Anwendungen
Skripts und Anwendungen müssen die richtige Sicherheit einrichten, um eine Verbindung mit WMI-Namespaces auf lokalen und Remotecomputern herzustellen. Weitere Informationen finden Sie unter Sichern von C++-Clients und -Anbietern, Sichern von Skriptclientsund Sichern von WMI-Ereignissen.
In der folgenden Tabelle sind die Themen zur Aufrechterhaltung der WMI-Sicherheit aufgeführt.
| Thema | Beschreibung |
|---|---|
| Sichern von WMI-Namespaces | Sie können den Zugriff auf Namespacedaten auf autorisierte Benutzer über die WMI-Steuerung beschränken. |
| Schützen Ihres Anbieters | Informationen zum Schreiben sicherer Anbieter. |
| Sichern von C++-Clients und -Anbietern | Sowohl C++-Anbieter als auch Clientanwendungen müssen viele der gleichen Vorgänge ausführen, um die WMI-Sicherheit aufrechtzuerhalten. |
| Sichern von Skriptclients | Skripts und Visual Basic Anwendungen (Automatisierungsclients) müssen die entsprechende Sicherheit festlegen, um Zugriff auf WMI-Daten und -Ereignisse zu erhalten. |
| Sichern von WMI-Ereignissen | WMI-Ereignisse werden vom Ereignisanbieter an einen temporären oder permanenten Consumer übermittelt. Ereignisse werden in Form einer Instanz einer Ereignisklasse übermittelt. |
| Ändern der Zugriffssicherheit für sicherungsfähige Objekte | Mit entsprechenden Berechtigungen können Sie Methoden für die WMI-Objekte aufrufen, die sicherungsfähige Objekte darstellen, die Sicherheitsbeschreibungen für sicherungsfähige Objekte lesen oder ändern. |