Accès aux espaces de noms WMI

WMI utilise un descripteur de sécurité Windows standard pour contrôler l’accès aux espaces de noms WMI. Quand vous vous connectez à WMI, par le biais du moniker « winmgmts » WMI ou d’un appel à IWbemLocator :: ConnectServer ou SWbemLocator. ConnectServer, vous vous connectez à un espace de noms spécifique.

Les informations suivantes sont présentées dans cette rubrique :

Sécurité de l’espace de noms WMI

WMI gère la sécurité des espaces de noms en comparant le jeton d’accès de l’utilisateur qui se connecte à l’espace de noms avec le descripteur de sécurité de l’espace de noms. pour plus d’informations sur la sécurité de Windows, consultez accès aux objets sécurisables WMI.

n’oubliez pas que, à partir de Windows Vista, le contrôle de compte d’utilisateur (UAC, User Account control) affecte l’accès aux données wmi et ce qui peut être configuré avec le contrôle wmi. Pour plus d’informations, consultez autorisations par défaut sur les espaces de noms WMI et le contrôle de compte d’utilisateur et WMI.

L’accès aux espaces de noms WMI est également affecté lorsque la connexion provient d’un ordinateur distant. pour plus d’informations, consultez connexion à wmi sur un ordinateur distant, sécurisation d’une connexion WMI à distanceet connexion via Windows pare-feu.

Les fournisseurs doivent s’appuyer sur le paramètre d’emprunt d’identité de la connexion pour déterminer si le script ou l’application cliente doit recevoir des données. Pour plus d’informations sur les scripts et les applications clientes, consultez Définition de la sécurité des processus d’application cliente. Pour plus d’informations sur l’emprunt d’identité du fournisseur , consultez développement d’un fournisseur WMI.

Audit de l’espace de noms WMI

WMI utilise les listes de contrôle d’accès système de l’espace de noms pour auditer l’activité de l’espace de noms. Pour activer l’audit des espaces de noms WMI, utilisez l’onglet sécurité du contrôle WMI pour modifier les paramètres d’audit de l’espace de noms.

L’audit n’est pas activé lors de l’installation du système d’exploitation. Pour activer l’audit, cliquez sur l’onglet audit dans la fenêtre sécurité standard. Vous pouvez ensuite ajouter une entrée d’audit.

Stratégie de groupe de l’ordinateur local doit être défini pour autoriser l’audit. vous pouvez activer l’audit en exécutant le composant logiciel enfichable MMC Gpedit. msc et en définissant audit Object Access sous Configuration ordinateur > Windows Paramètres > sécurité Paramètres > > stratégie d’audit stratégies locales.

Une entrée d’audit modifie la liste SACL de l’espace de noms. Lorsque vous ajoutez une entrée d’audit, il s’agit d’un utilisateur, d’un groupe, d’un ordinateur ou d’un principal de sécurité intégré. Après avoir ajouté l’entrée, vous pouvez définir les opérations d’accès qui entraînent des événements du journal de sécurité. Par exemple, pour les utilisateurs authentifiés de groupe, vous pouvez cliquer sur exécuter des méthodes. Ce paramètre génère des événements de journal de sécurité chaque fois qu’un membre du groupe utilisateurs authentifiés exécute une méthode dans cet espace de noms. L’ID d’événement pour les événements WMI est 4662.

Votre compte doit être dans le groupe administrateurs et s’exécuter sous un privilège élevé pour modifier les paramètres d’audit. Le compte administrateur intégré peut également modifier la sécurité ou l’audit d’un espace de noms. Pour plus d’informations sur l’exécution en mode élevé, consultez contrôle de compte d’utilisateur et WMI.

L’audit WMI génère des événements de réussite ou d’échec pour les tentatives d’accès aux espaces de noms WMI. Le service n’audite pas la réussite ou l’échec des opérations du fournisseur. Par exemple, lorsqu’un script se connecte à WMI et à un espace de noms, il peut échouer, car le compte sous lequel le script s’exécute n’a pas accès à cet espace de noms ou peut tenter une opération, telle que la modification de la liste DACL, qui n’est pas accordée.

Si vous exécutez sous un compte dans le groupe administrateurs, vous pouvez afficher les événements d’audit de l’espace de noms dans l’interface utilisateur Observateur d’événements .

Types d’événements d’espace de noms

WMI effectue le suivi des types d’événements suivants dans le journal des événements de sécurité :

  • Succès de l’audit

    L’opération doit réussir deux étapes pour une réussite d’audit. Tout d’abord, WMI accorde l’accès à l’application cliente ou au script en fonction du SID du client et de la liste DACL des espaces de noms. Deuxièmement, l’opération demandée correspond aux droits d’accès dans la liste SACL d’espaces de noms pour cet utilisateur ou ce groupe.

  • Échec de l’audit

    WMI refuse l’accès à l’espace de noms, mais l’opération demandée correspond aux droits d’accès dans la liste SACL d’espaces de noms pour cet utilisateur ou ce groupe.

Paramètres d’accès à l’espace de noms

Vous pouvez afficher les droits d’accès à l’espace de noms pour différents comptes sur le contrôle WMI. Ces constantes sont décrites dans constantes de droits d’accès à l’espace de noms. Vous pouvez modifier l’accès à un espace de noms WMI à l’aide du contrôle WMI ou par programme. Pour plus d’informations, consultez modification de la sécurité d’accès sur des objets sécurisables.

Les audits WMI changent dans toutes les autorisations d’accès répertoriées dans la liste suivante, à l’exception de l’autorisation Remote Enable. Les modifications sont enregistrées en tant que succès ou échec de l’audit correspondant à l’autorisation Modifier la sécurité.

Méthodes Execute

Permet à l’utilisateur d’exécuter des méthodes définies sur des classes WMI. Correspond à la constante d’autorisation d’accès d' _ _ exécution de la méthode WBEM .

Écriture complète

Autorise l’accès complet en lecture, écriture et suppression aux classes WMI et aux instances de classe, statiques et dynamiques. Correspond à la constante d’autorisation d’accès au _ _ REP Full Write _ REP .

Écriture partielle

Autorise l’accès en écriture aux instances de classe WMI statiques. Correspond à la constante d’autorisation d’accès de la _ _ _ Représentation partielle WBEM .

Écriture du fournisseur

Autorise l’accès en écriture aux instances de classe WMI dynamiques. Correspond à la constante d’autorisation d’accès du _ _ fournisseur d’écriture WBEM .

Activer le compte

Autorise l’accès en lecture aux instances de classe WMI. Correspond à la constante d’autorisation d’accès WBEM _ Enable .

Activation à distance

Autorise l’accès à l’espace de noms par les ordinateurs distants. Correspond à la constante d’autorisation d’accès _ à _ distance WBEM .

Sécurité de lecture

Autorise l’accès en lecture seule aux paramètres DACL. Correspond à la constante d’autorisation d’accès au _ contrôle de lecture .

Modifier la sécurité

Autorise l’accès en écriture aux paramètres DACL. Correspond à la constante d’autorisation Write _ DAC Access.

Autorisations par défaut sur les espaces de noms WMI

Les groupes de sécurité par défaut sont les suivants :

  • Utilisateurs authentifiés
  • SERVICE LOCAL
  • SERVICE RÉSEAU
  • Administrateurs (sur l’ordinateur local)

Les autorisations d’accès par défaut pour les utilisateurs authentifiés, le SERVICE LOCAL et le SERVICE réseau sont les suivantes :

  • Méthodes d’exécution
  • Écriture complète
  • Activer le compte

Les comptes du groupe administrateurs disposent de tous les droits nécessaires, y compris la modification des descripteurs de sécurité. Toutefois, en raison du contrôle de compte d’utilisateur (UAC), le contrôle WMI ou le script doit s’exécuter avec un niveau de sécurité élevé. Pour plus d’informations, consultez contrôle de compte d’utilisateur et WMI.

Parfois, un script ou une application doit activer un privilège d’administrateur, tel que SeSecurityPrivilege, pour effectuer une opération. Par exemple, un script peut exécuter la méthode GetSecurityDescriptor de la classe Win32 _ Printer sans SeSecurityPrivilege et obtenir les informations de sécurité dans la liste de contrôle d' accès discrétionnaire (DACL, Discretionary Access Control List) du descripteur de sécuritéde l’objet Printer. Toutefois, les informations SACL ne sont pas renvoyées au script, sauf si le privilège SeSecurityPrivilege est disponible et activé pour le compte. Si le compte ne dispose pas du privilège disponible, il ne peut pas être activé. Pour plus d’informations, consultez exécution d’opérations privilégiées.

À propos de WMI