Akses ke Namespace Layanan WMI
WMI menggunakan deskriptor keamanan Windows standar untuk mengontrol akses ke namespace layanan WMI. Ketika Anda terhubung ke WMI, baik melalui moniker "winmgmts" WMI atau panggilan ke IWbemLocator::Koneksi Server atau SWbemLocator.KoneksiServer, Anda tersambung ke namespace tertentu.
Informasi berikut dibahas dalam topik ini:
- Keamanan Namespace Layanan WMI
- Audit Namespace Layanan WMI
- Jenis Peristiwa Namespace Layanan
- Pengaturan Akses Namespace
- Izin Default pada Namespace Layanan WMI
- Topik terkait
Keamanan Namespace Layanan WMI
WMI mempertahankan keamanan namespace layanan dengan membandingkan token akses pengguna yang terhubung ke namespace layanan dengan pendeskripsi keamanan namespace layanan. Untuk informasi selengkapnya tentang keamanan Windows, lihat Akses ke Objek Yang Dapat Diamankan WMI.
Ketahuilah bahwa, dimulai dengan Windows Vista, Kontrol Akun Pengguna (UAC) memengaruhi akses ke data WMI dan apa yang dapat dikonfigurasi dengan Kontrol WMI. Untuk informasi selengkapnya, lihat Izin Default pada Namespace Layanan WMI dan Kontrol Akun Pengguna dan WMI.
Akses ke namespace layanan WMI juga terpengaruh ketika koneksi berasal dari komputer jarak jauh. Untuk informasi selengkapnya, lihat Koneksi ke WMI di Komputer Jarak Jauh, Mengamankan Koneksi WMI Jarak Jauh, dan Koneksi Melalui Windows Firewall.
Penyedia harus mengandalkan pengaturan peniruan untuk koneksi guna menentukan apakah skrip atau aplikasi klien harus menerima data. Untuk informasi selengkapnya tentang skrip dan aplikasi klien, lihat Mengatur Keamanan Proses Aplikasi Klien. Untuk informasi selengkapnya tentang peniruan penyedia , lihat Mengembangkan Penyedia WMI.
Audit Namespace Layanan WMI
WMI menggunakan daftar kontrol akses Sistem namespace (SACL) untuk mengaudit aktivitas namespace layanan. Untuk mengaktifkan audit namespace layanan WMI, gunakan tab Keamanan pada Kontrol WMI untuk mengubah pengaturan audit untuk namespace layanan.
Audit tidak diaktifkan selama penginstalan sistem operasi. Untuk mengaktifkan audit, klik tab Audit di jendela Keamanan standar. Kemudian Anda dapat menambahkan entri audit.
Kebijakan Grup untuk komputer lokal harus diatur untuk memperbolehkan audit. Anda dapat mengaktifkan audit dengan menjalankan snap-in MMC Gpedit.msc dan mengatur Akses Objek Audit di bawah Konfigurasi>Komputer Windows Pengaturan> Keamanan Pengaturan> Kebijakan Pusat>Kebijakan Audit.
Entri audit mengedit SACL namespace layanan. Saat Anda menambahkan entri audit, entri tersebut adalah pengguna, grup, komputer, atau prinsip keamanan bawaan. Setelah menambahkan entri, Anda dapat mengatur operasi akses yang menghasilkan peristiwa Log Keamanan. Misalnya, untuk grup Pengguna Terautentikasi, Anda dapat mengklik Jalankan Metode. Pengaturan ini menghasilkan peristiwa Log Keamanan setiap kali anggota grup Pengguna Terautentikasi menjalankan metode di namespace tersebut. ID Peristiwa untuk peristiwa WMI adalah 4662.
Akun Anda harus berada di grup Administrator dan berjalan di bawah hak istimewa yang ditinggikan untuk mengubah pengaturan audit. Akun Administrator bawaan juga dapat mengubah keamanan atau audit untuk namespace layanan. Untuk informasi selengkapnya tentang menjalankan dalam mode yang ditingkatkan, lihat Kontrol Akun Pengguna dan WMI.
Audit WMI menghasilkan peristiwa keberhasilan atau kegagalan untuk upaya mengakses namespace layanan WMI. Layanan ini tidak mengaudit keberhasilan atau kegagalan operasi penyedia. Misalnya, ketika skrip tersambung ke WMI dan namespace layanan, skrip mungkin gagal karena akun tempat skrip berjalan tidak memiliki akses ke namespace layanan tersebut atau dapat mencoba operasi, seperti mengedit DACL, yang tidak diberikan.
Jika Anda menjalankan di bawah akun di grup Administrator, Anda dapat melihat peristiwa audit namespace layanan di antarmuka pengguna Pemantau Peristiwa.
Jenis Peristiwa Namespace Layanan
WMI melacak jenis peristiwa berikut di Log Peristiwa Keamanan:
Audit Berhasil
Operasi harus berhasil menyelesaikan dua langkah untuk Keberhasilan Audit. Pertama, WMI memberikan akses ke aplikasi atau skrip klien berdasarkan SID klien dan NAMESPACE DACL. Kedua, operasi yang diminta cocok dengan hak akses di NAMESPACE SACL untuk pengguna atau grup tersebut.
Kegagalan Audit
WMI menolak akses ke namespace layanan, tetapi operasi yang diminta cocok dengan hak akses di NAMESPACE SACL untuk pengguna atau grup tersebut.
Pengaturan Akses Namespace
Anda dapat melihat hak akses namespace layanan untuk berbagai akun di Kontrol WMI. Konstanta ini dijelaskan dalam Konstanta Hak Akses Namespace. Anda dapat mengubah akses ke namespace layanan WMI menggunakan Kontrol WMI atau secara terprogram. Untuk informasi selengkapnya, lihat Mengubah Keamanan Akses pada Objek Yang Dapat Diamankan.
Audit WMI berubah dalam semua izin akses yang tercantum dalam daftar berikut kecuali untuk izin Aktifkan Jarak Jauh. Perubahan dicatat sebagai keberhasilan audit atau kegagalan yang sesuai dengan izin Edit Keamanan.
-
Metode Eksekusi
-
Mengizinkan pengguna untuk menjalankan metode yang ditentukan pada kelas WMI. Sesuai dengan konstanta izin akses WBEM_METHOD_EXECUTE .
-
Tulis Penuh
-
Mengizinkan akses baca, tulis, dan hapus penuh ke kelas WMI dan instans kelas, baik statis maupun dinamis. Sesuai dengan konstanta izin akses WBEM_FULL_WRITE_REP .
-
Tulis Parsial
-
Mengizinkan akses tulis ke instans kelas WMI statis. Sesuai dengan konstanta izin akses WBEM_PARTIAL_WRITE_REP .
-
Penulisan Penyedia
-
Mengizinkan akses tulis ke instans kelas WMI dinamis. Sesuai dengan konstanta izin akses WBEM_WRITE_PROVIDER .
-
Aktifkan Akun
-
Mengizinkan akses baca ke instans kelas WMI. Sesuai dengan konstanta izin akses WBEM_ENABLE .
-
Aktifkan Jarak Jauh
-
Mengizinkan akses ke namespace layanan oleh komputer jarak jauh. Sesuai dengan konstanta izin akses WBEM_REMOTE_ACCESS .
-
Keamanan Baca
-
Mengizinkan akses baca-saja ke pengaturan DACL. Sesuai dengan konstanta izin akses READ_CONTROL .
-
Edit Keamanan
-
Mengizinkan akses tulis ke pengaturan DACL. Sesuai dengan konstanta izin akses WRITE_DAC .
Izin Default pada Namespace Layanan WMI
Grup keamanan default adalah:
- Pengguna yang Diautentikasi
- LAYANAN LOKAL
- LAYANAN JARINGAN
- Administrator (di komputer lokal)
Izin akses default untuk Pengguna Terautentikasi, LAYANAN LOKAL, dan LAYANAN JARINGAN adalah:
- Jalankan Metode
- Tulis Penuh
- Aktifkan Akun
Akun dalam grup Administrator memiliki semua hak yang tersedia untuk mereka, termasuk mengedit deskriptor keamanan. Namun, karena Kontrol Akun Pengguna (UAC), Kontrol WMI atau skrip harus berjalan pada keamanan yang ditingkatkan. Untuk informasi selengkapnya, lihat Kontrol Akun Pengguna dan WMI.
Terkadang skrip atau aplikasi harus mengaktifkan hak istimewa administrator, seperti SeSecurityPrivilege, untuk melakukan operasi. Misalnya, skrip dapat menjalankan metode GetSecurityDescriptor dari kelas Win32_Printer tanpa SeSecurityPrivilege dan mendapatkan informasi keamanan dalam daftar kontrol akses diskresi (DACL) dari deskriptor keamanan objek printer. Namun, informasi SACL tidak dikembalikan ke skrip kecuali hak istimewa SeSecurityPrivilege tersedia dan diaktifkan untuk akun tersebut. Jika akun tidak memiliki hak istimewa yang tersedia, maka tidak dapat diaktifkan. Untuk informasi selengkapnya, lihat Menjalankan Operasi Istimewa.
Topik terkait
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk