WMI を使用して MSCluster 名前空間にクエリを実行すると、警告イベント ID 5605 がアプリケーション ログに記録されます

この記事では、WMI を使用して MSCluster 名前空間にクエリを実行するときに、警告イベント ID 5605 がアプリケーション ログに記録される問題について説明します。

適用対象: Windows Server 2008 R2 Service Pack 1
元の KB 番号: 2590230

現象

MSCluster 名前空間にクエリを実行するか、この名前空間のプロパティを照会するアプリケーションを実行すると、認証が PacketPrivacy に設定されているにもかかわらず、次の警告イベントが発生する可能性があります。

ログ名: アプリケーション
ソース: Microsoft-Windows-WMI
イベント ID: 5605
レベル: 警告
説明:
Root\MSCluster 名前空間は RequiresEncryption フラグでマークされています。 スクリプトまたはアプリケーションに適切な認証レベルがない場合、この名前空間へのアクセスが拒否される可能性があります。 認証レベルを Pkt_Privacy に変更し、スクリプトまたはアプリケーションをもう一度実行します。

注:

これは Root\MSCluster 名前空間のみに固有ではなく、イベントは RequiresEncryption フラグ (root\cimv2\TerminalServices など) でマークされている任意の名前空間でログに記録される場合があります。

この警告は、認証が PacketPrivacy に設定されている場合でもログに記録され、クエリが期待どおりに動作する限り無視しても問題ありません。

回避策

この問題を回避し、警告がログに記録されないようにするには、2 つの解決策があります。 セキュリティの観点から、回避策 b を使用することをお勧めしています。

a. ClusWMI.mof を変更する

このためには、次の手順に従います。

1. 編集のために C:\Windows\system32\wbem\ClusWMI.mof を開き、[RequiresEncryption(FALSE)] を設定します。
2. "mofcomp C:\Windows\system32\wbem\ClusWMI.mof" を実行して、ClusWMI.mof ファイルを再コンパイルします。
3. winmgmt サービスを再起動します。

注:

ClusWMI.mof ファイルが修正プログラムまたは Service Pack を介して更新された場合は、この回避策を再適用する必要があります。

この回避策は、セキュリティ/サポート可能性への影響について、Microsoft によってテストおよび確認されていません。

b. クエリを実行するアプリケーションの authenticationLevel を変更する

このためには、クエリの実行元または開始元のシステムで次のスクリプトを使用してレジストリを変更します。

Windows レジストリ エディター バージョン 5.00

[HKEY_CLASSES_ROOT\AppID{<Guid>}]
@="Applicationname.exe"
"AuthenticationLevel"=dword:00000006

[HKEY_CLASSES_ROOT\AppID\Applicationname.exe]
"AppID"="{<Guid>}"

Guid <> は AppID Guid で、Applicationname.exe は WMI クエリを実行するアプリケーションの名前です。

たとえば、buildIn WMI テスト ユーティリティとの接続を行う場合に wbemtest.exe します。

詳細

で説明されている回避策を適用することで、ClusWMI 名前空間からの情報のクエリをパケット プライバシーなしで実行でき、この名前空間に暗号化された接続を必要としないことで接続の安全性が低下します。

b に記載されている回避策を適用すると、名前空間への接続呼び出しは既にパケット プライバシーで行われているため、イベント 5605 はログに記録されません。

VBScript を使用した既定のプロセス セキュリティ レベルの設定

リモート WMI 接続のセキュリティ保護

名前空間への暗号化された接続の要求