WMI セキュリティの維持
WMI セキュリティでは、名前空間データへのアクセスの保護に重点を置いています。 WMI ではまず、"WMI コントロール" と DCOM の設定で指定されたユーザーのグループにアクセス権を付与し、その後プロバイダーでユーザーが名前空間データへのアクセス権を持つ必要があるかどうかが判断されます。
このトピックでは次のセクションを扱います。
- 名前空間のセキュリティ
- 分散コンポーネント オブジェクト モデル (DCOM) セキュリティ設定。
- WMI、共有サービス ホスト、認証
- WMI クライアント スクリプトとアプリケーションのセキュリティ
- 関連トピック
名前空間のセキュリティ
名前空間のセキュリティは、標準の Windows ユーザー "セキュリティ識別子 (SID)" と WMI 名前空間の "セキュリティ記述子" によって異なります。
名前空間のセキュリティは、次のアクションを実行して設定できます。
- WMI コントロールを使用するユーザーまたは名前空間の作成時に、名前空間へのアクセス権を付与または拒否します。 詳細については、「WMI コントロールを使用した名前空間セキュリティの設定」および名前空間の作成時の名前空間セキュリティの設定に関するページを参照してください。
- [WMI コントロール セキュリティ] タブを使用して、セキュリティ監査を確立します。 セキュリティ監査では、WMI オブジェクトへのデータの書き込みやセキュリティ記述子の読み取りなど、監査されたアクションでユーザーが失敗または成功した場合に、イベント ログ エントリが発生します。 詳細については、「WMI 名前空間へのアクセス」を参照してください。
- 名前空間を定義する MOF ファイルを使用して、ユーザーが暗号化された接続を行う必要があります。 詳細については、「名前空間への暗号化接続の要求」を参照してください。
分散コンポーネント オブジェクト モデル (DCOM) セキュリティ設定。
DCOM セキュリティには、認証設定と権限借用設定が必要です。 認証とは、あるプロセスが別のプロセスに対して自身を明らかにすることを意味します。 権限借用では、クライアントがサーバーに対して付与するさまざまなプロセスを呼び出す権限を識別します。 セキュリティ チェック中に、サーバーはクライアントの権限借用を行います。 詳細については、「C++ クライアントとプロバイダーのセキュリティ保護」または「スクリプト クライアントのセキュリティ保護」を参照してください。
スクリプトと C/C++/C# アプリケーションは、WMI 名前空間に接続するときに認証レベルと権限借用レベルを確立するか、既定の設定を使用します。 リモート コンピューターへの接続では、ローカル コンピューター上の WMI 名前空間とは異なる設定が必要です。 詳細については、「リモート コンピューター上の WMI への接続」を参照してください。
WMI、共有サービス ホスト、認証
WMI は、NetworkService アカウントで実行されている他のいくつかのサービスを持つ共有サービス ホストに存在します。 Svchost プロセスでは、WMI はホスト内の他のプロセスと同じ認証を共有します。
プロバイダー DLL は、WMI とは別のサービス ホスト プロセスに読み込まれます。 プロバイダーを表す __Win32Provider システム クラスの HostingModel プロパティは、プロバイダーを実行するシステム アカウントを指定します。 このプロパティを設定すると、指定されたレベルの特権を持つ共有ホスト プロセスにプロバイダーが読み込まれます。 詳細については、「プロバイダーのホスティングとセキュリティ」を参照してください。
WMI クライアント スクリプトとアプリケーションのセキュリティ
スクリプトとアプリケーションは、ローカルおよびリモート コンピューター上の WMI 名前空間に接続するための適切なセキュリティを確立する必要があります。 詳細については、「C++ クライアントとプロバイダーのセキュリティ保護」、「スクリプト クライアントのセキュリティ保護」、「WMI イベントのセキュリティ保護」を参照してください。
次の表に、WMI セキュリティの維持に関するトピックを示します。
| トピック | 説明 |
|---|---|
| WMI 名前空間のセキュリティ保護 | WMI コントロールを使用して、認可されたユーザーに名前空間データ アクセスを制限できます。 |
| プロバイダーのセキュリティ保護 | セキュリティで保護されたプロバイダーの記述に関する情報。 |
| C++ クライアントとプロバイダーのセキュリティ保護 | WMI セキュリティを維持するには、C++ プロバイダーとクライアント アプリケーションの両方で同じ操作の多くを実行する必要があります。 |
| スクリプト クライアントのセキュリティ保護 | スクリプトと Visual Basic アプリケーション (オートメーション クライアント) では、WMI データとイベントにアクセスするために適切なセキュリティを設定する必要があります。 |
| WMI イベントのセキュリティ保護 | WMI イベントは、イベント プロバイダーによって一時的または永続的なコンシューマーに配信されます。 イベントは、イベント クラスのインスタンスの形式で配信されます。 |
| セキュリティ保護可能なオブジェクトのアクセス セキュリティの変更 | 適切なアクセス許可を使用すると、セキュリティ保護可能なオブジェクトのセキュリティ記述子を読み取ったり変更したりするセキュリティ保護可能なオブジェクトを表す WMI オブジェクトのメソッドを呼び出すことができます。 |
関連トピック
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示