プロバイダーのセキュリティを制御するためのレジストリのキーと値
Windows Management Instrumentation (WMI) 共有プロバイダー ホスト プロセス (wmiprvse.exe) のセキュリティを強化するために、"サービス セキュリティ識別子 (SID)" を使用してプロバイダー ホスト プロセスをセキュリティで保護する変更が Windows プラットフォームに加えられました。 これらの変更により、WMI 共有ホストに対して保護と互換の実行モードが導入されます。
このトピックには以下のセクショがあります。
保護および互換モード
Windows 7 以降では、WMI 共有ホスト プロセスに対して次の 2 つの実行モードが追加されました。
-
保護モード
-
WMI プロバイダーのホスト プロセス リソースは、"サービス SID" を使用してセキュリティ保護されます。 これらのリソースに対するアクセス許可を持つのは、"サービス SID" のみです。
-
互換モード
-
WMI 共有プロバイダー ホスト プロセスは、"サービス SID" で保護されていません。 プロバイダー ホスト プロセスでは、ホスティング モデルに応じて NetworkService または LocalService アカウントにアクセスできます。 ホスティング モデルの詳細については、「プロバイダーのホスティングとセキュリティ」を参照してください。
Windows Vista および Windows Server 2008: プロバイダー ホスト プロセスの保護および互換モードを制御するためのレジストリのキーと値にアクセスするには、KB 959454 のセキュリティ更新プログラムをインストールする必要があります。 詳細については、Microsoft セキュリティ情報 MS09-012 を参照してください。
レジストリのキーと値
保護および互換モードの設定は、レジストリ キーを使用して指定されます。 WMI のレジストリ キーは、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\ のレジストリにあります。
WMI プロバイダーの動作を制御するために、次の一覧で説明する次のレジストリ キーと DWORD 値が追加されました。
-
SecuredHostProviders
-
このキーは、個々のプロバイダーの動作を制御します。 このキーに一覧表示されているすべてのプロバイダーは、常に保護モードで実行されます。 Windows に付属するすべての受信トレイ プロバイダーは、このキーの下に一覧表示され、既定では保護モードで実行されます。
このキーは、CompatibleHostProviders キーに一覧表示されているプロバイダーよりも優先されます。
-
CompatibleHostProviders
-
このキーは、個々のプロバイダーの動作を制御します。 このキーに一覧表示されているすべてのプロバイダーは、常に互換モードで実行されます。 既定では、このキーは空です。
プロバイダーが SecuredHostProviders キーと CompatibleHostProviders キーの両方に一覧表示されている場合、そのプロバイダーは保護モードで実行されます。
注意
CompatibleHostProviders キーは、DefaultSecuredHost キーが 1 に設定され、プロバイダーが保護モードで機能しないことが判明している場合に、サード パーティ製アプリケーションにアプリケーションの互換性を提供します。
-
DefaultSecuredHost
-
SecuredHostProviders または CompatibleHostProviders キーに一覧表示されていないすべてのプロバイダーを、保護と互換のどちらのモードで実行するかを決定するグローバル レジストリ DWORD 値。 この DWORD 値を使用すると、管理者はサードパーティ プロバイダーをどのモードで実行する必要があるかを決定できます。 既定では、この値は 0 に設定され、すべてのサードパーティ プロバイダーは互換モードで実行されます。 管理者は、DefaultSecuredHost の値を 1 に設定することで、既定でコンピューターの安全性を高めることができます。
注意
DefaultSecuredHost の値は、他のレジストリ キーには影響しません。 SecuredHostProviders キーに一覧表示されているプロバイダーは保護モードのままであり、CompatibleHostProviders キーに一覧表示されているものは互換モードのままです。
次の設定が可能です。
-
0
-
プロバイダーが互換モードで実行されることを指定します。
-
1
-
プロバイダーが保護モードで実行されることを指定します。
-
使用可能なレジストリ設定と、プロバイダーに関連付けられている実行モードの一覧を次に示します。
| SecuredHostProviders に一覧表示 | CompatibleHostProviders に一覧表示 | DefaultSecuredHost の設定 | モード |
|---|---|---|---|
| いいえ | いいえ | 0 | 互換性あり |
| いいえ | はい | 0 | 互換性あり |
| はい | いいえ | 0 | セキュリテイ保護 |
| はい | はい | 0 | セキュリテイ保護 |
| いいえ | いいえ | 1 | セキュリテイ保護 |
| いいえ | はい | 1 | 互換性あり |
| はい | いいえ | 1 | セキュリテイ保護 |
| はい | はい | 1 | セキュリテイ保護 |
保護または互換モードで実行するためのプロバイダーの構成
レジストリ キーは、グループ ポリシー管理コンソール (GPMC) を使用して変更できます。 詳細については、「グループ ポリシー管理コンソール」を参照してください。
次の手順は、グループ ポリシーの基本設定を使用して、保護および互換モードの設定を管理する方法を示しています。 グループ ポリシーの基本設定の詳細については、グループ ポリシーの基本設定の概要に関する記事を参照してください。
グループ ポリシーを使用して保護または互換モードにプロバイダーを追加するには
GPMC を開きます。
グループ ポリシー オブジェクト (GPO) を作成します。
GPO を編集します。
[基本設定] > [Windows の設定] > [レジストリ] を参照します。
右クリックして [新規...] > [レジストリ] を選択します。 このアクションにより、レジストリ情報を入力できるユーザー インターフェイスが表示されます。
[作成] コマンドを選択します。
次のレジストリ キー パスを選択します。
保護モード: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders
互換モード: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders
[名前] フィールドに、このキーに追加するプロバイダーの名前を入力します。 プロバイダー名は、<namespace>:<__RELPATH> の形式である必要があります。 たとえば、root\cimv2:__win32provider.name="MyProvider" などです。
[データ] フィールドに、「0」と入力します。
[OK] をクリックします。
グループ ポリシーを使用して保護または互換モードからプロバイダーを削除するには
GPMC を開きます。
GPO を作成します。
GPO を編集します。
[基本設定] > [Windows の設定] > [レジストリ] を参照します。
右クリックして [新規...] > [レジストリ] を選択します。 このアクションにより、レジストリ情報を入力できるユーザー インターフェイスが表示されます。
[削除] コマンドを選択します。
次のレジストリ キー パスを選択します。
保護モード: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders
互換モード: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders
[名前] フィールドに、このキーから削除するプロバイダーの名前を入力します。
[データ] フィールドに、「0」と入力します。
[OK] をクリックします。
次の手順では、SecuredHostProviders または CompatibleHostProviders キーに記載されていないプロバイダーの動作を変更する方法について詳しく説明します。
グループ ポリシーを使用して DefaultSecuredHost キーの既定値を変更するには
- GPMC を開きます。
- GPO を作成します。
- GPO を編集します。
- [基本設定] > [Windows の設定] > [レジストリ] を参照します。
- 右クリックして [新規...] > [レジストリ] を選択します。 このアクションにより、レジストリ情報を入力できるユーザー インターフェイスが表示されます。
- [更新] コマンドを選択します。
- 次のレジストリ キー パスを選択します: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM。
- [名前] フィールドに、「DefaultSecuredHost」と入力します。
- [データ] フィールドに、互換モードの場合は 0、保護モードの場合は 1 を入力します。
- [OK] をクリックします。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示