Обеспечение безопасности WMI
Безопасность WMI направлена на защиту доступа к данным пространства имен. Сначала WMI предоставляет доступ группам пользователей в соответствии с параметрами управления WMI и DCOM, а затем поставщики определяют, должен ли пользователь иметь доступ к данным пространства имен.
В этом разделе рассматриваются следующие разделы:
- Безопасность пространства имен
- Параметры безопасности распределенной объектной объектной модели (DCOM).
- WMI, узлы общих служб и проверка подлинности
- Безопасность клиентских скриптов и приложений WMI
- Связанные темы
Безопасность пространства имен
Безопасность пространства имен зависит от стандартных идентификаторов безопасности пользователей Windows (SID) и дескриптора безопасности для пространства имен WMI.
Вы можете задать безопасность пространства имен, выполнив следующие действия:
- Предоставьте или запретите права доступа к пространствам имен для пользователей, использующих элемент управления WMI или при создании пространства имен. Дополнительные сведения см. в разделах Настройка безопасности пространства имен с помощью элемента управления WMI и Настройка безопасности пространства имен при создании пространства имен.
- Используйте вкладку Безопасность элемента управления WMI, чтобы настроить аудит безопасности. Аудит безопасности приводит к порождению записей журнала событий, когда пользователь завершается неудачно или успешно выполняет аудит действия, например запись данных в объект WMI или чтение дескриптора безопасности. Дополнительные сведения см. в статье Доступ к пространствам имен WMI.
- Используйте MOF-файл, определяющий пространство имен, чтобы пользователь мог установить зашифрованное подключение. Дополнительные сведения см. в разделе Требование зашифрованного подключения к пространству имен.
Параметры безопасности распределенной объектной объектной модели (DCOM).
Для обеспечения безопасности DCOM требуются параметры проверки подлинности и олицетворения. Проверка подлинности означает, что один процесс идентифицирует себя для другого. Олицетворение определяет полномочия, предоставляемые клиентом серверу для вызова различных процессов. Во время проверка безопасности сервер олицетворяет клиента. Дополнительные сведения см. в разделах Защита клиентов и поставщиков C++ или Защита клиентов скриптов.
Скрипты и приложения C/C++/C# либо устанавливают уровни проверки подлинности и олицетворения при подключении к пространству имен WMI, либо используют параметры по умолчанию. Для подключений к удаленным компьютерам требуются параметры, отличные от пространств имен WMI на локальном компьютере. Дополнительные сведения см. в статье Подключение к WMI на удаленном компьютере.
WMI, узлы общих служб и проверка подлинности
WMI находится на узле общей службы с несколькими другими службами, работающими под учетной записью NetworkService. В процессе Svchost WMI использует ту же проверку подлинности, что и другие процессы на узле.
Библиотеки DLL поставщика загружаются в отдельные процессы узла службы из WMI. Свойство HostingModel в системном классе __Win32Provider , представляющем поставщика, указывает системную учетную запись, под которой выполняется поставщик. Задание этого свойства приводит к загрузке поставщика в процесс общего узла с заданным уровнем привилегий. Дополнительные сведения см. в разделе Размещение и безопасность поставщика.
Безопасность клиентских скриптов и приложений WMI
Скрипты и приложения должны обеспечить правильную безопасность для подключения к пространствам имен WMI на локальных и удаленных компьютерах. Дополнительные сведения см. в статьях Защита клиентов и поставщиков C++, Защита клиентов скриптов и Защита событий WMI.
В следующей таблице перечислены разделы, посвященные обеспечению безопасности WMI.
| Раздел | Описание |
|---|---|
| Защита пространств имен WMI | Доступ к данным пространства имен можно ограничить для авторизованных пользователей с помощью элемента управления WMI. |
| Защита поставщика | Сведения о написании защищенных поставщиков. |
| Защита клиентов и поставщиков C++ | Поставщики C++ и клиентские приложения должны выполнять множество одинаковых операций для обеспечения безопасности WMI. |
| Защита клиентов скриптов | Скрипты и приложения Visual Basic (клиенты автоматизации) должны задавать соответствующую безопасность для получения доступа к данным и событиям WMI. |
| Защита событий WMI | События WMI доставляются поставщиком событий временному или постоянному потребителю. События доставляются в виде экземпляра класса событий. |
| Изменение безопасности доступа для защищаемых объектов | С соответствующими разрешениями можно вызывать методы объектов WMI, которые представляют защищаемые объекты, которые считывают или изменяют дескрипторы безопасности в защищаемых объектах. |
Связанные темы
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по