访问 WMI 安全对象

WMI 依赖标准 Windows 安全描述符 来控制和保护对安全对象(如 WMI 命名空间、打印机、服务和 DCOM 应用程序)的访问。 有关详细信息,请参阅 对 WMI 命名空间的访问权限

以下是本节中要讨论的主题:

安全描述符和 Sid

WMI 通过将尝试访问安全对象的用户 访问令牌 与对象的安全描述符进行比较来维护访问安全性。

当在系统上创建用户或组时,将为该帐户提供一个 (sid) 的安全标识符 ,以确保使用与以前已删除帐户相同的名称创建的帐户不会继承以前的安全设置。 通过组合 SID、用户所属的组列表以及启用或禁用权限的列表来创建访问令牌。 这些标记将分配给该用户拥有的所有进程和线程。

访问控制

当用户想要使用安全对象时,访问令牌将与对象的安全描述符中 (DACL) 随机访问控制列表 进行比较。 DACL 包含 (ACE) 的访问控制项的权限。 系统访问控制列表 (SACL) 执行与 dacl 相同的操作,但可以生成安全审核事件。 从 Windows Vista 开始,WMI 可以在 Windows 安全日志中生成审核条目。 有关 WMI 中审核的详细信息,请参阅 对 Wmi 命名空间的访问权限

DACL 和 SACL 都包含一系列 Ace,说明哪些用户具有特定访问权限,包括写入到 WMI 存储库、远程访问和执行以及登录权限。 WMI 存储库中的这些 Acl。

Ace 包含三种类型的访问级别或授予/拒绝权限:对于 Sacl) ,允许、拒绝 DACL 和系统审核 (。 拒绝 Ace 在 DACL 或 SACL 中之前允许 Ace。 检查用户访问权限时,WMI 会通过访问控制列表连续运行,直到找到适用于请求访问令牌的 allow ACE。 此点之后不检查剩余的 Ace。 如果未找到适当的允许 ACE,则拒绝访问。 有关详细信息,请参阅 dacl 中的 Ace 顺序创建 dacl

更改访问安全性

使用适当的权限,可以使用脚本或应用程序更改安全对象的安全性。 你还可以使用 Wmi 控件更改 wmi 命名空间的安全设置,或者通过在定义命名空间类的 托管对象格式 (MOF)文件中添加 安全描述符定义语言 (SDDL)字符串。 有关详细信息,请参阅 访问 Wmi 命名空间保护 wmi 命名空间更改安全对象上的访问安全性

WMI 安全描述符对象

WMI 安全常量

用户帐户控制和 WMI

WMI 安全描述符对象

访问 WMI 命名空间