Доступ к пространствам имен WMI
WMI использует стандартный дескриптор безопасности Windows для управления доступом к пространствам имен WMI. При подключении к WMI через моникер WMI winmgmts или вызов IWbemLocator::Подключение Server или SWbemLocator.ПодключениеСервер подключается к определенному пространству имен.
В этом разделе рассматриваются следующие сведения:
- Безопасность пространства имен WMI
- Аудит пространства имен WMI
- Типы событий пространства имен
- Доступ к пространству имен Параметры
- Разрешения по умолчанию для пространств имен WMI
- Связанные статьи
Безопасность пространства имен WMI
WMI поддерживает безопасность пространства имен, сравнивая маркер доступа пользователя, подключающегося к пространству имен, с дескриптором безопасности пространства имен. Дополнительные сведения о безопасности Windows см. в разделе "Доступ к защищаемым объектам WMI".
Помните, что начиная с Windows Vista контроль учетных записей (UAC) влияет на доступ к данным WMI и что можно настроить с помощью элемента управления WMI. Дополнительные сведения см. в разделе "Разрешения по умолчанию" для пространств имен WMI и управления учетными записями пользователей и WMI.
Доступ к пространствам имен WMI также затрагивается при подключении с удаленного компьютера. Дополнительные сведения см. в статье Подключение подключении к WMI на удаленном компьютере, защите удаленного Подключение WMI и Подключение через брандмауэр Windows.
Поставщики должны полагаться на параметр олицетворения для подключения, чтобы определить, должен ли клиентский скрипт или приложение получать данные. Дополнительные сведения о скриптах и клиентских приложениях см. в разделе "Настройка безопасности процесса клиентского приложения". Дополнительные сведения о олицетворении поставщика см. в статье "Разработка поставщика WMI".
Аудит пространства имен WMI
WMI использует списки управления доступом к пространству имен (SACL) для аудита действий пространства имен. Чтобы включить аудит пространств имен WMI, перейдите на вкладку "Безопасность " в элементе управления WMI, чтобы изменить параметры аудита для пространства имен.
Аудит не включен во время установки операционной системы. Чтобы включить аудит, щелкните вкладку "Аудит " в стандартном окне "Безопасность ". Затем можно добавить запись аудита.
Групповая политика для локального компьютера должна быть задана, чтобы разрешить аудит. Вы можете включить аудит, выполнив оснастку Gpedit.msc MMC и задав доступ к объектам аудита в разделе "Конфигурация>компьютера" Windows Параметры Security Параметры>> Local Policies Audit Policy.>
Запись аудита изменяет SACL пространства имен. При добавлении записи аудита это пользователь, группа, компьютер или встроенный субъект безопасности. После добавления записи можно задать операции доступа, которые приводят к событиям журнала безопасности. Например, для группы прошедших проверку подлинности пользователей можно нажать кнопку "Выполнить методы". Этот параметр приводит к событиям журнала безопасности всякий раз, когда член группы прошедших проверку подлинности пользователей выполняет метод в этом пространстве имен. Идентификатор события WMI — 4662.
Учетная запись должна находиться в группе Администратор istrators и работать под повышенными привилегиями, чтобы изменить параметры аудита. Встроенная учетная запись Администратор istrator также может изменить безопасность или аудит пространства имен. Дополнительные сведения о выполнении в режиме с повышенными привилегиями см. в разделе "Управление учетными записями пользователей" и WMI.
Аудит WMI создает события успешного или неудачного доступа к пространствам имен WMI. Служба не проверяет успешность или сбой операций поставщика. Например, при подключении скрипта к WMI и пространству имен может произойти сбой, так как учетная запись, в которой выполняется скрипт, не имеет доступа к пространству имен или может попытаться выполнить операцию, например редактирование DACL, которая не предоставляется.
Если вы работаете под учетной записью в группе Администратор istrators, вы можете просмотреть события аудита пространства имен в пользовательском интерфейсе Просмотр событий.
Типы событий пространства имен
WMI трассирует следующие типы событий в журнале событий безопасности:
Audit Success
Операция должна успешно выполнить два шага для успешного выполнения аудита. Во-первых, WMI предоставляет доступ к клиентскому приложению или скрипту на основе идентификатора безопасности клиента и DACL пространства имен. Во-вторых, запрошенная операция соответствует правам доступа в пространстве имен SACL для этого пользователя или группы.
Сбой аудита
WMI запрещает доступ к пространству имен, но запрошенная операция соответствует правам доступа в пространстве имен SACL для этого пользователя или группы.
Доступ к пространству имен Параметры
Вы можете просмотреть права доступа к пространству имен для различных учетных записей в элементе управления WMI. Эти константы описаны в константах прав доступа к пространству имен. Вы можете изменить доступ к пространству имен WMI с помощью элемента управления WMI или программно. Дополнительные сведения см. в разделе "Изменение безопасности доступа для защищаемых объектов".
WMI выполняет аудит изменений во всех разрешениях доступа, перечисленных в следующем списке, за исключением разрешения удаленного включения. Изменения регистрируются как успешное выполнение аудита или сбой, соответствующие разрешению "Изменить безопасность".
-
Выполнение методов
-
Позволяет пользователю выполнять методы, определенные в классах WMI. Соответствует константе разрешений доступа WBEM_METHOD_EXECUTE.
-
Полная запись
-
Разрешает полный доступ на чтение, запись и удаление доступа к классам WMI и экземплярам классов, как статическим, так и динамическим. Соответствует константе разрешений доступа WBEM_FULL_WRITE_REP.
-
Частичная запись
-
Разрешает доступ на запись к статическим экземплярам классов WMI. Соответствует константе разрешений доступа WBEM_PARTIAL_WRITE_REP.
-
Запись поставщика
-
Разрешает доступ на запись к динамическим экземплярам классов WMI. Соответствует константе разрешений доступа WBEM_WRITE_PROVIDER.
-
Включение учетной записи
-
Разрешает доступ на чтение к экземплярам классов WMI. Соответствует константе разрешений доступа WBEM_ENABLE .
-
Удаленное включение
-
Разрешает доступ к пространству имен удаленными компьютерами. Соответствует константе разрешений доступа WBEM_REMOTE_ACCESS .
-
Безопасность чтения
-
Разрешает доступ только для чтения к параметрам DACL. Соответствует константе разрешений доступа READ_CONTROL.
-
Изменение безопасности
-
Разрешает доступ на запись к параметрам DACL. Соответствует константе разрешений доступа WRITE_DAC .
Разрешения по умолчанию для пространств имен WMI
Группы безопасности по умолчанию:
- Пользователи, прошедшие проверку подлинности
- ЛОКАЛЬНАЯ СЛУЖБА
- СЕТЕВАЯ СЛУЖБА
- Администратор istrator (на локальном компьютере)
Разрешения доступа по умолчанию для прошедших проверку подлинности пользователей, LOCAL SERVICE и NETWORK SERVICE:
- Выполнение методов
- Полная запись
- Включить учетную запись;
Учетные записи в группе Администратор istrator имеют все права, доступные для них, включая редактирование дескрипторов безопасности. Однако из-за контроля учетных записей пользователей (UAC) элемент управления WMI или скрипт должен выполняться при повышенной безопасности. Дополнительные сведения см. в разделе "Контроль учетных записей пользователей" и WMI.
Иногда скрипт или приложение должно включить права администратора, например SeSecurityPrivilege, для выполнения операции. Например, скрипт может выполнить метод GetSecurityDescriptor класса Win32_Printer без SeSecurityPrivilege и получить сведения о безопасности в списке управления доступом (DACL) дескриптора безопасности объекта принтера. Однако сведения ОБ SACL не возвращаются в скрипт, если только привилегия SeSecurityPrivilege не доступна и включена для учетной записи. Если у учетной записи нет доступных привилегий, ее нельзя включить. Дополнительные сведения см. в разделе "Выполнение привилегированных операций".
См. также