Aufrechterhalten der WMI-Sicherheit
WMI-Sicherheit konzentriert sich auf den Schutz des Zugriffs auf Namespacedaten. WMI gewährt zuerst Zugriff auf Gruppen von Benutzenden, wie in den Einstellungen für WMI Control und DCOM angegeben, und dann bestimmen Anbieter, ob der Benutzende Zugriff auf Namespacedaten haben soll.
In diesem Themenbereich werden die folgenden Abschnitte behandelt:
- Namespacesicherheit
- Distributed Component Object Model (DCOM) Sicherheitseinstellungen
- WMI, Shared Service Hosts und Authentifizierung
- Sicherheit für WMI-Clientskripts und -anwendungen
- Zugehörige Themen
Namespacesicherheit
Die Namespacesicherheit hängt von den Standardmäßigen Windows-Benutzer-Sicherheitsbezeichnern (SID) und dem Sicherheitsdeskriptor für den WMI-Namespace ab.
Sie können die Namespacesicherheit festlegen, indem Sie die folgenden Aktionen ausführen:
- Gewähren oder Verweigern von Zugriffsrechten für Namespaces für Benutzende, die das WMI-Steuerelement verwenden oder beim Erstellen des Namespaces. Weitere Informationen finden Sie unter Festlegen der Namespacesicherheit mit dem WMI-Steuerelement und Festlegen der Namespacesicherheit beim Erstellen des Namespaces.
- Verwenden Sie die Registerkarte „Sicherheit“ des WMI-Steuerelements, um die Sicherheitsüberwachung einzurichten. Die Sicherheitsüberwachung führt zu Ereignisprotokolleinträgen, wenn ein Benutzender bei einer überwachten Aktion fehlschlägt oder erfolgreich ist, z. B. das Schreiben von Daten in ein WMI-Objekt oder das Lesen des Sicherheitsdeskriptors. Weitere Informationen finden Sie unter Zugriff auf WMI-Namespaces.
- Verwenden Sie die MOF-Datei, die den Namespace definiert, damit ein Benutzender eine verschlüsselte Verbindung herstellen muss. Weitere Informationen finden Sie unter Anfordern einer verschlüsselten Verbindung zu einem Namespace.
Distributed Component Object Model (DCOM) Sicherheitseinstellungen
DCOM-Sicherheit erfordert eine Authentifizierungseinstellung und eine Identitätswechseleinstellung. Authentifizierung bedeutet, dass sich ein Prozess bei einem anderen identifiziert. Identitätswechsel identifiziert die Autorität, die ein Client einem Server zum Aufrufen verschiedener Prozesse gewährt. Während einer Sicherheitsüberprüfung wechselt der Server zur Identität des Clients. Weitere Informationen finden Sie unter Schützen von C++-Clients und -Anbietern oder Schützen von Skripting-Clients.
Skripts und C/C++/C#-Anwendungen richten entweder eine Authentifizierungs- und Identitätswechselebene ein, wenn sie eine Verbindung mit einem WMI-Namespace herstellen oder sie verwenden die Standardeinstellungen. Verbindungen mit Remotecomputern erfordern andere Einstellungen als die WMI-Namespaces auf dem lokalen Computer. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit WMI auf einem Remotecomputer.
WMI, Shared Service Hosts und Authentifizierung
WMI befindet sich in einem freigegebenen Diensthost mit mehreren anderen Diensten, die unter dem NetworkService-Konto ausgeführt werden. In einem Svchost-Prozess nutzt WMI dieselbe Authentifizierung gemeinsam mit anderen Prozessen auf dem Host.
Anbieter-DLLs werden von WMI in separate Diensthostprozesse geladen. Die Eigenschaft HostingModel in der __Win32Provider-Systemklasse, die einen Anbieter darstellt, gibt das Systemkonto an, unter dem der Anbieter ausgeführt wird. Durch Festlegen dieser Eigenschaft wird der Anbieter in einen freigegebenen Hostprozess geladen, der über eine bestimmte Berechtigungsstufe verfügt. Weitere Informationen finden Sie unter Anbieterhosting und Sicherheit.
Sicherheit für WMI-Clientskripts und -anwendungen
Skripts und Anwendungen müssen die korrekte Sicherheit einrichten, um eine Verbindung mit WMI-Namespaces auf lokalen und Remotecomputern herzustellen. Weitere Informationen finden Sie unter Schützen von C++-Clients und -Anbietern, Schützen von Skripting-Clients und Schützen von WMI-Ereignissen.
In der folgenden Tabelle sind die Themen zur Aufrechterhaltung der WMI-Sicherheit aufgeführt.
| Thema | BESCHREIBUNG |
|---|---|
| Schützen von WMI-Namespaces | Sie können den Zugriff auf Namespacedaten auf autorisierte Benutzende über das WMI-Steuerelement beschränken. |
| Schützen Ihres Anbieters | Informationen zum Schreiben sicherer Anbieter. |
| Schützen von C++-Clients und -Anbietern | Sowohl C++-Anbieter als auch Clientanwendungen müssen viele gleiche Vorgänge ausführen, um die WMI-Sicherheit zu gewährleisten. |
| Schützen von Skripting-Clients | Skripts und Visual Basic-Anwendungen (Automatisierungsclients) müssen eine geeignete Sicherheit festlegen, um Zugriff auf WMI-Daten und -Ereignisse zu erhalten. |
| Schützen von WMI-Ereignissen | WMI-Ereignisse werden vom Ereignisanbieter an einen temporären oder dauerhaften Consumer übermittelt. Ereignisse werden in Form einer Instanz einer Ereignisklasse übermittelt. |
| Ändern der Zugriffssicherheit für schutzfähige Objekte | Mit den entsprechenden Berechtigungen können Sie Methoden für die WMI-Objekte aufrufen, die schutzfähige Objekte darstellen, die Sicherheitsdeskriptoren für schutzfähige Objekte lesen oder ändern. |
Zugehörige Themen