Accesso a oggetti a protezione diretta WMI

WMI si basa sui descrittori di sicurezza standard di Windows per controllare e proteggere l'accesso a oggetti a protezione diretta come spazi dei nomi WMI, stampanti, servizi e applicazioni DCOM. Per altre informazioni, vedere Accesso agli spazi dei nomi WMI.

In questa sezione vengono trattati gli argomenti seguenti:

Descrittori di sicurezza e SID

WMI mantiene la sicurezza di accesso confrontando il token di accesso dell'utente che tenta di accedere a un oggetto a protezione diretta con il descrittore di sicurezza dell'oggetto.

Quando un utente o un gruppo viene creato in un sistema, all'account viene assegnato un ID di sicurezza (SID) Il SID garantisce che un account creato con lo stesso nome di un account eliminato in precedenza non erediti le impostazioni di sicurezza precedenti. Un token di accesso viene creato combinando il SID, l'elenco dei gruppi di cui l'utente è membro e l'elenco di privilegi abilitati o disabilitati. Questi token vengono assegnati a tutti i processi e i thread di proprietà dell'utente.

Controllo di accesso

Quando l'utente vuole usare un oggetto protetto, il token di accesso viene confrontato con l'elenco di controllo di accesso discrezionale (DACL) nel descrittore di sicurezza nell'oggetto . L'elenco DACL contiene autorizzazioni denominate voci di controllo di accesso (ACE).The DACL contains permissions called access control entries (ACE). Gli elenchi di controllo di accesso di sistema (SACL) eseguono la stessa operazione degli elenchi di controllo di accesso del sistema, ma possono generare eventi di controllo della sicurezza. A partire da Windows Vista, WMI può eseguire voci di controllo nel log di Sicurezza di Windows. Per altre informazioni sul controllo in WMI, vedere Accesso agli spazi dei nomi WMI.

Sia da DACL che da SACL sono costituiti da un elenco di ACL che descrivono quali utenti dispongono di diritti di accesso specifici, tra cui la scrittura nel repository WMI, l'accesso remoto e l'esecuzione e le autorizzazioni di accesso. WMI archivia questi ACL nel repository WMI.

Gli ACL contengono tre tipi di livelli di accesso o diritti di concessione/negazione: consenti, nega per DACL e controllo di sistema (per sacls). Deny ACEs precede allow ACEs in DACL o SACL. Quando si controllano i diritti di accesso utente, WMI viene eseguito consecutivamente tramite l'elenco di controllo di accesso fino a quando non trova un ace consentito applicabile al token di accesso richiedente. Gli ACL rimanenti non vengono controllati dopo questo punto. Se non viene trovato alcun consentito ace appropriato, l'accesso viene negato. Per altre informazioni, vedere Order of ACEs in a DACL e Creating a DACL.For more information, see Order of ACEs in a DACL and Creating a DACL.

Modifica della sicurezza degli accessi

Con le autorizzazioni appropriate, è possibile modificare la sicurezza in un oggetto a protezione diretta con uno script o un'applicazione. È anche possibile modificare le impostazioni di sicurezza negli spazi dei nomi WMI usando il controllo WMI o aggiungendo una stringa SDDL (Security Descriptor Definition Language) nel file MOF (Managed Object Format) che definisce le classi per lo spazio dei nomi. Per altre informazioni, vedere Accesso agli spazi dei nomi WMI, Protezione degli spazi dei nomi WMI e Modifica della sicurezza degli accessi in oggetti a protezione diretta.

Oggetti descrittore di sicurezza WMI

Costanti di sicurezza WMI

Controllo dell'account utente e WMI

Oggetti descrittore di sicurezza WMI

Accesso agli spazi dei nomi WMI