Manutenção da segurança do WMI

A segurança do WMI se concentra na proteção do acesso aos dados do namespace. Primeiro, o WMI concede acesso a grupos de usuários conforme especificado pelas configurações de Controle do WMI e do DCOM e, em seguida, os provedores determinam se o usuário deverá ter acesso aos dados do namespace.

As seguintes seções serão abordadas neste tópico:

Segurança do namespace

A segurança do namespace depende dos SID (identificadores de segurança de usuário) padrão do Windows e do descritor de segurança para o namespace do WMI.

Você pode definir a segurança do namespace executando as seguintes ações:

Configurações de Segurança do DCOM (Distributed Component Object Model)

A segurança do DCOM requer uma configuração de autenticação e uma configuração de representação. A autenticação significa que um processo se identifica para outro. A representação identifica a autoridade que um cliente concede a um servidor para chamar processos diferentes. Durante uma verificação de segurança, o servidor representa o cliente. Para obter mais informações, consulte Proteger clientes e provedores C++ ou Proteger clientes de script.

Scripts e aplicativos C/C++/C# estabelecem níveis de autenticação e representação quando se conectam a um namespace do WMI ou usam as configurações padrão. As conexões com computadores remotos exigem configurações diferentes dos namespaces do WMI no computador local. Para obter mais informações, consulte Conexão ao WMI em um computador remoto.

WMI, Hosts de Serviço Compartilhado e Autenticação

O WMI reside em um host de serviço compartilhado com vários outros serviços em execução na conta NetworkService. Em um processo Svchost, o WMI compartilha a mesma autenticação que os outros processos no host.

As DLLs do provedor são carregadas em processos de host de serviço separados do WMI. A propriedade HostingModel na classe de sistema __Win32Provider que representa um provedor especifica a conta do sistema na qual o provedor é executado. Definir essa propriedade faz com que o provedor seja carregado em um processo de host compartilhado que tem um nível de privilégio especificado. Para obter mais informações, consulte Hospedagem e segurança do provedor.

Segurança para scripts e aplicativos cliente do WMI

Scripts e aplicativos devem estabelecer a segurança correta para se conectar a namespaces do WMI em computadores locais e remotos. Para obter mais informações, consulte Proteger clientes e provedores C++, Proteger clientes de script e Proteger eventos do WMI.

A tabela a seguir lista os tópicos sobre como manter a segurança do WMI.

Tópico Descrição
Como proteger namespaces do WMI Você pode limitar o acesso a dados de namespace a usuários autorizados por meio do Controle do WMI.
Como proteger seu provedor Informações sobre como escrever provedores seguros.
Proteger clientes e provedores C++ Os provedores C++ e os aplicativos cliente devem executar muitas das mesmas operações para manter a segurança do WMI.
Proteger clientes de script Scripts e aplicativos do Visual Basic (clientes de automação) devem definir a segurança apropriada para obter acesso a dados e eventos do WMI.
Proteger eventos do WMI Os eventos do WMI são entregues pelo provedor de eventos a um consumidor temporário ou permanente. Os eventos são entregues na forma de uma instância de uma classe de evento.
Como alterar a segurança de acesso em objetos protegíveis Com as permissões adequadas, você pode chamar métodos nos objetos WMI que representam objetos protegíveis, os quais podem ler ou alterar descritores de segurança em objetos protegíveis.

 

Como usar o WMI