Valores e chaves do registro para controlar a segurança do provedor

Para aprimorar a segurança do processo de host do provedor compartilhado (wmiprvse.exe) do WMI (Instrumentação de Gerenciamento do Windows), foram feitas alterações nas plataformas Windows que protegem o processo de host do provedor com um SID (identificador de segurança de serviço). Essas alterações introduzem os seguintes modos de execução para o host compartilhado do WMI: seguro e compatível.

Este tópico abrange as seções a seguir:

Modos seguro e compatível

A partir do Windows 7, os dois modos de execução a seguir para o processo de host compartilhado do WMI foram adicionados:

Modo seguro

Os recursos do processo de host do provedor WMI são protegidos com um SID de serviço. Somente o SID de serviço tem permissões para esses recursos.

Modo compatível

O processo de host do provedor compartilhado do WMI não é protegido com um SID de serviço. O processo de host do provedor permite acesso às contas NetworkService ou LocalService, dependendo do modelo de hospedagem. Para obter mais informações sobre modelos de hospedagem, consulte Hospedagem e segurança do provedor.

Windows Vista e Windows Server 2008: Para acessar os valores e chaves do registro para controlar os modos seguro e compatível para o processo de host do provedor, instale a atualização de segurança no KB 959454. Para obter mais informações, consulte o Boletim de segurança MS09-012 da Microsoft.

Valores e chaves do registro

As configurações dos modos seguro e compatível são especificadas por meio de chaves do registro. As chaves do registro do WMI estão localizadas no registro em HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\.

As chaves do registro a seguir e o valor DWORD descritos na lista a seguir foram adicionados para controlar o comportamento dos provedores do WMI.

SecuredHostProviders

Essa chave controla o comportamento de provedores individuais. Todos os provedores listados nessa chave sempre são executados no modo seguro. Todos os provedores de caixa de entrada que são enviados com o Windows são listados sob essa chave e executados no modo seguro por padrão.

Essa chave tem precedência sobre provedores listados na chave CompatibleHostProviders.

CompatibleHostProviders

Essa chave controla o comportamento de provedores individuais. Todos os provedores listados nesta chave sempre são executados no modo compatível. Essa chave é vazia por padrão.

Se um provedor estiver listado na chave SecuredHostProviders e na chave CompatibleHostProviders, o provedor será executado no modo seguro.

Observação

A chave CompatibleHostProviders fornece compatibilidade de aplicativos para aplicativos de terceiros se a chave DefaultSecuredHost estiver definida como 1 e o provedor não funcionar no modo seguro.

 

DefaultSecuredHost

Um valor DWORD global do registro que determina se todos os provedores, que não estejam listados nas chaves SecuredHostProviders ou CompatibleHostProviders, são executados no modo seguro ou compatível. Esse valor DWORD permite que o administrador decida em qual modo um provedor de terceiros deve ser executado. Por padrão, esse valor é definido como zero e todos os provedores de terceiros são executados no modo compatível. Os administradores podem tornar seu computador mais seguro por padrão definindo o valor DefaultSecuredHost como 1.

Observação

O valor DefaultSecuredHost não afeta as outras chaves do registro. Os provedores listados na chave SecuredHostProviders permanecem no modo seguro e os listados na chave CompatibleHostProviders permanecem no modo compatível.

 

As seguintes configurações são removidas:

0

Especifica que os provedores são executados no modo compatível.

1

Especifica que os provedores são executados no modo seguro.

A lista a seguir lista as possíveis configurações do registro e os modos de execução associados para um provedor.

Listado em SecuredHostProviders Listado em CompatibleHostProviders Definição de DefaultSecuredHost Mode
No Não 0 Compatível
No Yes 0 Compatível
Yes Não 0 Seguro
Yes Yes 0 Seguro
No Não 1 Seguro
No Sim 1 Compatível
Yes Não 1 Seguro
Yes Sim 1 Seguro

 

Configurar um provedor para ser executado no modo seguro ou compatível

As chaves do registro podem ser modificadas usando o GPMC (Console de Gerenciamento de Política de Grupo). Para obter mais informações, consulte Console de Gerenciamento de Política de Grupo.

Os procedimentos a seguir ilustram como gerenciar as configurações dos modos seguro e compatível usando preferências de política de grupo. Para obter mais informações sobre preferências de política de grupo, consulte a Visão geral de preferências do Política de Grupo.

Para adicionar um provedor ao modo seguro ou compatível usando Política de Grupo

  1. Abra o GPMC.

  2. Crie um GPO (Objeto de Política de Grupo).

  3. Edite o GPO.

  4. Navegue até Preferências/Configurações do Windows/Registro.

  5. Clique com o botão direito do mouse e selecione Novo... Registro. Essa ação apresenta uma interface do usuário em que você pode inserir informações do registro.

  6. Selecione o comando Criar.

  7. Edite a chave de registro da seguinte forma:

    Modo seguro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders

    Modo compatível: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders

  8. No campo nome, insira o nome do provedor que deseja adicionar a essa chave. O nome do provedor deve estar no seguinte formato: <namespace>:<__RELPATH>. Por exemplo, root\cimv2:__win32provider.name="MyProvider".

  9. No campo dados, insira 0.

  10. Clique em OK.

Para remover um provedor do modo seguro ou compatível usando Política de Grupo

  1. Abra o GPMC.

  2. Crie um GPO.

  3. Edite o GPO.

  4. Navegue até Preferências/Configurações do Windows/Registro.

  5. Clique com o botão direito do mouse e selecione Novo... Registro. Essa ação apresenta uma interface do usuário em que você pode inserir informações do registro.

  6. Selecione o comando Remover.

  7. Edite a chave de registro da seguinte forma:

    Modo seguro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders

    Modo compatível: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders

  8. No campo nome, insira o nome do provedor que deseja remover dessa chave.

  9. No campo dados, insira 0.

  10. Clique em OK.

O procedimento a seguir fornece detalhes sobre como modificar o comportamento de provedores que não estejam listados nas chaves SecuredHostProviders ou CompatibleHostProviders.

Para alterar o valor padrão da chave DefaultSecuredHost usando Política de Grupo

  1. Abra o GPMC.
  2. Crie um GPO.
  3. Edite o GPO.
  4. Navegue até Preferências/Configurações do Windows/Registro.
  5. Clique com o botão direito do mouse e selecione Novo... Registro. Essa ação apresenta uma interface do usuário em que você pode inserir informações do registro.
  6. Selecione o comando Atualizar.
  7. Selecione o seguinte caminho de chave do registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM.
  8. No campo nome, insira DefaultSecuredHost.
  9. No campo dados, insira 0 para o modo compatível ou 1 para o modo seguro.
  10. Clique em OK.