Acesso a objetos protegíveis do WMI
O WMI depende de descritores de segurança padrão do Windows para controlar e proteger o acesso a objetos protegíveis, como namespaces do WMI, impressoras, serviços e aplicativos DCOM. Para obter mais informações, consulte Acesso a namespaces do WMI.
Os seguintes tópicos são discutidos nesta seção:
- Descritores de segurança e SIDs
- Controle de acesso
- Alterar a segurança de acesso
- Tópicos relacionados
Descritores de segurança e SIDs
O WMI mantém a segurança de acesso comparando o token de acesso do usuário que tenta acessar um objeto protegível com o descritor de segurança do objeto.
Quando um usuário ou grupo é criado em um sistema, a conta recebe um SID (identificador de segurança) O SID garante que uma conta criada com o mesmo nome de uma conta excluída anteriormente não herda as configurações de segurança anteriores. Um token de acesso é criado combinando o SID, a lista de grupos dos quais o usuário é membro e a lista de privilégios habilitados ou desabilitados. Esses tokens são atribuídos a todos os processos e threads pertencentes ao usuário.
Controle de acesso
Quando o usuário deseja usar um objeto protegido, o token de acesso é comparado com a DACL (lista de controle de acesso discricionário) no descritor de segurança no objeto. A DACL contém permissões chamadas ACEs (entradas de controle de acesso). As SACLs (listas de controle de acesso do sistema) fazem a mesma coisa que as DACLs, mas podem gerar eventos de auditoria de segurança. A partir do Windows Vista, o WMI pode fazer entradas de auditoria no Log de Segurança do Windows. Para obter mais informações sobre auditoria no WMI, consulte Acesso a namespaces do WMI.
A DACL e a SACL consistem em uma lista de ACEs que descrevem quais usuários têm direitos de acesso específicos, incluindo gravação no repositório WMI, acesso remoto e execução e permissões de logon. O WMI armazena essas ACLs no repositório do WMI.
As ACEs contêm três tipos de níveis de acesso ou direitos de concessão/negação: permitir, negar para DACL e auditoria do sistema (para SACLs). As ACEs de negação precedem as ACEs de permissão na DACL ou na SACL. Ao verificar os direitos de acesso do usuário, o WMI é executado consecutivamente por meio da lista de controle de acesso até encontrar uma ACE de permissão que se aplique ao token de acesso solicitante. As ACEs restantes não são verificadas depois desse ponto. Se nenhuma ACE de permissão apropriada for encontrada, o acesso será negado. Para obter mais informações, consulte Ordem de ACEs em uma DACL e Criar uma DACL.
Alterar a segurança de acesso
Com as permissões apropriadas, você pode alterar a segurança em um objeto protegível com um script ou aplicativo. Você também pode alterar as configurações de segurança em namespaces do WMI usando o Controle do WMI ou adicionando uma cadeia de caracteres SDDL (linguagem de definição do descritor de segurança) no arquivo MOF (Managed Object Format) que define classes para o namespace. Para obter mais informações, consulte Acesso a namespaces do WMI, Proteção de namespaces do WMI e Alteração da segurança de acesso em objetos protegíveis.
Tópicos relacionados