Требование зашифрованного подключения к пространству имен
Вы можете потребовать, чтобы клиентские скрипты и приложения устанавливали зашифрованное подключение для проверки подлинности, добавив квалификатор RequireEncryption в MOF-файл MOF, который создает пространство имен.
Зашифрованное подключение к пространству имен WMI указывает RPC_C_AUTHN_LEVEL_PKT_PRIVACY (или PktPrivacy в скрипте) для проверки подлинности. Квалификатор RequiresEncryption приводит к тому, что WMI отклоняет все входящие запросы данных, если они явно не используют зашифрованную проверку подлинности. Дополнительные сведения см. в разделах Настройка уровня безопасности процесса по умолчанию с помощью VBScript или Настройка проверки подлинности с помощью C++.
Вы также можете изменить существующее пространство имен, добавив этот атрибут, а затем скомпилировать MOF-файл еще раз. RequiresEncryption используется в MOF с инструкцией препроцессора пространства имен pragma .
Следующая процедура задает для пространства имен требование зашифрованного подключения.
Установка обязательного шифрования
Создайте MOF-файл или измените существующий MOF-файл, определяющий пространство имен.
В следующем примере кода показано, что пространство имен, которое будет изменено, — root\MyNamespace , а файл называется MyNamespace_security.mof. RequiresEncryption имеет логический тип данных, поэтому ему необходимо задать значение True или False.
#pragma namespace("\\\\.\\Root\\MyNamespace") [RequiresEncryption(TRUE)] instance of __systemSecurity { };Выполните mofcomp.exe , чтобы скомпилировать MOF-файл.
c:\mofcomp MyNamespace_security.mof
В C++ используйте методы IMoFCompiler .
WMI отклоняет клиент, использующий уровень проверки подлинности по умолчанию, так как DCOM согласовывает безопасность с уровнем, необходимым для процесса SVCHOST, в котором выполняется служба WMI. Дополнительные сведения об узлах служб см. в разделе Размещение и безопасность поставщика. Дополнительные сведения о настройке уровней проверки подлинности при подключении к пространствам имен WMI см. в разделах Настройка уровня безопасности процесса по умолчанию с помощью C++, Настройка проверки подлинности с помощью C++ или Настройка уровня безопасности процесса по умолчанию с помощью VBScript.
При возврате данных при асинхронном подключении обратного вызова WMI возвращает запрашивающий компьютер сообщение об отказе в доступе. WMI также вносит запись журнала в журнал событий NT компьютера с зашифрованным пространством имен, указывающую, что безопасное подключение к клиенту установить невозможно.
Начиная с Windows Vista файл WbemCore.log больше не существует. Вы можете проверка журнал событий NT для записей, указывающих на отклоненные входящие запросы данных в пространства имен, требующие шифрования.
Связанные темы