更多信息
WMI 提供程序子系统基于各个提供程序要求的安全级别在特定 COM 服务器上运行它们。只有管理员才能注册提供程序并配置其要求的安全级别,并且仅应将受信任的提供程序配置为使用 LocalSystem 帐户。此警告事件的行为类似于审核记录,表明正在使用 LocalSystem 帐户的权限运行提供程序。
当宿主模型加载提供程序时,Windows XP SP2 中包含的一些 WMI 更改可帮助减少这些不同宿主模型之间可能出现的问题。不同的主机可能会包括 Microsoft Internet Information Services (IIS)、Windows 服务或企业服务。若要启动一个提供程序,每台主机都会启动一个名为 WMIPRVSE 的新进程。WMIPRVSE 进程将加载实际的提供程序。当使用不同的宿主模型时,将使用不同的 Windows 凭据启动 WMIPRVSE 进程。因此,加载的提供程序(例如 OffProv11 提供程序)将尝试使用不同的凭据加载 Mngcli.exe,以获得对共享内存的访问权。
WMI 安全性
WMI 安全性是基于命名空间安全性的。
WMI 结构维护有一份对特定命名空间具有访问权的用户的列表。您可以使用 WMI 应用程序或使用脚本来设置此列表。也可以使用 WMI 控制组件来更改命名空间安全性。有关如何设置 WMI 用户安全性或如何设置 WMI 命名空间安全性的其他信息,请访问下面的 Microsoft 网站。
设置用户安全性
DCOM 配置
DCOM 安全性是指身份验证和模拟设置。身份验证意指一个进程向另一个进程表明自己的身份。身份验证通常使用密码标识。DCOM 身份验证的级别范围是从“无身份验证”到“每个数据包加密的身份验证”。模拟将标识客户端授予服务器用来调用不同进程的特权。在安全性验证的过程中,服务器将模拟请求访问特定资源的客户端。DCOM 模拟的级别范围是从“无标识”到“完全委派”。
共享提供程序宿主进程
WMI 与其他若干服务一起驻留在一个共享服务宿主中。为了避免在一个提供程序失败时停止所有服务,提供程序将被加载到一个名为 Wmiprvse.exe 的单独的宿主进程中。可以运行多个具有此名称的进程。每个进程都可在具有不同安全性的不同帐户下运行。
共享宿主可依据以下帐户之一在 Wmiprvse.exe 宿主进程中运行:
LocalSystem
NetworkService
LocalService
LocalSystemHostOrSelfHost
LocalSystem 帐户
LocalSystem 帐户是由服务控制管理器 (SCM) 使用的预定义的本地帐户。安全子系统无法识别该帐户。该帐户对本地计算机具有广泛的权限,并且可以充当网络上的计算机。该帐户的安全令牌包括 NT AUTHORITY\SYSTEM 安全 ID (SID) 和 BUILTIN\Administrators SID。这些帐户具有对大多数操作系统对象的访问权。该帐户在所有区域设置中的名称都为“.\LocalSystem”。也可以使用“LocalSystem”或“ComputerName\LocalSystem”名称。该帐户不需要密码。如果在对 CreateService 函数的调用中指定了 LocalSystem 帐户,则将忽略您提供的任何密码信息。
在 LocalSystem 帐户的上下文中运行的服务将继承 SCM 的安全上下文。用户 SID 是从 SECURITY_LOCAL_SYSTEM_RID 值创建的。该帐户与任何登录的用户帐户都无关。此行为具有以下安全暗示:
HKEY_CURRENT_USER 注册表配置单元与默认用户(而不是当前用户)相关联。若要访问另一个用户的配置文件,应模拟该用户,然后访问 HKEY_CURRENT_USER 注册表配置单元。
此服务可以打开 HKEY_LOCAL_MACHINE\SECURITY 注册表配置单元。
此服务将显示计算机用于访问远程服务器的凭据。
如果此服务启动一个命令提示符并运行一个批处理文件,则当前登录的用户可以按 Ctrl+C 来停止运行此批处理文件。然后,当前登录的用户可访问在 LocalSystem 权限下运行的命令提示符。
3183
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
