Ereignis-ID 63 wird angezeigt, wenn Sie das Programm "Systeminformationen" und Office 2003 ausführen

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 891642 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
891642 Event ID 63 occurs when you run the Microsoft System Information program from Office 2003
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Problembeschreibung

Nachdem Sie das Programm "Microsoft Systeminformationen 7.0" (MSInfo32.exe) ausgeführt haben, werden im Anwendungsprotokoll der Ereignisanzeige eventuell eine oder mehrere Instanzen der Ereignis-ID 63 angezeigt:

Typ: Warnung
Quelle: WinMgmt
Kategorie: Keine
Ereigniskennung: 63
Datum:Datum
Uhrzeit:Uhrzeit
Benutzer: Benutzername
Computer: Computername
Beschreibung:

Der Provider "OffProv11" wurde im WMI-Namespace "Root\MSAPPS11" für die Verwendung des Kontos "LocalSystem" registriert. Dieses Konto ist mit Berechtigungen ausgestattet. Der Provider verursacht eventuell eine Sicherheitsverletzung, wenn er die Benutzeranforderungen nicht korrekt imitiert.

Weitere Informationen finden Sie im Hilfe- und Support-Center unter http://support.microsoft.com.
Hinweis: Ein WMI-Provider (Windows Management Instrumentation, WMI) ist eine Softwarekomponente, die als Vermittler zwischen der CIM-Speicherkomponente (Common Information Model, CIM) und dem verwalteten Objekt fungiert. Der Provider verarbeitet Datenanforderungen für das verwaltete Objekt und sendet Daten vom verwalteten Objekt an die CIM-Objektmanagerkomponente (CIMOM).

Ursache

Dieses Problem tritt auf, wenn die folgenden Bedingungen vorliegen:
  • Sie führen Microsoft Office 2003 Service Pack 1 (SP1) auf einem Computer aus, auf dem Microsoft Windows XP Service Pack 2 (SP2) ausgeführt wird.
  • Sie sind auf dem Computer über ein Konto mit erweiterten Berechtigungen, wie etwa dem Administratorkonto, angemeldet.
Diese Warnung wird aufgrund der in Windows XP SP2 enthaltenen Updates generiert. Sie wird erzeugt, wenn eine Instanz des Providers "OffProv11" gestartet wird.

Microsoft rät davon ab, den Provider für die Verwendung eines Kontos mit eingeschränkten Berechtigungen zu konfigurieren, weil der Provider "OffProv11" bereits für die Verwendung von "SelfHost" konfiguriert ist. Außerdem muss der Provider "OffProv11" für die Verwendung des Kontos "LocalSystem" konfiguriert sein, weil es sich bei dem Provider "OffProv11" um einen interaktiven Dienst handelt.

Status

Es handelt sich hierbei um ein beabsichtigtes Verhalten.

Weitere Informationen

Das WMI-Provider-Subsystem führt einzelne Provider auf speziellen COM-Servern je nach der erforderlichen Sicherheitsstufe aus. Nur Administratoren können Provider registrieren und ihre erforderliche Sicherheitsstufe konfigurieren. Für die Verwendung des Kontos "LocalSystem" sollten nur vertrauenswürdige Provider konfiguriert werden. Diese Warnung verhält sich wie ein Überwachungsdatensatz, um anzuzeigen, dass der Provider mit den Berechtigungen des Kontos "LocalSystem" ausgeführt wird.

Einige der in Windows XP SP2 enthaltenen WMI-Änderungen sollen zur Vermeidung von Problemen beitragen, die eventuell zwischen verschiedenen Hosting-Modellen beim Laden von Providern auftreten. Bei diesen Hosts kann es sich unter anderem um Microsoft Internet Information Services (IIS), einen Windows-Dienst oder einen Enterprise-Dienst handeln. Um einen Provider zu starten, startet jeder Host einen neuen Prozess mit dem Namen WMIPRVSE. Der Prozess WMIPRVSE lädt den eigentlichen Provider. Wenn Sie verschiedene Hosting-Modelle verwenden, wird der Prozess WMIPRVSE mithilfe verschiedener Windows-Anmeldeinformationen gestartet. Daher versucht der geladene Provider (beispielsweise der Provider "OffProv11"), die Datei "Mngcli.exe" zu laden, um mithilfe dieser verschiedenen Anmeldeinformationen Zugriff auf den freigegebenen Speicher zu erhalten.

WMI-Sicherheit

Die WMI-Sicherheit basiert auf der Namespace-Sicherheit.

Die WMI-Infrastruktur verwaltet eine Liste der Benutzer, die Zugriff auf einen bestimmten Namespace haben. Sie können diese Liste mithilfe einer WMI-Anwendung oder mithilfe von Skripts festlegen. Außerdem haben Sie die Möglichkeit, die Namespace-Sicherheit unter Verwendung der Komponente WMI-Steuerung zu ändern. Weitere Informationen dazu, wie Sie die WMI-Benutzersicherheit einrichten bzw. dazu, wie Sie die WMI-Namespace-Sicherheit einrichten, finden Sie auf den folgenden Microsoft-Websites.

Einrichten der Benutzersicherheit
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/wmi_managing_security.mspx?mfr=true
Einrichten der Namespace-Sicherheit
http://msdn2.microsoft.com/de-de/library/aa393613.aspx

DCOM-Konfiguration

Die DCOM-Sicherheit ist eine Einstellung für die Authentifizierung und den Identitätswechsel. Authentifizierung bedeutet, dass ein Prozess sich einem anderen Prozess gegenüber identifiziert. In der Regel findet bei der Authentifizierung eine Identifizierung per Kennwort statt. Die DCOM-Authentifizierungsebenen reichen von "keine Authentifizierung" bis zur "verschlüsselten Authentifizierung auf Paketebene". Der Identitätswechsel identifiziert die Autorität, die ein Client einem Server zum Aufrufen verschiedener Prozesse gewährt. Bei einer Sicherheitsüberprüfung nimmt der Server die Identität des Clients an, der Zugriff auf die jeweilige Ressource anfordert. Die DCOM-Identitätswechselebenen reichen von "keine Identifizierung" bis "vollständige Delegierung".

Freigegebener Provider-Hostprozess

WMI befindet sich gemeinsam mit verschiedenen anderen Diensten auf einem Host für freigegebene Dienste. Um zu vermeiden, dass alle Dienste angehalten werden, wenn ein Fehler bei einem Provider auftritt, werden die Provider im separaten Hostprozess "Wmiprvse.exe" geladen. Es werden eventuell mehrere Prozesse mit diesem Namen ausgeführt. Die einzelnen Prozesse werden möglicherweise unter verschiedenen Konten und mit unterschiedlichen Sicherheitseinstellungen ausgeführt.

Der Host für freigegebene Dienste kann unter einem der folgenden Konten in einem "Wmiprvse.exe"-Hostprozess ausgeführt werden:
  • LocalSystem
  • NetworkService
  • LocalService
  • LocalSystemHostOrSelfHost

Das Konto "LocalSystem"

Das Konto "LocalSystem" ist ein vordefiniertes lokales Konto, das vom Dienststeuerungs-Manager verwendet wird. Dieses Konto wird vom Sicherheitssubsystem nicht erkannt. Es besitzt umfassende Berechtigungen auf dem lokalen Computer und fungiert als Computer im Netzwerk. Sein Sicherheitstoken beinhaltet die Sicherheits-IDs (SID) "NT AUTHORITY\SYSTEM" und "BUILTIN\Administrators". Diese Konten haben Zugriff auf die meisten Betriebssystemobjekte. Der Name des Kontos lautet in allen Gebietsschemas ".\LocalSystem". Die Namen "LocalSystem" oder "Computername\LocalSystem" können ebenfalls verwendet werden. Dieses Konto besitzt kein Kennwort. Wenn Sie das Konto "LocalSystem" in einem Aufruf der Funktion CreateService angeben, werden eventuell angegebene Kennwortinformationen ignoriert.

Ein Dienst, der im Kontext des Kontos "LocalSystem" ausgeführt wird, erbt den Sicherheitskontext des Dienststeuerungs-Managers. Die Benutzer-SID wird aus dem Wert "SECURITY_LOCAL_SYSTEM_RID" erstellt. Dieses Konto ist keinem Konto eines gerade angemeldeten Benutzers zugeordnet. Dieses Verhalten hat folgende Auswirkungen auf die Sicherheit:
  • Die Registrierungsstruktur HKEY_CURRENT_USER ist nicht dem aktuellen Benutzer, sondern dem Standardbenutzer zugeordnet. Wenn Sie auf das Profil eines anderen Benutzers zugreifen möchten, müssen Sie diesen Benutzer imitieren und anschließend auf die Registrierungsstruktur HKEY_CURRENT_USER zugreifen.
  • Dieser Dienst kann die Registrierungsstruktur HKEY_LOCAL_MACHINE\SECURITY öffnen.
  • Dieser Dienst zeigt Remoteservern die Anmeldeinformationen des Computers an.
  • Wenn dieser Dienst eine Eingabeaufforderung aufruft und eine Stapelverarbeitungsdatei ausführt, könnte der derzeit angemeldete Benutzer diese Stapelverarbeitungsdatei durch Drücken der Tastenkombination [CTRL]+[C] anhalten. Der derzeit angemeldete Benutzer hätte dann Zugriff auf eine Eingabeaufforderung, die mit den Berechtigungen des Kontos "LocalSystem" ausgeführt wird.

Eigenschaften

Artikel-ID: 891642 - Geändert am: Mittwoch, 30. Mai 2007 - Version: 2.2
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Office Professional Edition 2003
  • Microsoft Office Basic Edition 2003
  • Microsoft Office Small Business Edition 2003
  • Microsoft Office Standard Edition 2003
  • Microsoft Office Student and Teacher Edition 2003
Keywords: 
kberrmsg kbtshoot kbprb KB891642
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com