الأعراض
بعد تشغيل 7.0 معلومات النظام ل Microsoft (MSInfo32.exe)، إذا قمت بعرض سجل التطبيق في "عارض الأحداث"، قد يكون هناك واحد أو أكثر من مثيلات تحذير 63 معرف الحدث:
نوع الحدث: تحذير
مصدر الحدث: WinMgmt
فئة الحدث: بلا
معرف الحدث: 63
Date:Date
Time:Time
المستخدم: اسم _ المستخدم
جهاز الكمبيوتر:
Computer_name
الوصف:
تم تسجيل موفر، OffProv11، في مساحة اسم WMI Root\MSAPPS11 لاستخدام حساب النظام المحلي. هذا الحساب يملك امتيازات وقد يتسبب الموفر في انتهاك أمان إذا غير صحيح تمثيل طلبات المستخدم.
لمزيد من المعلومات، راجع مركز التعليمات والدعم في http://support.microsoft.com.
ملاحظة: موفر Windows Management Instrumentation (WMI) هو أحد مكونات برامج الذي يتصرف كوسيط بين عنصر التخزين طراز المعلومات الشائعة (CIM) وكائن مدار. معالجة طلبات البيانات لكائن مدار الموفر وإرسال البيانات من كائن مدار لمكون إدارة الكائنات CIM (CIMOM).
السبب
تحدث هذه المشكلة إذا تحققت الشروط التالية:
-
تقوم بتشغيل حزمة الخدمة ل Microsoft Office 2003 service Pack 1 (SP1) أو نظام Office 2007 على Microsoft Windows XP Service Pack 2 (SP2)-المستند إلى الكمبيوتر.
-
تسجيل الدخول إلى الكمبيوتر باستخدام حساب له أذونات، مثل حساب المسؤول كاملة.
إنشاء حدث تحذير هذا بسبب التحديثات المضمنة في حزمة الخدمة Windows XP SP2. إنشاء حدث تحذير هذا عند بدء تشغيل مثيل موفر OffProv11.
لا نوصي بمحاولة تكوين الموفر لاستخدام حساب أكثر تقييداً، لأنه تم تكوين موفر OffProv11 لاستخدام سيلفهوست. بالإضافة إلى ذلك، يجب تكوين موفر OffProv11 لاستخدام حساب النظام المحلي لأن موفر OffProv11 خدمة تبادلية.
الحالة
يعتبر هذا السلوك حسب التصميم.
مزيد من المعلومات
تشغيل النظام الفرعي موفر WMI الموفرين الفرديين في خوادم COM محددة استناداً إلى مستوى الأمان المطلوب. يمكن المسؤولين فقط تسجيل موفري وتكوين مستوى الأمان المطلوب، ويجب أن يتم تكوين موفري الموثوق بها فقط لاستخدام حساب النظام المحلي. هذا حدث تحذير يتصرف كسجل تدقيق للإشارة إلى أن يتم تشغيل الموفر مع أذونات حساب النظام المحلي.
تم تصميم بعض التغييرات WMI التي تم تضمينها في حزمة الخدمة Windows XP SP2 لتقليل المشكلات التي قد تحدث بين مختلف نماذج استضافة عند تحميل هذه النماذج استضافة موفري. قد يتضمن مضيف مختلف خدمات معلومات إنترنت ل Microsoft (IIS) أو إحدى خدمات Windows أو إحدى خدمات مؤسسة. لبدء تشغيل موفر، يبدأ المضيف كل عملية جديدة باسم WMIPRVSE. عملية WMIPRVSE تحميل موفر الفعلي. عند استخدام نماذج استضافة مختلفة، يتم تشغيل عملية WMIPRVSE باستخدام بيانات اعتماد Windows آخر. لذلك، يحاول الموفر الذي تم تحميله، مثل موفر OffProv11، تحميل Mngcli.exe للوصول إلى الذاكرة المشتركة باستخدام بيانات الاعتماد هذه مختلفة.
أمان WMI
أمان WMI يستند إلى أمان مساحة أسماء المصادر.
البنية التحتية ل WMI يحتفظ بقائمة مستخدمين الذين لديهم حق الوصول إلى مساحة اسم محددة. يمكنك تعيين هذه القائمة باستخدام أحد تطبيقات WMI أو باستخدام برنامج نصي. يمكنك أيضا تغيير أمان مساحة الاسم باستخدام عنصر تحكم WMI. للحصول على معلومات إضافية حول كيفية تعيين أمان WMI المستخدم أو حول كيفية تعيين أمان مساحة اسم WMI، قم بزيارة موقعي Microsoft التاليين على الويب.
إعداد أمان المستخدم
http://technet2.microsoft.com/windowsserver/en/library/089bfd2f-f476-4bfb-ad01-6768b645a2941033.mspx?mfr=trueتعيين مساحة الاسم الأمان
تكوين DCOM
الأمان DCOM هي المصادقة وإعداد التمثيل. مصادقة يعني أن عملية يعرف نفسه إلى عملية أخرى. عادة، يستخدم مصادقة تعريف كلمة المرور. DCOM مصادقة مستويات النطاق من "عدم المصادقة" إلى "كل حزمة المصادقة المشفرة". يعرف تمثيل السلطة أن يمنح عميل ملقم استدعاء عمليات مختلفة. أثناء تحقق من أمان، الخادم انتحال العميل الذي قام بطلب حق الوصول إلى مورد معين. الانتحال DCOM تتراوح مستويات من "لا تعريف" إلى "تفويض كامل".
مشاركة عملية المضيف موفر
وتوجد WMI في مضيف خدمة مشتركة مع العديد من الخدمات الأخرى. لتجنب إيقاف كافة خدمات موفر عند فشل، موفري يتم تحميلها في عملية مضيف منفصل يسمى Wmiprvse.exe. يمكن تشغيل عملية واحد أو أكثر بهذا الاسم. يمكن تشغيل تحت حساب مختلف كل عملية أمنية مختلفة.
تشغيل المضيف المشتركة ضمن أحد الحسابات التالية في عملية مضيف Wmiprvse.exe:
-
نظام محلي
-
NetworkService
-
LocalService
-
لوكالسيستيمهوستورسيلفهوست
حساب النظام المحلي
حساب النظام المحلي هو حساب محلي المعرفة مسبقاً المستخدمة من قبل إدارة التحكم بالخدمة (المجلس الأعلى للقضاة). هذا الحساب غير معروف بنظام الأمان الفرعي. أذونات شاملة على الكمبيوتر المحلي، ويعمل كجهاز كمبيوتر على شبكة الاتصال. يتضمن رمز الأمان الخاصة به يكون NT AUTHORITY\SYSTEM معرف الأمان (SID) وسيد BUILTIN\Administrators. هذه الحسابات من الوصول إلى معظم كائنات نظام التشغيل. اسم الحساب في جميع المناطق ". \LocalSystem." اسم "نظام محلي" أو "اسم الكمبيوتر\LocalSystem" يمكن استخدامها أيضا. هذا الحساب ليس لديه كلمة مرور. إذا قمت بتحديد حساب النظام المحلي في استدعاء الدالة CreateService ، يتم تجاهل أي معلومات كلمة المرور التي قمت بتوفيرها.
خدمات التي يتم تشغيلها في سياق حساب LocalSystem ترث سياق الأمان الخاص المجلس الأعلى للقضاة. يتم إنشاء معرف أمان المستخدم من قيمة SECURITY_LOCAL_SYSTEM_RID. هذا الحساب غير مقترن بأي حساب مستخدم قام بتسجيل الدخول. هذا السلوك على ضمانات الأمان التالية:
-
خلية التسجيل HKEY_CURRENT_USER مقترن بالمستخدم الافتراضي، وليس المستخدم الحالي. للوصول إلى ملف تعريف مستخدم آخر، انتحال صفة المستخدم ومن ثم الوصول إلى خلية التسجيل HKEY_CURRENT_USER.
-
يمكنك فتح هذه الخدمة خلية التسجيل HKEY_LOCAL_MACHINE\SECURITY.
-
تقدم هذه الخدمة بيانات اعتماد الكمبيوتر إلى الملقمات البعيدة.
-
إذا كانت هذه الخدمة بدء تشغيل موجه الأوامر وتشغيل ملف دفعي، مستخدم قام بتسجيل الدخول حاليا إيقاف هذا الملف الدفعي بضغط CTRL + C. سيضطر المستخدم دخوله حاليا ثم الوصول إلى موجه الأوامر الذي يقوم بتشغيل ضمن أذونات LocalSystem.
