Συμπτώματα
Μετά την εκτέλεση του Microsoft 7.0 πληροφορίες συστήματος (MSInfo32.exe), εάν προβάλετε το αρχείο καταγραφής εφαρμογής στην Προβολή συμβάντων, μπορεί να υπάρχουν μία ή περισσότερες παρουσίες της προειδοποίησης 63 Αναγνωριστικό συμβάντος:
Τύπος συμβάντος: προειδοποίηση
Προέλευση συμβάντος: WinMgmt
Κατηγορία συμβάντος: καμία
Το Αναγνωριστικό συμβάντος: 63
Date:Date
Time:Time
Χρήστης: όνομα_χρήστη
Υπολογιστή:
Computer_name
Περιγραφή:
Μια υπηρεσία παροχής, OffProv11, έχει εγγραφεί στο πεδίο ονόματος WMI, Root\MSAPPS11, για να χρησιμοποιήσετε το λογαριασμό LocalSystem. Αυτός ο λογαριασμός είναι προνομιούχος και η υπηρεσία παροχής ενδέχεται να προκαλέσει παραβίαση ασφάλειας, αν δεν απομιμηθεί σωστά τις αιτήσεις του χρήστη.
Για περισσότερες πληροφορίες, ανατρέξτε στο Κέντρο Βοήθειας και υποστήριξης στο http://support.microsoft.com.
Σημείωση Μια υπηρεσία παροχής των οργάνων διαχείρισης των Windows (WMI) είναι ένα στοιχείο λογισμικού που συμπεριφέρεται ως ένα ως μεσάζων μεταξύ του στοιχείου αποθήκευσης Common Information Model (CIM) και το διαχειριζόμενο αντικείμενο. Η υπηρεσία παροχής χειρίζεται τις αιτήσεις δεδομένων για το διαχειριζόμενο αντικείμενο και στέλνει δεδομένα από το διαχειριζόμενο αντικείμενο για το στοιχείο διαχείρισης αντικειμένου CIM (CIMOM).
Αιτία
Αυτό το ζήτημα προκύπτει, εάν ισχύουν οι ακόλουθες συνθήκες:
-
Εκτελείτε σύστημα του Office 2007 ή Microsoft Office 2003 Service Pack 1 (SP1) σε Microsoft Windows XP Service Pack 2 (SP2)-με βάση τον υπολογιστή.
-
Συνδεθείτε στον υπολογιστή με ένα λογαριασμό με αυξημένα δικαιώματα, όπως ο λογαριασμός Administrator.
Αυτό το προειδοποιητικό συμβάν δημιουργείται λόγω των ενημερωμένων εκδόσεων που περιλαμβάνονται στο Windows XP SP2. Αυτό το συμβάν προειδοποίησης δημιουργούνται όταν ξεκινήσει μια περίοδο λειτουργίας της υπηρεσίας παροχής OffProv11.
Δεν συνιστάται να δοκιμάσετε να ρυθμίσετε τις παραμέτρους της υπηρεσίας παροχής για να χρησιμοποιήσετε έναν πιο περιορισμένο λογαριασμό, επειδή η υπηρεσία παροχής OffProv11 έχει ήδη ρυθμιστεί για χρήση SelfHost. Επιπλέον, η υπηρεσία παροχής OffProv11 πρέπει να ρυθμιστεί για να χρησιμοποιεί το λογαριασμό LocalSystem, επειδή η υπηρεσία παροχής OffProv11 είναι μια διαδραστική υπηρεσία.
Κατάσταση
Αυτή η συμπεριφορά οφείλεται στη σχεδίαση.
Περισσότερες πληροφορίες
Το υποσύστημα υπηρεσία παροχής WMI εκτελεί μεμονωμένες υπηρεσίες παροχής σε συγκεκριμένους διακομιστές COM, με βάση το επίπεδο ασφαλείας που απαιτείται. Μόνο οι διαχειριστές μπορούν να καταχωρήσετε υπηρεσίες παροχής και να ρυθμίσετε το επίπεδο ασφαλείας που απαιτείται και μόνο οι αξιόπιστες υπηρεσίες παροχής, θα πρέπει να ρυθμιστεί ώστε να χρησιμοποιεί το λογαριασμό LocalSystem. Αυτό το προειδοποιητικό συμβάν συμπεριφέρεται ως πρακτικά ελέγχου για να υποδείξει ότι η υπηρεσία παροχής εκτελείται με τα δικαιώματα του λογαριασμού τοπικού συστήματος.
Ορισμένες από τις αλλαγές WMI που περιλαμβάνονται στο Windows XP SP2 είναι σχεδιασμένα για να μειωθούν τα θέματα που ενδέχεται να προκύψουν μεταξύ διαφορετικών φιλοξενίας μοντέλα όταν αυτά μοντέλα φιλοξενίας φόρτωση υπηρεσιών παροχής. Διαφορετικές κεντρικούς υπολογιστές ενδέχεται να περιλαμβάνει Microsoft Internet Information Services (IIS), μια υπηρεσία των Windows ή μια υπηρεσία enterprise. Για να ξεκινήσετε μια υπηρεσία παροχής, κάθε κεντρικός υπολογιστής ξεκινά μια νέα διαδικασία με το όνομα WMIPRVSE. Η διαδικασία WMIPRVSE φορτώνει την πραγματική υπηρεσία παροχής. Όταν χρησιμοποιείτε διαφορετικά μοντέλα φιλοξενίας, θα ξεκινήσει η διαδικασία WMIPRVSE χρησιμοποιώντας διαφορετικά διαπιστευτήρια Windows. Επομένως, η υπηρεσία παροχής που είναι φορτωμένο, όπως η υπηρεσία παροχής OffProv11, προσπαθεί να φορτώσει Mngcli.exe για να αποκτήσετε πρόσβαση στην κοινόχρηστη μνήμη, χρησιμοποιώντας αυτές τις διαφορετικές πιστοποιήσεις.
Η ασφάλεια WMI
Η ασφάλεια WMI βασίζεται σε ασφαλείας του χώρου ονομάτων.
Η υποδομή WMI διατηρεί μια λίστα των χρηστών που έχουν πρόσβαση σε ένα συγκεκριμένο πεδίο ονομάτων. Μπορείτε να ορίσετε αυτήν τη λίστα, χρησιμοποιώντας μια εφαρμογή WMI ή μέσω δέσμης ενεργειών. Μπορείτε επίσης να αλλάξετε ασφαλείας του χώρου ονομάτων, χρησιμοποιώντας το στοιχείο ελέγχου WMI. Για πρόσθετες πληροφορίες σχετικά με τη ρύθμιση ασφαλείας χρήστη WMI ή σχετικά με τη ρύθμιση ασφαλείας του χώρου ονομάτων WMI, επισκεφθείτε τις ακόλουθες τοποθεσίες της Microsoft στο Web.
Ρύθμιση της ασφάλειας χρήστη
http://technet2.microsoft.com/windowsserver/en/library/089bfd2f-f476-4bfb-ad01-6768b645a2941033.mspx?mfr=trueΗ ρύθμιση ασφαλείας του χώρου ονομάτων
Ρύθμιση παραμέτρων DCOM
Ασφάλεια DCOM είναι ένα ελέγχου ταυτότητας και απομίμησης ρύθμιση. Ο έλεγχος ταυτότητας σημαίνει ότι μια διαδικασία πρέπει να αναγνωρίζεται από μια άλλη διαδικασία. Συνήθως, ο έλεγχος ταυτότητας χρησιμοποιεί αναγνωριστικός κωδικός πρόσβασης. DCOM ελέγχου ταυτότητας επίπεδα κυμαίνονται από "χωρίς έλεγχο ταυτότητας" έως "ανά πακέτο κρυπτογραφημένο έλεγχο ταυτότητας." Απομίμηση προσδιορίζει την αρχή ότι ένας υπολογιστής-πελάτης εκχωρεί ένα διακομιστή για να καλέσετε διαφορετικές διαδικασίες. Κατά τη διάρκεια ενός ελέγχου ασφαλείας, ο διακομιστής απομιμείται το πρόγραμμα-πελάτη που ζητά πρόσβαση στον συγκεκριμένο πόρο. Απομίμησης DCOM επίπεδα κυμαίνονται από "χωρίς αναγνώριση" έως "Πλήρης ανάθεση".
Κοινή χρήση διαδικασίας κεντρικού υπολογιστή υπηρεσίας παροχής
WMI βρίσκεται σε έναν κεντρικό υπολογιστή κοινόχρηστης υπηρεσίας με διάφορες άλλες υπηρεσίες. Για να αποφύγετε τη διακοπή όλων των υπηρεσιών, όταν μια υπηρεσία αποτυγχάνει, υπηρεσίες παροχής φορτώνονται σε μια διεργασία ξεχωριστή κεντρικού υπολογιστή με το όνομα Wmiprvse.exe. Περισσότερες από μία διαδικασία με αυτό το όνομα μπορεί να εκτελείται. Κάθε διαδικασία μπορούν να εκτελούνται με διαφορετικό λογαριασμό με διαφορετικό ασφαλείας.
Ο κεντρικός υπολογιστής κοινόχρηστης μπορούν να εκτελούνται με έναν από τους παρακάτω λογαριασμούς σε μια κεντρική διεργασία Wmiprvse.exe:
-
Τοπικού συστήματος
-
NetworkService
-
LocalService
-
LocalSystemHostOrSelfHost
Ο λογαριασμός τοπικού συστήματος
Ο λογαριασμός τοπικού συστήματος είναι ένα προκαθορισμένο τοπικός λογαριασμός που χρησιμοποιείται από τη Διαχείριση ελέγχου υπηρεσιών (SCM). Αυτός ο λογαριασμός δεν αναγνωρίζεται από το υποσύστημα ασφαλείας. Έχει εκτεταμένα δικαιώματα στον τοπικό υπολογιστή, και ενεργεί ως τον υπολογιστή στο δίκτυο. Το διακριτικό ασφαλείας περιλαμβάνει το NT AUTHORITY\SYSTEM Αναγνωριστικό ασφαλείας (SID) και το αναγνωριστικό ΑΣΦΑΛΕΊΑΣ του BUILTIN\Administrators. Οι λογαριασμοί αυτοί έχουν πρόσβαση στο μεγαλύτερο μέρος των αντικειμένων του λειτουργικού συστήματος. Είναι το όνομα του λογαριασμού σε όλες τις περιοχές ". \LocalSystem." Το όνομα του "Τοπικού συστήματος" ή"Όνομα_υπολογιστή\LocalSystem" μπορούν να χρησιμοποιηθούν. Αυτός ο λογαριασμός δεν έχει κωδικό πρόσβασης. Εάν καθορίσετε το λογαριασμό LocalSystem σε μια κλήση στη συνάρτηση το CreateService , λαμβάνεται υπόψη οποιαδήποτε πληροφορία του κωδικού πρόσβασης που παρέχετε.
Μια υπηρεσία που εκτελείται στο περιβάλλον του λογαριασμού τοπικού συστήματος κληρονομεί το περιβάλλον ασφαλείας του το SCM. Το SID του χρήστη δημιουργείται από την τιμή SECURITY_LOCAL_SYSTEM_RID. Αυτός ο λογαριασμός δεν σχετίζεται με οποιονδήποτε λογαριασμό του συνδεδεμένου χρήστη. Αυτή η συμπεριφορά έχει τις ακόλουθες συνέπειες στην ασφάλεια:
-
Η ομάδα μητρώου HKEY_CURRENT_USER σχετίζεται με το προεπιλεγμένο χρήστη και όχι στον τρέχοντα χρήστη. Για να αποκτήσετε πρόσβαση σε προφίλ άλλου χρήστη, μίμηση αυτού του χρήστη και στη συνέχεια πρόσβαση η ομάδα μητρώου HKEY_CURRENT_USER.
-
Αυτή η υπηρεσία μπορεί να ανοίξει την ομάδα μητρώου HKEY_LOCAL_MACHINE\SECURITY.
-
Αυτή η υπηρεσία παρουσιάζει τις πιστοποιήσεις του υπολογιστή σε απομακρυσμένους διακομιστές.
-
Εάν αυτή η υπηρεσία ξεκινά μια γραμμή εντολών και να εκτελεί ένα αρχείο δέσμης, το αυτήν τη στιγμή συνδεδεμένος χρήστης μπορεί να σταματήσει αυτό το αρχείο δέσμης, πιέζοντας το συνδυασμό πλήκτρων CTRL + C. Το αυτήν τη στιγμή συνδεδεμένος χρήστης, στη συνέχεια, θα έχει πρόσβαση σε μια γραμμή εντολών που εκτελείται με δικαιώματα LocalSystem.
