Id. de suceso 63 se produce al ejecutar el programa información del sistema de Microsoft de Office 2007 o de Office 2003

Se aplica a: Microsoft Office Basic Edition 2003Microsoft Office Small Business Edition 2003Microsoft Office Professional Edition 2003

Síntomas


Después de ejecutar el 7.0 de información de sistema de Microsoft (MSInfo32.exe), si ve el registro de aplicación en el Visor de sucesos, puede haber una o más instancias de la advertencia 63 de ID de evento:

Tipo de suceso: advertencia
Origen del evento: WinMgmt
Categoría del suceso: ninguna
Id. de suceso: 63

Date:Date
Time:Time

Usuario: nombre_de_usuario
Equipo:
Computer_name
Descripción:

Se ha registrado un proveedor, OffProv11, en el espacio de nombres WMI, Root\MSAPPS11, para utilizar la cuenta LocalSystem. Esta cuenta tiene privilegios y el proveedor puede originar una infracción de seguridad si no suplanta correctamente las solicitudes del usuario.


Para obtener más información, consulte Centro de ayuda y soporte técnico en http://support.microsoft.com.
Nota: Un proveedor de Instrumental de administración de Windows (WMI) es un componente de software que se comporta como un mediador entre el componente de almacenamiento de información de modelo de información común (CIM) y el objeto administrado. El proveedor controla las solicitudes de datos para el objeto administrado y envía los datos desde el objeto administrado en el componente de administrador de objetos CIM (CIMOM).

Causa


Este problema se produce si se cumplen las condiciones siguientes:
  • Está ejecutando el sistema Office 2007 o Microsoft Office 2003 Service Pack 1 (SP1) en un Service Pack 2 (SP2) de Microsoft Windows XP-basado en equipo.
  • Sesión en el equipo con una cuenta que tenga permisos, como la cuenta de administrador elevados.
Este evento de advertencia se genera debido a las actualizaciones que se incluyen en el Service Pack 2 de Windows XP. Este evento de advertencia se genera cuando se inicia una instancia del proveedor OffProv11.

No recomendamos que intente configurar el proveedor para utilizar una cuenta más restringida, porque el proveedor OffProv11 ya está configurado para utilizar SelfHost. Además, el proveedor OffProv11 debe configurarse para utilizar la cuenta LocalSystem porque el proveedor OffProv11 es un servicio interactivo.

Estado


Este comportamiento es por diseño.

Más información


El subsistema de proveedor WMI ejecuta proveedores individuales en servidores COM específicos según su nivel de seguridad requerido. Sólo los administradores pueden registrar proveedores y configurar su nivel de seguridad requerido, y sólo los proveedores de confianza deben configurarse para utilizar la cuenta LocalSystem. Este evento de advertencia se comporta como un registro de auditoría para indicar que el proveedor se ejecuta con los permisos de la cuenta LocalSystem.


Algunos de los cambios WMI que se incluyen en el Service Pack 2 de Windows XP están diseñados para ayudar a reducir los problemas que pueden producirse entre los distintos modelos de hospedaje cuando estos modelos de hospedaje cargar proveedores. Hosts diferentes pueden incluir servicios de Microsoft Internet Information Services (IIS), un servicio de Windows o un servicio de la empresa. Para iniciar un proveedor, cada host inicia un nuevo proceso que se denomina WMIPRVSE. El proceso WMIPRVSE carga el proveedor real. Al utilizar diferentes modelos de hospedaje, el proceso WMIPRVSE se inicia utilizando distintas credenciales de Windows. Por lo tanto, el proveedor que es cargado, como el proveedor OffProv11, intenta cargar Mngcli.exe para tener acceso a la memoria compartida por medio de estas credenciales diferentes.

Seguridad de WMI

La seguridad de WMI se basa en la seguridad del espacio de nombres.

La infraestructura de WMI mantiene una lista de usuarios que tienen acceso a un espacio de nombres específico. Puede establecer esta lista mediante una aplicación de WMI o mediante secuencias de comandos. También puede cambiar la seguridad del espacio de nombres mediante el componente de Control de WMI. Para obtener información adicional acerca de cómo configurar la seguridad de usuario WMI o acerca de cómo configurar la seguridad del espacio de nombres WMI, visite los siguientes sitios Web de Microsoft.

Configuración de seguridad de usuarioConfiguración de la seguridad del espacio de nombres

Configuración de DCOM

La seguridad DCOM es una configuración de suplantación y autenticación. Autenticación significa que un proceso se identifica a otro proceso. Normalmente, la autenticación utiliza la identificación de la contraseña. DCOM autenticación niveles entre "sin autenticación" y "autenticación cifrada por paquete". Suplantación identifica la autoridad que concede a un cliente de un servidor para llamar a distintos procesos. Durante una comprobación de seguridad, el servidor suplanta al cliente que solicita el acceso al recurso determinado. Niveles de suplantación DCOM van de "sin identificación" a "delegación completa".

Proceso de proveedor host compartido

WMI reside en un host de servicio compartido con otros servicios. Para evitar detener todos los servicios cuando un proveedor se produce un error, los proveedores se cargan en un proceso de host independiente denominado Wmiprvse.exe. Se puede ejecutar más de un proceso con este nombre. Cada proceso puede ejecutar bajo una cuenta diferente con seguridad diferentes.

Puede ejecutar el host compartido bajo una de las siguientes cuentas en un proceso de host Wmiprvse.exe:
  • LocalSystem
  • NetworkService
  • LocalService
  • LocalSystemHostOrSelfHost

La cuenta LocalSystem

La cuenta LocalSystem es una cuenta local predefinida que se utiliza por el Administrador de control de servicios (SCM). Esta cuenta no es reconocida por el subsistema de seguridad. Que tiene amplios permisos en el equipo local y actúa como el equipo de la red. Su token de seguridad incluye NT AUTHORITY\SYSTEM identificador de seguridad (SID) y el SID de BUILTIN\Administrators. Estas cuentas tienen acceso a la mayoría de los objetos del sistema operativo. El nombre de la cuenta en todos los idiomas es ". \LocalSystem." El nombre de "LocalSystem" o"NombreDeEquipo\LocalSystem" también se puede utilizar. Esta cuenta no tiene contraseña. Si especifica la cuenta LocalSystem en una llamada a la función CreateService , se omite cualquier información de contraseña que proporcione.


Un servicio que se ejecuta en el contexto de la cuenta LocalSystem hereda el contexto de seguridad de la SCM. El SID del usuario se crea desde el valor SECURITY_LOCAL_SYSTEM_RID. Esta cuenta no está asociada con cualquier cuenta de usuario que ha iniciado la sesión. Este comportamiento tiene implicaciones de seguridad siguientes:
  • El subárbol del registro HKEY_CURRENT_USER está asociado con el usuario predeterminado y no el usuario actual. Para tener acceso al perfil de otro usuario, suplantar a dicho usuario y obtener acceso a la sección HKEY_CURRENT_USER del registro.
  • Este servicio puede abrir el subárbol del registro HKEY_LOCAL_MACHINE\SECURITY.
  • Este servicio presenta las credenciales del equipo a los servidores remotos.
  • Si este servicio inicia un símbolo del sistema y ejecuta un archivo por lotes, el usuario que ha iniciado la sesión pudo detener este archivo por lotes presionando CTRL+C. El usuario ha iniciado la sesión, a continuación, pueda tener acceso a una línea de comandos que se ejecuta con permisos de LocalSystem.