Sümptomid
Pärast seda, kui käivitate Microsoft System Information 7.0 (MSInfo32.exe), kui rakenduse logi vaatamiseks rakendust Event Viewer, võib olla üks või mitu eksemplari sündmuse ID 63 Hoiatus:
Sündmuse tüüp: Hoiatus
Sündmuse allikas: WinMgmt
Sündmuse kategooria: puudub
Sündmuse ID: 63
Date:Date
Time:Time
Kasutaja: kasutajanimi
Arvuti:
Computer_name
Kirjeldus:
Pakkuja, OffProv11, on registreeritud WMI nimeruumis Root\MSAPPS11 LocalSystem konto kasutamiseks. Sellel kontol au ja pakkuja võib põhjustada turvasätete rikkumine, kui see õigesti jäljendada kasutaja taotlused.
Lisateabe saamiseks lugege Spikri- ja tugikeskust aadressil http://support.microsoft.com.
Märkus. Windows Management Instrumentation (WMI) pakkuja on levinud mudel (CIM) mälu ja hallatava objekti vahendaja käitub tarkvarakomponent. Pakkuja tegeleb andmete päringute hallatava objekti ja saadab data hallatava objekti CIM object manager komponent (CIMOM).
Põhjus
See probleem ilmneb, kui täidetud on järgmised tingimused:
-
Kasutate Microsoft Windows XP Service Pack 2 (SP2) 2007 Office system või Microsoft Office 2003 Service Pack 1 (SP1)-põhise arvuti.
-
On arvuti kontoga, millel on laiendatud õigusi, näiteks administraatori kontoga sisse logitud.
See hoiatus sündmus luuakse tõttu värskendusi, mis on kaasatud Windows XP hoolduspaketti SP2. See hoiatus sündmus luuakse OffProv11 pakkuja eksemplari käivitamisel.
Me ei soovita püüate konfigureerida pakkuja rohkem piiratud õigustega kontot kasutada, kuna OffProv11 pakkuja on juba konfigureeritud kasutama SelfHost. Lisaks OffProv11 pakkuja tuleb konfigureerida LocalSystem kontot kasutada, kuna OffProv11 pakkuja on interaktiivne teenus.
Olek
Selline käitumine on ette nähtud.
Lisateabe saamiseks
WMI pakkuja alamsüsteem töötab eraldi pakkujad konkreetsete COM serverite vastavalt oma nõutud turvataseme. Ainult administraator saab registreeruda pakkujad ja seadistada oma nõutud turvataseme ja ainult usaldusväärsed pakkujad olla konfigureeritud kasutama LocalSystem konto. See hoiatus sündmus käitub audit kirje, mis näitab, et pakkuja töötab LocalSystem konto õigustega.
Mõne WMI muudatusi, mis on kaasatud Windows XP hoolduspaketti SP2 on mõeldud erinevate majutusmudelit, kui need majutusmudelit lasti pakkujad vahel tekkida võivate probleemide vähendamiseks. Microsoft Internet Information Services (IIS), Windowsi teenuse või ettevõtte teenuse sisaldada erinevaid hosts. Pakkuja käivitamiseks iga hosti alustab uue nimega WMIPRVSE protsessi. WMIPRVSE protsessi laadib tegelik pakkuja. Erinevate majutusmudelit kasutamisel WMIPRVSE protsess on käivitatud erinevate Windowsi mandaat. Seetõttu laaditakse, nagu pakkuja OffProv11 pakkuja püüab laadida Mngcli.exe pääseda mälu erinevate mandaadiga.
WMI turvalisus
WMI turvalisus põhineb nimeruumi turvalisuse.
WMI infrastruktuuri mälus kasutajad, kellel on juurdepääs kindlate nimeruum. Saate määrata selle loendi abil WMI rakenduse või skripti abil. WMI Control komponendi abil saate muuta ka nimeruumi turvalisuse. Kohta, kuidas seadistada WMI kasutaja või WMI nimeruumis turvalisuse seadistamise kohta lisateabe saamiseks külastage järgmisi Microsofti veebisaite.
Kasutaja turvalisuse seadistamine
http://technet2.microsoft.com/windowsserver/en/library/089bfd2f-f476-4bfb-ad01-6768b645a2941033.mspx?mfr=trueNimeruumi turvalisuse seadistamine
DCOM-i konfigureerimine
DCOM-i turvalisus on autentimine ja isikustamise säte. Autentimise tähendab, et ühe protsessi tuvastab ise muu protsess. Tavaliselt kasutab autentimise parooli ID-d. DCOM-i autentimise tase vahemikus "autentimine puudub"-"paketi kohta krüptitud autentimist." Isikustamise tuvastab kliendi annab server helistada erinevate protsesside asutus. Turvalisuse tõendamisel impersonates server kliendi konkreetse ressursile juurdepääsu. DCOM-i isikustamise taset ulatuvad "no ID" "täielik delegeerimine."
Jagatud pakkuja hostprotsessi töö
WMI asub ühiskasutuses majutusteenus mitu teenustega. Kõik teenused, kui pakkuja ei suuda peatada vältimiseks pakkujad on eraldi hostprotsessi töö nimega Wmiprvse.exe laaditud. Rohkem kui üks protsess selle nimega arvutisse olema installitud. Iga protsessi saab käivitada mõne muu kontoga muu turvalisusega.
Jagatud host käivitada ühele järgmistest kontodest Wmiprvse.exe hosti protsess:
-
LocalSystem
-
NetworkService'i
-
LocalService
-
LocalSystemHostOrSelfHost
LocalSystem konto
LocalSystem konto on eelmääratletud kohaliku konto, mida kasutatakse service control manager (SCM). See konto ei tunne ära turvalisuse alamsüsteem. See on ulatuslikud õigused kohalikus arvutis ja võrgus oleva arvuti toimib. Selle Turbeloa hõlmab NT AUTHORITY\SYSTEM turvalisuse ID (SID) ja SID sisseehitatud\ülemad. Need kontod on enamik operatsioonisüsteemi objekte. Kõik locales konto nimi on ". \LocalSystem." Nimi "Paremal" või"Arvutinimi\LocalSystem" saab kasutada ka. Sellel kontol pole parooli. Kui määrate funktsioonil CreateService funktsiooni kõne LocalSystem konto, ignoreeritakse mis tahes parooli sisestama.
Teenus, mis töötab paremal konto kontekstis pärib selle SCM turvalisuse kontekstis. Kasutaja Turvalisus-ID luuakse SECURITY_LOCAL_SYSTEM_RID väärtus. See konto ei ole seotud ühtegi sisselogitud kasutaja konto. Selline käitumine on järgmised turvaohu.
-
Registritarus HKEY_CURRENT_USER on seotud vaikimisi kasutaja ja pole praeguse kasutaja. Teise kasutaja profiili juurdepääsuks jäljendada kasutaja ja seejärel juurde registritarus HKEY_CURRENT_USER.
-
Selle teenuse avamiseks registritaru HKEY_LOCAL_MACHINE\SECURITY.
-
See teenus on esitatud kaugserverites arvuti mandaate.
-
Kui see teenus käivitub Käsuviip ja töötab pakkfaili, praegu sisselogitud kasutaja võib lakata see pakkfaili, vajutades klahvikombinatsiooni CTRL + C. Praegu sisselogitud kasutaja oleks siis juurdepääsu Käsuviip, mis töötab LocalSystem õigustega.
