L’ID d’événement 63 se produit lorsque vous exécutez le programme informations système Microsoft Office 2007 ou Office 2003

S’applique à : Microsoft Office Édition Basique 2003Microsoft Office Édition PME 2003Microsoft Office Édition Professionnelle 2003

Symptômes


Après avoir exécuté la 7.0 d’informations système Microsoft (MSInfo32.exe), si vous affichez le journal applications dans l’Observateur d’événements, il peut être une ou plusieurs instances de l’événement ID 63 d’avertissement :

Type d’événement : avertissement
Source de l’événement : WinMgmt
Catégorie de l'événement : aucune
L’ID d’événement : 63

Date:Date
Time:Time

Utilisateur : nom_utilisateur
Ordinateur :
Computer_name
Description :

Un fournisseur, OffProv11, a été enregistré dans l’espace de noms WMI, Root\MSAPPS11, pour utiliser le compte LocalSystem. Ce compte est privilégié et le fournisseur peut provoquer une violation de sécurité si elle ne pas correctement les demandes utilisateur.


Pour plus d'informations, consultez le Centre aide et Support à http://support.microsoft.com.
Remarque Un fournisseur de Windows Management Instrumentation (WMI) est un composant logiciel qui se comporte comme un médiateur entre le composant de stockage du modèle CIM (Common Information) et l’objet managé. Le fournisseur gère les demandes de données de l’objet managé et envoie des données à partir de l’objet managé pour le composant de gestionnaire d’objet CIM (CIMOM).

Cause


Ce problème se produit si les conditions suivantes sont remplies :
  • Vous exécutez Office system 2007 ou Microsoft Office 2003 Service Pack 1 (SP1) sur Microsoft Windows XP Service Pack 2 (SP2)-ordinateur.
  • Vous êtes connecté à l’ordinateur avec un compte qui dispose d’autorisations élevées, comme le compte administrateur.
Cet événement d’avertissement est généré en raison de mises à jour qui sont inclus dans Windows XP SP2. Cet événement d’avertissement est généré lorsqu’une instance du fournisseur OffProv11 est démarrée.

Nous ne recommandons pas que vous essayez de configurer le fournisseur pour utiliser un compte plus restreint, car le fournisseur OffProv11 est déjà configuré pour utiliser SelfHost. En outre, le fournisseur de OffProv11 doit être configuré pour utiliser le compte LocalSystem, car le fournisseur OffProv11 est un service interactif.

État


Ce comportement est voulu par la conception.

Plus d'informations


Le sous-système de fournisseur WMI s’exécute les fournisseurs de serveurs COM spécifiques, en fonction de leur niveau de sécurité requis. Seuls les administrateurs peuvent inscrire des fournisseurs et configurer leur niveau de sécurité requis, et que les fournisseurs de confiance doivent être configurés pour utiliser le compte LocalSystem. Cet événement d’avertissement se comporte comme un enregistrement d’audit pour indiquer que le fournisseur s’exécute avec les autorisations du compte LocalSystem.


Certaines modifications WMI qui sont incluses dans Windows XP SP2 sont conçus pour réduire les problèmes susceptibles de survenir entre les différents modèles d’hébergement lorsque les fournisseurs de charger ces modèles d’hébergement. Différents hôtes peuvent inclure des services Microsoft Internet Information Services (IIS), un service Windows ou un service d’entreprise. Pour démarrer un fournisseur, chaque hôte démarre un nouveau processus est nommé WMIPRVSE. Le processus WMIPRVSE charge le fournisseur réel. Lorsque vous utilisez différents modèles d’hébergement, le processus WMIPRVSE est démarré à l’aide de différentes informations d’identification Windows. Par conséquent, le fournisseur qui est chargé, comme le fournisseur OffProv11, tente de charger les Mngcli.exe pour accéder à la mémoire partagée à l’aide de ces informations d’identification différentes.

Sécurité WMI

La sécurité WMI est basée sur la sécurité de l’espace de noms.

L’infrastructure WMI gère une liste d’utilisateurs qui ont accès à un espace de noms spécifique. Vous pouvez définir cette liste à l’aide d’une application WMI ou à l’aide de script. Vous pouvez également modifier la sécurité d’espace de noms en utilisant le composant contrôle WMI. Pour plus d’informations sur la façon de définir la sécurité d’utilisateur WMI ou sur la façon de définir la sécurité d’espace de noms WMI, visitez les sites Web de Microsoft à l’adresse suivante.

Configuration de la sécurité de l’utilisateurConfiguration de la sécurité de l’espace de noms

Configuration de DCOM

Sécurité DCOM est une authentification et un paramètre de l’emprunt d’identité. L’authentification signifie qu’un processus s’identifie à un autre processus. En général, l’authentification utilise identification de mot de passe. DCOM authentification niveaux vont de « aucune authentification » à « authentification cryptée par paquet ». L’emprunt d’identité identifie l’autorité qu’un client accorde à un serveur pour appeler des processus différents. Au cours d’une vérification de la sécurité, le serveur emprunte l’identité de client qui demande l’accès à la ressource concernée. L’emprunt d’identité DCOM niveaux compris entre « aucune identification » et « délégation totale ».

Partagées du processus hôte du fournisseur

WMI réside dans un hôte de service partagé avec plusieurs autres services. Pour éviter l’arrêt de tous les services lorsqu’un fournisseur échoue, les fournisseurs sont chargés dans un processus hôte distinct nommé Wmiprvse.exe. Vous pouvez exécuter plusieurs processus portant ce nom. Chaque processus peut s’exécuter sous un compte différent de sécurité différente.

L’hôte partagé peut exécuter sous un de ces comptes dans un processus Wmiprvse.exe de l’hôte :
  • LocalSystem
  • Service réseau
  • LocalService
  • LocalSystemHostOrSelfHost

Le compte LocalSystem

Le compte LocalSystem est un compte local prédéfini qui est utilisé par le Gestionnaire de contrôle des services (SCM). Ce compte n’est pas reconnu par le sous-système de sécurité. Il a des autorisations étendues sur l’ordinateur local et agit en tant que l’ordinateur sur le réseau. Son jeton de sécurité inclut NT AUTHORITY\SYSTEM ID de sécurité (SID) et les SID de groupe BUILTIN\Administrateurs. Ces comptes ont accès à la plupart des objets de système d’exploitation. Le nom du compte dans tous les paramètres régionaux est «. \LocalSystem. » Le nom de « LocalSystem » ou «Nom_ordinateur\LocalSystem » peut également être utilisé. Ce compte ne dispose pas d’un mot de passe. Si vous spécifiez le compte LocalSystem dans un appel à la fonction CreateService , toutes les informations de mot de passe que vous fournissez sont ignorées.


Un service qui s’exécute dans le contexte du compte LocalSystem hérite du contexte de sécurité de SCM. Le SID de l’utilisateur est créé à partir de la valeur SECURITY_LOCAL_SYSTEM_RID. Ce compte n’est pas associé à un compte d’utilisateur connecté. Ce comportement a des conséquences sur les sécurité suivantes :
  • La ruche de Registre HKEY_CURRENT_USER est associée à l’utilisateur par défaut et non par l’utilisateur en cours. Pour accéder à un autre profil utilisateur, emprunter l’identité de cet utilisateur et accéder ensuite à la ruche de Registre HKEY_CURRENT_USER.
  • Ce service peut ouvrir la ruche de Registre HKEY_LOCAL_MACHINE\SECURITY.
  • Ce service présente des informations d’identification de l’ordinateur aux serveurs distants.
  • Si ce service démarre une invite de commande et exécute un fichier de commandes, l’utilisateur actuellement connecté peut arrêter ce fichier de commandes en appuyant sur CTRL + C. L’utilisateur actuellement connecté a ensuite accès à une invite de commande qui s’exécute sous autorisations LocalSystem.