דלג לתוכן הראשי
תמיכה
היכנס
היכנס דרך Microsoft
היכנס או צור חשבון.
שלום,
בחר חשבון אחר.
יש לך חשבונות מרובים
בחר את החשבון שברצונך להיכנס באמצעותו.

מאפייני הבעיה

לאחר הפעלת 7.0 מידע מערכת של Microsoft (MSInfo32.exe), אם אתה מציג ביומן היישומים במציג האירועים, ייתכנו מקרים אחד או יותר של אזהרה 63 מזהה אירוע:


סוג אירוע: אזהרה
מקור אירוע: WinMgmt
קטגוריית אירוע: ללא
מזהה אירוע: 63

Date:Date
Time:Time

משתמש: User_name
מחשב:
Computer_name
תיאור:

ספק, OffProv11, נרשם בטווח השמות של WMI, Root\MSAPPS11, כדי להשתמש בחשבון LocalSystem. חשבון זה הוא מורשה ו והספק עשוי לגרום להפרת אבטחה אם הוא לא יתחזה כהלכה לבקשות משתמשים.


לקבלת מידע נוסף, עיין בעזרה והתמיכה ב- http://support.microsoft.com.

הערה ספק מכשור הניהול של Windows (WMI) הוא רכיב תוכנה אשר מתנהג כמו mediator בין רכיב אחסון של מודל מידע משותף (CIM) לאובייקט מנוהל. הספק מטפל בבקשות נתונים לאובייקט מנוהל ושולח נתונים מאובייקט מנוהל הרכיב מנהל האובייקטים של CIM (CIMOM).

הגורם

בעיה זו מתרחשת כאשר מתקיימים התנאים הבאים:

  • אתה מפעיל מערכת Office 2007 או Microsoft Office 2003 Service Pack 1 (SP1) ב- Microsoft Windows XP Service Pack 2 (SP2)-במחשב מבוסס.

  • אתה מחובר למחשב באמצעות חשבון בעל הרשאות גבוהות יותר, כגון חשבון מנהל המערכת.

אירוע אזהרה זה נוצר עקב העדכונים הכלולים ב- Windows XP SP2. אירוע אזהרה זה נוצר בעת הפעלת מופע של ספק OffProv11.

לא מומלץ לנסות לקבוע את התצורה של הספק כדי להשתמש בחשבון מוגבל יותר, משום הספק OffProv11 כבר נקבעה לשימוש SelfHost. בנוסף, ספק OffProv11 חייב להיות מוגדר להשתמש בחשבון LocalSystem משום ספק OffProv11 הוא שירות אינטראקטיבי.

מצב

אופן פעולה זה הוא מכוון.

מידע נוסף

המשנה ספק WMI פועלת ספקים בודדים בהתבסס על רמת האבטחה הנדרשת שלהם בשרתי COM ספציפיים. רק מנהלי מערכת באפשרותך לרשום ספקי ולקבוע את רמת האבטחה הנדרשת שלהם, ואת ספקי מהימנים בלבד צריך להיות מוגדר להשתמש בחשבון LocalSystem. אירוע אזהרה זה מתנהג כמו רשומת הביקורת כדי לציין הספק פועלת עם ההרשאות של חשבון LocalSystem.


חלק מהשינויים WMI הכלולים ב- Windows XP SP2 נועדו לסייע בהפחתת בעיות שעשויות להתרחש בין מודלים שונים של אירוח כאשר שני הדגמים אירוח לטעון ספקי. מחשבים מארחים שונים עשויים לכלול Microsoft Internet Information Services (IIS), שירות Windows או שירות של הארגון. כדי להתחיל ספק, כל מחשב מארח מתחיל תהליך חדש בשם WMIPRVSE. תהליך WMIPRVSE טוען הספק בפועל. כאשר תשתמש מודלים שונים של אירוח, תהליך WMIPRVSE מופעל על-ידי שימוש באישורים שונים של Windows. לפיכך, ספק שאינו טעון, כגון הספק OffProv11, מנסה לטעון Mngcli.exe כדי לקבל גישה לזיכרון משותף על-ידי שימוש באישורים שונים אלה.

אבטחת WMI

אבטחת WMI מבוסס על אבטחה של מרחב שמות.

תשתית WMI שומר רשימה של משתמשים שיש להם גישה אל מרחב שמות ספציפיים. ניתן להגדיר רשימה זו באמצעות יישום של WMI או על-ידי שימוש ב- script. באפשרותך גם לשנות את מרחב השמות אבטחה באמצעות רכיב בקרת WMI. לקבלת מידע נוסף אודות אופן הגדרת האבטחה של המשתמש WMI או אודות אופן הגדרת אבטחה של מרחב שמות WMI, בקר באתרי האינטרנט הבאים של Microsoft.

הגדרת האבטחה של המשתמש

http://technet2.microsoft.com/windowsserver/en/library/089bfd2f-f476-4bfb-ad01-6768b645a2941033.mspx?mfr=trueהגדרת אבטחה של מרחב שמות

http://msdn2.microsoft.com/en-us/library/aa393613.aspx

קביעת התצורה של DCOM

אבטחה DCOM הוא אימות והגדרת התחזות. אימות פירושו תהליך אחד מזהה עצמו לתהליך אחר. אימות משתמש בדרך כלל, זיהוי סיסמה. DCOM אימות רמות נעים בין "ללא אימות" ל- "לכל מנה אימות מוצפן." התחזות מזהה את רשות הלקוח מעניק שרת כדי להתקשר תהליכים שונים. במהלך אימות אבטחה, השרת מתחזה ללקוח שמבקש גישה למשאב מסוים. התחזות DCOM רמות נעים בין "אין זיהוי" ל- "הקצאה מלא."

התהליך המארח של ספק משותפים

WMI השוכן בתוך מחשב מארח השירות המשותף עם מספר שירותים אחרים. כדי למנוע את הפסקת כל שירותי כאשר ספק נכשלת, ספקי מוטענים לתוך תהליך מארח נפרד בשם Wmiprvse.exe. תהליך אחד יותר בשם זה יכול לפעול. כל התהליך יכול לפעול תחת חשבון אחר עם אבטחה שונים.

המחשב המארח משותף יכול לפעול תחת אחד החשבונות הבאים בתהליך המארח של Wmiprvse.exe:

  • LocalSystem

  • כחשבון NetworkService

  • LocalService

  • LocalSystemHostOrSelfHost

בחשבון LocalSystem

בחשבון LocalSystem הוא חשבון מקומי מראש בשימוש על-ידי מנהל בקרת השירות (SCM). חשבון זה אינו מזוהה על-ידי מערכת המשנה של האבטחה. הוא בעל הרשאות נרחבות במחשב המקומי, ופועל כמו המחשב ברשת. אסימון האבטחה שלו כוללת את NT AUTHORITY\SYSTEM מזהה האבטחה (SID) ואת ה-SID BUILTIN\Administrators. חשבונות אלה יש גישה לרוב של אובייקטי מערכת ההפעלה. שם החשבון בכל האזורים ". \LocalSystem." השם, "LocalSystem" או"ComputerName\LocalSystem" יכול לשמש גם. לחשבון זה אין סיסמה. אם תציין קריאה לפונקציה CreateService בחשבון LocalSystem, המערכת תתעלם כל מידע הסיסמה שתספק.


שירות הפועל בהקשר של החשבון LocalSystem יורש את הקשר האבטחה של ה-SCM. ה-SID של המשתמש נוצר מהערך SECURITY_LOCAL_SYSTEM_RID. חשבון זה אינו משויך לכל חשבון משתמש מחובר. אופן פעולה זה יש השלכות האבטחה הבאות:

  • כוורת הרישום HKEY_CURRENT_USER משויך המשתמש המהווה ברירת מחדל, והמשתמש לא הנוכחי. כדי לגשת הפרופיל של משתמש אחר, להתחזות למשתמש זה ולאחר מכן לגשת כוורת הרישום HKEY_CURRENT_USER.

  • שירות זה יכול לפתוח את כוורת הרישום HKEY_LOCAL_MACHINE\SECURITY.

  • שירות זה מציג את אישורי המחשב לשרתים מרוחקים.

  • אם שירות זה מתחיל שורת פקודה ומפעיל קובץ אצווה, המשתמש המחובר כעת היתה להפסיק את קובץ אצווה זה על-ידי הקשה על CTRL + C. לאחר מכן יהיה על המשתמש המחובר כעת גישה לשורת הפקודה הפועלת תחת הרשאות LocalSystem.

Facebook LinkedIn דואר אלקטרוני
הרשמה כמנוי להזנות RSS

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

לגלות קהילה

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות

קהילות עוזרות לך לשאול שאלות ולהשיב עליהן, לתת משוב ולשמוע ממומחים בעלי ידע עשיר.

שאל את Microsoft Community

Microsoft Tech Community

משתתפי Windows Insider

משתתפי Insider של Microsoft 365

האם מידע זה היה שימושי?

עד כמה אתם מרוצים מאיכות השפה?
מה השפיע על החוויה שלך?
בלחיצה על 'שלח', אתה מאפשר למשוב שלך לשפר מוצרים ושירותים של Microsoft. מנהל ה-IT שלך יוכל לאסוף נתונים אלה. הצהרת הפרטיות.

תודה על המשוב!

×