Sintomi

Dopo l'esecuzione di Microsoft System Information 7.0 (MSInfo32.exe), se si visualizza il registro applicazione nel Visualizzatore eventi, potrebbero essere presenti una o più istanze dell'avviso 63 ID evento:


Tipo di evento: avviso
Origine evento: WinMgmt
Categoria evento: nessuno
ID evento: 63

Date:Date
Time:Time

Utente: nome_utente
Computer:
Computer_name
Descrizione:

Un provider, OffProv11, è stato registrato nello spazio dei nomi WMI, Root\MSAPPS11, di utilizzare l'account LocalSystem. Questo account è privilegiato e il provider può causare una violazione di protezione se non rappresenta correttamente le richieste degli utenti.


Per ulteriori informazioni, vedere Guida in linea e supporto tecnico all'indirizzo http://support.microsoft.com.

Nota: Un provider di Strumentazione gestione Windows (WMI) è un componente software che funge da mediatore tra il componente di archiviazione Common Information Model (CIM) e un oggetto gestito. Il provider gestisce le richieste di dati per l'oggetto gestito e invia i dati dall'oggetto gestito per il componente di gestione di oggetti CIM (CIMOM).

Causa

Questo problema si verifica se sono vere le seguenti condizioni:

  • Si esegue Office system 2007 o Microsoft Office 2003 Service Pack 1 (SP1) in Microsoft Windows XP Service Pack 2 (SP2)-basata su computer.

  • Si è connessi al computer utilizzando un account con autorizzazioni elevate, ad esempio l'account di amministratore.

Questo evento di avviso viene generato per gli aggiornamenti inclusi in Windows XP SP2. Questo evento di avviso viene generato quando viene avviata un'istanza del provider OffProv11.

Non è consigliabile che si tenti di configurare il provider per l'utilizzo di un account con maggiori restrizioni, in quanto il provider OffProv11 è già configurato per utilizzare l'host. Inoltre, il provider di OffProv11 deve essere configurato per utilizzare l'account LocalSystem, poiché il provider OffProv11 è un servizio interattivo.

Stato

Questo è il comportamento previsto.

Ulteriori informazioni

Il sottosistema di provider WMI esegue singoli provider specifici server COM in base al livello di protezione necessari. Solo gli amministratori possono registrare i provider e configurare il livello di protezione necessarie e solo i provider attendibili devono essere configurati per utilizzare l'account LocalSystem. Questo evento di avviso si comporta come un record di controllo per indicare che il provider è in esecuzione con le autorizzazioni dell'account LocalSystem.


Alcune delle modifiche WMI inclusi in Windows XP SP2 sono progettati per ridurre i problemi che potrebbero verificarsi tra diversi modelli di hosting per questi modelli di hosting caricamento provider. Host diversi possono includere Microsoft Internet Information Services (IIS), un servizio Windows o un servizio dell'organizzazione. Per avviare un provider, ogni host avvia un nuovo processo denominato WMIPRVSE. Il processo WMIPRVSE carica al provider effettivo. Quando si utilizzano modelli di hosting diversi, utilizzando credenziali diverse di Windows viene avviato il processo WMIPRVSE. Pertanto, il provider che viene caricato, ad esempio il provider OffProv11, tenta di caricare Mngcli.exe per ottenere l'accesso alla memoria condivisa utilizzando queste credenziali diverse.

Protezione WMI

Protezione WMI è basata sulla protezione dello spazio dei nomi.

L'infrastruttura WMI mantiene un elenco di utenti che hanno accesso a uno specifico spazio dei nomi. Questo elenco può essere impostato utilizzando un'applicazione WMI o mediante script. È inoltre possibile modificare la protezione dello spazio dei nomi utilizzando il componente di controllo WMI. Per ulteriori informazioni su come impostare la protezione utente WMI o su come impostare la protezione dello spazio dei nomi WMI, visitare i seguenti siti Web Microsoft.

Impostazioni di protezione

http://technet2.microsoft.com/windowsserver/en/library/089bfd2f-f476-4bfb-ad01-6768b645a2941033.mspx?mfr=trueImpostazione della protezione dello spazio dei nomi

http://msdn2.microsoft.com/en-us/library/aa393613.aspx

Configurazione DCOM

La protezione DCOM è una rappresentazione e autenticazione. Autenticazione significa che identifica un processo di un altro processo. In genere, l'autenticazione utilizza l'identificazione delle password. DCOM autenticazione livelli compresi tra "Nessuna autenticazione" e "autenticazione crittografata di pacchetti". La rappresentazione identifica l'autorità che un client concede a un server per chiamare diversi processi. Durante una verifica di sicurezza, il server rappresenta il client che richiede l'accesso alla risorsa particolare. Livelli di rappresentazione DCOM compreso "alcuna identificazione" e "delega completa".

Processo host del provider di condivisione

WMI si trova in un host di servizi condivisi con molti altri servizi. Per evitare l'arresto di tutti i servizi quando un provider non riesce, i provider vengono caricati in un processo host separato denominato Wmiprvse.exe. È possibile eseguire più processi con questo nome. Ogni processo può eseguire con un altro account con protezione diverse.

L'host condiviso può essere eseguito con uno dei seguenti account in un processo host Wmiprvse.exe:

  • LocalSystem

  • NetworkService

  • LocalService

  • LocalSystemHostOrSelfHost

L'account LocalSystem

L'account LocalSystem è un account locale predefinito utilizzato da Gestione controllo servizi (SCM). Questo account non è riconosciuto dal sottosistema di protezione. Dispone di autorizzazioni complete sul computer locale e agisce come il computer in rete. Il token di protezione include il sistema operativo NT ID di protezione (SID) e il SID BUILTIN\Administrators. Questi account hanno accesso alla maggior parte degli oggetti del sistema operativo. Il nome dell'account in tutte le impostazioni locali ". \LocalSystem." Il nome, "LocalSystem" o"Nomecomputer\LocalSystem" può anche essere utilizzato. Questo account non dispone di una password. Se si specifica l'account LocalSystem in una chiamata alla funzione CreateService , le informazioni fornite per qualsiasi password viene ignorate.


Un servizio eseguito nel contesto dell'account LocalSystem eredita il contesto di protezione di SCM. Il SID dell'utente viene creato dal valore di SECURITY_LOCAL_SYSTEM_RID. Questo account non è associato a qualsiasi account utente connesso. Questo comportamento ha le seguenti implicazioni:

  • L'hive del Registro di sistema HKEY_CURRENT_USER è associato l'utente predefinito e non l'utente corrente. Per accedere a un altro profilo utente, impersonare tale utente e accedere quindi hive HKEY_CURRENT_USER del Registro di sistema.

  • Questo servizio è possibile aprire l'hive del Registro di sistema HKEY_LOCAL_MACHINE\SECURITY.

  • Questo servizio presenta le credenziali del computer ai server remoti.

  • Se questo servizio viene avviato un prompt dei comandi e viene eseguito un file batch, l'utente attualmente connesso è stato possibile interrompere questo file batch premendo CTRL + C. L'utente attualmente connesso hanno quindi accesso a un prompt dei comandi in esecuzione con autorizzazioni LocalSystem.

Serve aiuto?

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa a Microsoft Insider

Queste informazioni sono risultate utili?

Come valuti la qualità della traduzione?
Cosa ha influito sulla tua esperienza?

Grazie per il feedback!

×