現象
Microsoft システム情報 7.0 (MSInfo32.exe) を起動した後で、イベント ビューアのアプリケーション ログを表示すると、イベント ID 63 の警告イベントが 1 つ以上記録されていることがあります。
イベントの種類 : 警告
ソース : WinMgmt
分類 : なし
イベント ID : 63
日付 : Date
時刻 : Time
ユーザー : User_name
コンピュータ : Computer_name
説明 :
プロバイダ OffProv11 は LocalSystem アカウントを使うために WMI 名前空間 Root\MSAPPS11 に登録されました。このアカウントには特権があり、プロバイダがユーザー要求を正しく偽装しない場合はセキュリティ違反が起こる可能性があります。
詳細な情報は、http://support.microsoft.com の [ヘルプとサポート センター] を参照してください。
注 : WMI (Windows Management Instrumentation) プロバイダは、CIM (Common Information Model) ストレージ コンポーネントとマネージ オブジェクトの間の仲介役の働きをするソフトウェア コンポーネントです。このプロバイダは、マネージ オブジェクトのデータ要求を処理し、マネージ オブジェクトから CIM オブジェクト マネージャ コンポーネント (CIMOM) にデータを送ります。
原因
この問題は、以下の条件に該当する場合に発生します。
-
Microsoft Windows XP Service Pack 2 (SP2) が実行されているコンピュータで Microsoft Office 2003 Service Pack 1 (SP1) を実行している。
-
管理者アカウントなどの、システム特権を持ったアカウントを使用してコンピュータにログオンしている。
この警告イベントは、Windows XP SP2 に含まれている更新プログラムが原因で生成されます。この警告イベントが生成されるのは、OffProv11 プロバイダのインスタンスの開始時です。
OffProv11 プロバイダは SelfHost を使用するように既に構成されているため、より制限の厳しいアカウントを使用するようにプロバイダを構成することはお勧めできません。また、OffProv11 プロバイダは対話サービスであるため、LocalSystem アカウントを使用するように構成される必要があります。
状況
この動作は仕様です。
詳細
WMI プロバイダ サブシステムは、特定の COM サーバー内に存在する個別のプロバイダを、それらの必要とするセキュリティ レベルに基づいて実行します。プロバイダの登録および必要なセキュリティ レベルの構成を行うことができるのは管理者だけで、信頼されたプロバイダのみを、LocalSystem アカウントを使用するように構成する必要があります。この警告イベントは、監査記録としての役割を果たし、プロバイダが LocalSystem アカウントのアクセス許可で実行されていることを示します。
Windows XP SP2 に含まれている WMI の変更の一部は、異なる複数のホスティング モデルがプロバイダを読み込む際にそれらのホスティング モデル間で発生する可能性のある問題を軽減できるように設計されたものです。複数のホストには、Microsoft インターネット インフォメーション サービス (IIS)、Windows サービス、または Enterprise Services が含まれることがあります。プロバイダを開始するために、各ホストは、WMIPRVSE という名前の新しいプロセスを開始します。実際のプロバイダを読み込むのは、この WMIPRVSE プロセスです。異なるホスティング モデルを使用すると、WMIPRVSE プロセスは、異なる Windows 資格情報を使用して開始されます。そのため、OffProv11 プロバイダなどの読み込まれたプロバイダは、これらの異なる資格情報を使用して、Mngcli.exe を読み込んで共有メモリへのアクセスを試行します。
WMI セキュリティ
WMI セキュリティは、名前空間セキュリティに基づいています。
WMI インフラストラクチャによって、特定の名前空間にアクセスできるユーザーのリストが維持されます。このリストは、WMI アプリケーションまたはスクリプトを使用して設定できます。また、WMI Control コンポーネントを使用して、名前空間セキュリティを変更することもできます。WMI ユーザー セキュリティの設定方法や WMI 名前空間セキュリティの設定方法の詳細については、次のマイクロソフト Web サイトを参照してください。
Setting user security
http://msdn.microsoft.com/library/en-us/wmisdk/wmi/setting_user_security.aspSetting namespace security
http://msdn.microsoft.com/library/en-us/wmisdk/wmi/setting_namespace_security.asp
DCOM 構成
DCOM セキュリティは、認証および偽装の設定です。認証とは、1 つのプロセスが他のプロセスから識別されることを意味します。認証では、通常、パスワードの識別が行われます。DCOM 認証には "(認証) なし" から "パケット (ごとの暗号化認証)" までの範囲のレベルがあります。偽装では、別のプロセスを呼び出す際にクライアントがサーバーに与える権限が識別されます。セキュリティの検証の間、サーバーは、特定リソースへのアクセスを要求するクライアントを偽装します。DCOM 偽装には "匿名" から "委任する" までの範囲のレベルがあります。
共有プロバイダのホスト プロセス
WMI は、他のさまざまなサービスとの共有サービス ホストの 1 つです。プロバイダがエラーになったときにも、すべてのサービスが停止しないようにするため、プロバイダは Wmiprvse.exe という名前の個別のホスト プロセス内に読み込まれます。この名前のプロセスは複数実行できます。各プロセスは、異なるアカウントで、異なるセキュリティを使用して実行できます。
共有ホストは、Wmiprvse.exe ホスト プロセス内で、以下のいずれかのアカウントを使用して実行できます。
-
LocalSystem
-
NetworkService
-
LocalService
-
LocalSystemHostOrSelfHost
LocalSystem アカウント
LocalSystem アカウントは、サービス コントロール マネージャ (SCM) によって使用される定義済みのローカル アカウントです。このアカウントは、セキュリティ サブシステムでは認識されません。また、このアカウントには、ローカル コンピュータに対する拡張アクセス許可があり、ネットワーク上のコンピュータとして動作します。このアカウントのセキュリティ トークンには、NT AUTHORITY\SYSTEM セキュリティ ID (SID) および BUILTIN\Administrators SID が含まれます。これらのアカウントは、ほとんどのオペレーティング システム オブジェクトにアクセスできます。アカウントの名前は、すべてのロケールで ".\LocalSystem" です。この名前には、"LocalSystem" または "ComputerName\LocalSystem" も使用できます。このアカウントにはパスワードはありません。CreateService 関数の呼び出しに LocalSystem アカウントを指定しても、指定したパスワード情報はすべて無視されます。
LocalSystem アカウントのコンテキストで実行されるサービスは、SCM のコンテキストを継承します。ユーザーの SID は、SECURITY_LOCAL_SYSTEM_RID 値から作成されます。このアカウントは、いずれのログオン ユーザー アカウントにも関連付けられません。この動作は、セキュリティ上、次のことを意味します。
-
HKEY_CURRENT_USER レジストリ ハイブは、現在のユーザーではなく、デフォルト ユーザーに関連付けられます。別のユーザーのプロファイルにアクセスするには、そのユーザーを偽装して HKEY_CURRENT_USER レジストリ ハイブにアクセスします。
-
このサービスにより、HKEY_LOCAL_MACHINE\SECURITY レジストリ ハイブを開くことができます。
-
このサービスにより、コンピュータの資格情報がリモート サーバーに示されます。
-
このサービスで、コマンド プロンプトを起動してバッチ ファイルを実行した場合、現在ログオンしているユーザーは、Ctrl + C キーを押して、このバッチ ファイルを停止できます。現在ログオンしているユーザーは、その後で、LocalSystem のアクセス許可で実行されているコマンド プロンプトにアクセスできるようになります。
