현상
Microsoft 시스템 정보 7.0(MSInfo32.exe)을 실행한 후 이벤트 뷰어에서 응용 프로그램 로그를 보면 경고 이벤트 ID 63이 하나 이상 있을 수 있습니다.
이벤트 유형: 경고
이벤트 원본: WinMgmt
이벤트 범주: 없음
이벤트 ID: 63
날짜: Date
시간: Time
사용자: user_name
컴퓨터: Computer_name
설명:
OffProv11 공급자가 LocalSystem 계정을 사용하도록 WMI 네임스페이스 Root\MSAPPS11에 등록되었습니다. 이 계정은 사용 권한이 있으며, 사용자의 요청을 올바르게 가장하지 못할 경우 공급자가 보안 위반을 하게 될 수도 있습니다.
자세한 정보는 http://support.microsoft.com에 있는 도움말 및 지원 센터를 참조하십시오.
참고 WMI(Windows Management Instrumentation) 공급자는 CIM(Common Information Model) 저장소 구성 요소와 관리되는 개체 간의 중재자 역할을 하는 소프트웨어 구성 요소입니다. WMI 공급자는 관리되는 개체에 대한 데이터 요청을 처리하고 관리되는 개체에서 CIMOM(CIM 개체 관리자 구성 요소)으로 데이터를 보냅니다.
원인
다음과 같은 경우에 이러한 문제가 발생합니다.
-
Microsoft Windows XP 서비스 팩 2(SP2) 기반 컴퓨터에서 2007 Office System이나 Microsoft Office 2003 서비스 팩 1(SP1)을 실행하고 있습니다.
-
관리자 권한과 같은 고급 권한을 갖는 계정으로 컴퓨터에 로그온합니다.
이 경고 이벤트는 Windows XP SP2에 포함된 업데이트 때문에 생성되며 OffProv11 공급자의 인스턴스가 시작될 때 생성됩니다.
OffProv11 공급자가 SelfHost를 사용하도록 이미 구성되어 있기 때문에 더욱 제한된 계정을 사용하도록 공급자를 구성하지 않는 것이 좋습니다. 또한 OffProv11 공급자는 대화형 서비스이기 때문에 LocalSystem 계정을 사용하도록 구성되어야 합니다.
현재 상태
이 동작은 의도적으로 설계되었습니다.
추가 정보
WMI 공급자 하위 시스템은 필요한 보안 수준에 따라 특정 COM 서버에서 개별 공급자를 실행합니다. 관리자만 공급자를 등록하고 필요한 보안 수준을 구성할 수 있으며, 신뢰할 수 있는 공급자만 LocalSystem 계정을 사용하도록 구성되어야 합니다. 이 경고 이벤트는 공급자가 LocalSystem 계정의 권한으로 실행되고 있음을 나타내는 감사 레코드 역할을 합니다.
Windows XP SP2에 포함된 일부 WMI 변경 사항은 여러 호스팅 모델에서 공급자를 로드할 때 호스팅 모델 간에 발생할 수 있는 문제를 줄이기 위해 설계되었습니다. 여러 호스트는 Microsoft 인터넷 정보 서비스(IIS), Windows 서비스 또는 엔터프라이즈 서비스를 포함할 수 있습니다. 공급자를 시작하기 위해 각 호스트는 WMIPRVSE라는 새 프로세스를 시작합니다. WMIPRVSE 프로세스는 실제 공급자를 로드합니다. 여러 호스팅 모델을 사용하는 경우 WMIPRVSE 프로세스는 여러 Windows 자격 증명을 사용하여 시작됩니다. 따라서 로드되는 OffProv11 공급자 등의 공급자는 이러한 여러 자격 증명을 사용하여 공유 메모리에 액세스하기 위해 Mngcli.exe를 로드하려고 합니다.
WMI 보안
WMI 보안은 네임스페이스 보안을 기반으로 합니다.
WMI 인프라는 특정 네임스페이스에 액세스 권한이 있는 사용자의 목록을 유지 관리합니다. WMI 응용 프로그램이나 스크립트를 사용하여 이 목록을 설정할 수 있습니다. 또한 WMI 컨트롤 구성 요소를 사용하여 네임스페이스 보안을 변경할 수도 있습니다. WMI 사용자 보안을 설정하는 방법이나 WMI 네임스페이스 보안을 설정하는 방법에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하십시오.
사용자 보안 설정
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/wmi_managing_security.mspx?mfr=true(영문)네임스페이스 보안 설정
DCOM 구성
DCOM 보안은 인증 및 가장 설정입니다. 인증은 한 프로세스가 다른 프로세스에 자신을 식별하는 것을 의미합니다. 일반적으로 인증에서는 암호 ID를 사용합니다. DCOM 인증 수준은 "인증 안 함"부터 "패킷별로 암호화된 인증"까지입니다. 가장은 여러 프로세스를 호출하기 위해 클라이언트가 서버에 부여하는 권한을 나타냅니다. 보안 확인 중에 서버는 특정 리소스에 대한 액세스 권한을 요청하는 클라이언트를 가장합니다. DCOM 가장 수준은 "ID 없음"부터 "전체 위임"까지입니다.
공유 공급자 호스트 프로세스
WMI는 몇 가지 다른 서비스와 함께 공유 서비스 호스트에 있습니다. 공급자에 오류가 발생하는 경우 모든 서비스가 중지되지 않도록 하기 위해 공급자는 Wmiprvse.exe라는 별도의 호스트 프로세스로 로드됩니다. 이 이름의 프로세스가 두 개 이상 실행될 수 있습니다. 각 프로세스는 다른 보안을 사용하여 다른 계정으로 실행될 수 있습니다.
공유 호스트는 Wmiprvse.exe 호스트 프로세스에서 다음 계정 중 하나로 실행될 수 있습니다.
-
LocalSystem
-
NetworkService
-
LocalService
-
LocalSystemHostOrSelfHost
LocalSystem 계정
LocalSystem 계정은 SCM(서비스 제어 관리자)에서 사용하는 미리 정의된 로컬 계정입니다. 이 계정은 보안 하위 시스템에서 인식되지 않으며 로컬 컴퓨터에서 광범위한 사용 권한을 갖고 있고 네트워크에서 컴퓨터 역할을 합니다. 이 계정의 보안 토큰에는 NT AUTHORITY\SYSTEM SID(보안 ID)와 BUILTIN\Administrators SID가 포함되어 있습니다. 이러한 계정은 대부분의 운영 체제 개체에 액세스할 수 있습니다. 모든 로캘에서 이 계정의 이름은 ".\LocalSystem"입니다. "LocalSystem"이나 "ComputerName\LocalSystem"도 이름으로 사용할 수 있습니다. 이 계정에는 암호가 없습니다. CreateService 함수에 대한 호출에서 LocalSystem 계정을 지정하는 경우 사용자가 제공하는 암호 정보는 모두 무시됩니다.
LocalSystem 계정의 컨텍스트에서 실행되는 서비스는 SCM의 보안 컨텍스트를 상속합니다. 사용자 SID는 SECURITY_LOCAL_SYSTEM_RID 값에서 만들어집니다. 이 계정은 로그온한 사용자 계정과 연결되어 있지 않습니다. 이 동작에는 다음과 같은 보안상 유의할 점이 있습니다.
-
HKEY_CURRENT_USER 레지스트리 하이브가 현재 사용자가 아닌 기본 사용자와 연결되어 있습니다. 다른 사용자의 프로필에 액세스하려면 해당 사용자를 가장한 다음 HKEY_CURRENT_USER 레지스트리 하이브에 액세스합니다.
-
이 서비스는 HKEY_LOCAL_MACHINE\SECURITY 레지스트리 하이브를 열 수 있습니다.
-
이 서비스는 컴퓨터의 자격 증명을 원격 서버에 제공합니다.
-
이 서비스가 명령 프롬프트를 시작하고 배치 파일을 실행하는 경우 현재 로그온한 사용자가 Ctrl+C를 눌러 이 배치 파일을 중지시킨 다음 LocalSystem 권한으로 실행되는 명령 프롬프트에 액세스할 수 있습니다.
Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹에 참여하시기 바랍니다.
