Hendelses-ID 63 oppstår når du kjører programmet Microsoft Systeminformasjon fra Office 2007 eller Office 2003

Gjelder: Microsoft Office Basic Edition 2003Microsoft Office Small Business Edition 2003Microsoft Office Professional Edition 2003

Symptomer


Når du har kjørt Microsoft System Information 7.0 (MSInfo32.exe), hvis du vise programloggen i hendelseslisten, kan det være én eller flere forekomster av advarselen hendelses-ID 63:

Hendelsestype: advarsel
Kilde: WinMgmt
Hendelseskategori: Ingen
Hendelses-ID: 63

Date:Date
Time:Time

Bruker: brukernavn
Datamaskin:
Computer_name
Beskrivelse:

En leverandør, OffProv11, er registrert i WMI-navneområdet, Root\MSAPPS11, til å bruke den lokale systemkontoen. Denne kontoen har privilegier, og tilbyderen kan forårsake et sikkerhetsbrudd hvis den ikke representere brukerforespørsler på riktig måte.


Hvis du vil ha mer informasjon, se Hjelp og støtte på http://support.microsoft.com.
Obs! En leverandør av Windows Management Instrumentation (WMI) er en programvarekomponent som oppfører seg som en mediator mellom Lagringskomponenten Common Information Model (CIM) og forvaltet objekt. Tjenesten håndterer forespørsler om data for forvaltet objekt og sender data fra forvaltet objekt til CIM object manager-komponenten (CIMOM).

Årsak


Dette problemet oppstår hvis følgende betingelser er oppfylt:
  • Du kjører 2007 Office-systemet eller Microsoft Office 2003 Service Pack 1 (SP1) på en Microsoft Windows XP Service Pack 2 (SP2)-basert datamaskin.
  • Du er logget på datamaskinen med en konto som har privilegerte tillatelser, for eksempel Administrator-kontoen.
Denne hendelsen advarsel genereres på grunn av oppdateringer som er inkludert i Windows XP SP2. Denne hendelsen advarsel genereres når en forekomst av OffProv11-tjenesten er startet.

Vi anbefaler ikke at du prøver å konfigurere leverandør hvis du vil bruke en mer begrenset konto, fordi OffProv11-leverandøren er allerede konfigurert til å bruke SelfHost. Leverandøren av OffProv11 må være konfigurert for bruk med LocalSystem-kontoen fordi leverandøren av OffProv11 er en interaktiv tjeneste.

Status


Denne virkemåten er standard.

Hvis du vil ha mer informasjon


WMI-leverandøren delsystemet kjører enkelte leverandører i bestemte COM-servere basert på deres nødvendig sikkerhetsnivå. Bare administratorer kan registrere leverandører og konfigurere de nødvendige sikkerhetsnivået, og bare klarerte leverandører må være konfigurert for bruk med LocalSystem-kontoen. Denne advarselshendelse oppfører seg som et kontrollregister for å angi at tjenesten kjører med tillatelsene til LocalSystem-kontoen.


Noen av endringene som er inkludert i Windows XP SP2 til WMI er utformet for å redusere problemer som kan oppstå mellom forskjellige verter modeller når disse vert modeller laster inn leverandører. Ulike verter kan inneholde Microsoft Internet Information Services (IIS), en Windows-tjeneste eller en enterprise-service. Hvis du vil starte en leverandør, starter hver vert en ny prosess som heter WMIPRVSE. WMIPRVSE-prosessen laster den faktiske tjenesten. Når du bruker forskjellige modeller som vert, vil den WMIPRVSE prosessen startes ved hjelp av ulike Windows-legitimasjon. Derfor prøver leverandøren som er lastet inn, for eksempel OffProv11-leverandør, å laste inn Mngcli.exe for å få tilgang til delt minne ved hjelp av disse annen legitimasjon.

WMI-sikkerhet

WMI-sikkerhet er basert på sikkerhet for navneområde.

WMI-infrastrukturen vedlikeholder en liste over brukere som har tilgang til et bestemt navneområde. Du kan angi denne listen ved hjelp av en WMI-program, eller ved å bruke skript. Du kan også endre navneområdet sikkerhet ved hjelp av WMI-kontroll-komponenten. Hvis du vil ha mer informasjon om hvordan du angir sikkerhet for WMI-bruker, eller om hvordan du angir sikkerhet for WMI-navneområdet, kan du gå til følgende Microsoft-webområder.

Angi bruker-sikkerhetAngi navneområdet sikkerhet

Konfigurasjon av DCOM

DCOM-sikkerhet er en godkjenning og innstillingen for representasjon. Godkjenning betyr at én prosess identifiserer seg selv til en annen prosess. Godkjenning bruker vanligvis passord identifikasjon. DCOM-godkjenning nivåer varierer fra "no authentication" til "pakke-kryptert godkjenning." Representasjon identifiserer instansen at en klient gir en server for å ringe forskjellige prosesser. Serveren representerer klienten som ber om tilgang til bestemte ressursen under en sikkerhet-bekreftelse. DCOM-representasjon nivåer, varierer fra "ingen ID" til "full delegering."

Delt vertsprosessen for leverandør

WMI befinner seg i en delt tjenestevert med flere andre tjenester. Leverandører er lastet inn i en egen vertsprosess kalt Wmiprvse.exe for å unngå stopper alle tjenestene når en tjeneste mislykkes. Kan kjøre mer enn én prosess med dette navnet. Hver prosess kan kjøre under en annen konto med ulike sikkerhet.

Den delte verten kan kjøre under én av disse kontoene i en host Wmiprvse.exe-prosess:
  • LocalSystem
  • NetworkService
  • LocalService
  • LocalSystemHostOrSelfHost

LocalSystem-kontoen

LocalSystem-kontoen er en forhåndsdefinert lokal konto som brukes av tjenestekontrollbehandlingen (SCM). Denne kontoen er ikke gjenkjent av sikkerhetsdelsystemet. Den har utvidede tillatelser på den lokale datamaskinen, og fungerer som en datamaskin på nettverket. Sin sikkerhetstokenet inneholder NT-MYNDIGHET\SYSTEM sikkerhets-ID (SID) og innebygd/administratorer-SID. Disse kontoene har tilgang til de fleste av operativsystem-objekter. Navnet på kontoen for alle nasjonale innstillinger er ". \LocalSystem." Navnet "LocalSystem" eller"Datamaskinnavn\LocalSystem" kan også brukes. Denne kontoen har ikke et passord. Hvis du angir LocalSystem-kontoen i et kall til funksjonen CreateService mislyktes , blir alle passordinformasjonen du oppgir ignorert.


En tjeneste som kjører i konteksten til LocalSystem-kontoen arver sikkerhetskonteksten til SCM. Bruker-SID er opprettet fra SECURITY_LOCAL_SYSTEM_RID-verdi. Denne kontoen er ikke knyttet til en brukerkonto som er logget på. Denne virkemåten har følgende sikkerhetsimplikasjoner:
  • Registerstrukturen HKEY_CURRENT_USER er tilknyttet standardbrukeren, og ikke den gjeldende brukeren. Hvis du vil ha tilgang til en annen brukerprofil, etterligne brukeren, og deretter få tilgang til registerstrukturen HKEY_CURRENT_USER.
  • Denne tjenesten kan åpne registerstrukturen HKEY_LOCAL_MACHINE\SECURITY.
  • Denne tjenesten gir legitimasjonen til datamaskinen til eksterne servere.
  • Hvis denne tjenesten starter ved ledeteksten, og kjører en satsvis fil, kan brukeren logget på stoppe denne satsvise filen ved å trykke CTRL + C. Logget på-brukeren har tilgang til en ledetekst kjører under LocalSystem-tillatelser.