Gebeurtenis-ID 63 treedt op wanneer u het programma Microsoft Systeeminfo vanaf Office 2007 of Office 2003 uitvoert

Van toepassing: Microsoft Office Basic Edition 2003Microsoft Office Small Business Edition 2003Microsoft Office Professional Edition 2003

Symptomen


Nadat u Microsoft System informatie 7.0 (MSInfo32.exe), uitgevoerd als u het toepassingslogboek in Logboeken bekijkt, worden een of meer exemplaren van de waarschuwing gebeurtenis-ID 63:

Gebeurtenistype: waarschuwing
Bron: WinMgmt
Categorie: geen
Gebeurtenis-ID: 63

Date:Date
Time:Time

Gebruiker: gebruikersnaam
Computer:
Computer_name
Beschrijving:

Een provider, OffProv11, is geregistreerd in de WMI-naamruimte, Root\MSAPPS11, gebruik van de account LocalSystem. Deze account is bevoegdheden en de provider een beveiligingsschending kan veroorzaken als het aanvragen van gebruikers niet goed imiteren.


Zie Help en ondersteuning op http://support.microsoft.com voor meer informatie.
Opmerking Een voorziening van Windows Management Instrumentation (WMI) is een softwareonderdeel dat zich als een bemiddelaar tussen het opslag-onderdeel van het Common Information Model (CIM) en het beheerde object gedraagt. De provider verwerkt aanvragen voor beheerde objecten gegevens en verzendt gegevens van beheerde objecten aan de CIM object manager component (CIMOM).

Oorzaak


Dit probleem treedt op als de volgende voorwaarden voldaan wordt:
  • U het Office-systeem 2007 of Microsoft Office 2003 Service Pack 1 (SP1) uitvoert op een Microsoft Windows XP Service Pack 2 (SP2)-computers.
  • U bent aangemeld bij de computer met een account met machtigingen voor de account Administrator uitgebreide.
Deze waarschuwingsgebeurtenis wordt gegenereerd door de updates die zijn opgenomen in Windows XP SP2. Deze waarschuwingsgebeurtenis wordt gegenereerd wanneer een instantie van de provider OffProv11 is gestart.

Dat u probeert de voorziening voor het gebruik van een beperkte account configureren omdat de OffProv11-provider is al geconfigureerd voor gebruik van SelfHost wordt niet aanbevolen. De OffProv11-provider moet ook worden geconfigureerd voor het gebruik van de account LocalSystem omdat de provider OffProv11 een interactieve service is.

Status


Dit gedrag is inherent aan het ontwerp.

Meer informatie


De WMI-providersubsysteem afzonderlijke providers in specifieke COM-servers op basis van het vereiste beveiligingsniveau wordt uitgevoerd. Alleen beheerders kunnen providers registreren en het vereiste beveiligingsniveau configureren en alleen vertrouwde providers moeten worden geconfigureerd voor gebruik van de account LocalSystem. Deze waarschuwingsgebeurtenis gedraagt zich als een audit record om aan te geven dat de provider wordt uitgevoerd met de machtigingen van de account LocalSystem.


Sommige van de WMI-wijzigingen die zijn opgenomen in Windows XP SP2 zijn ontworpen om minder problemen die optreden kunnen wanneer deze modellen hosting providers laadt verschillende hosting modellen. Verschillende hosts kunnen bevatten Microsoft Internet Information Services (IIS), een Windows-service of een enterprise-service. Elke host start een provider starten, een nieuw proces met de naam WMIPRVSE. Het proces WMIPRVSE laadt de werkelijke provider. Wanneer u verschillende hosting-modellen, wordt de WMIPRVSE uitgevoerd met behulp van verschillende Windows-referenties. De provider die wordt geladen, zoals de OffProv11-provider wil daarom laden Mngcli.exe om toegang te krijgen tot gedeeld geheugen met behulp van deze verschillende referenties.

WMI-beveiliging

WMI-beveiliging is gebaseerd op de naamruimtebeveiliging.

De WMI-infrastructuur onderhoudt een lijst met gebruikers die toegang tot een bepaalde naamruimte hebben. Deze lijst kunt u instellen met een WMI-toepassing of met behulp van script. U kunt ook naamruimtebeveiliging wijzigen met behulp van WMI-beheer. Ga naar de volgende Microsoft-websites voor meer informatie over het instellen van WMI-beveiliging of over het instellen van de beveiliging van WMI-naamruimte.

Gebruikersbeveiliging instellenNaamruimte-beveiliging instellen

DCOM-configuratie

DCOM-beveiliging is een verificatie en imitatie-instelling. Verificatie houdt in dat een proces zelf aan een ander proces geeft. Meestal verificatie identificatie wachtwoord gebruikt. DCOM-verificatie niveaus tussen 'geen verificatie' en "gecodeerde verificatie per pakket". Imitatie geeft de autoriteit dat een client een server om aan te roepen van andere processen verleent. Tijdens een controle beveiliging imiteert de server de client die toegang tot een bepaalde bron aanvraagt. DCOM impersonation niveaus tussen "geen identificatie" en "volledige overdracht."

Gedeelde provider hostproces

WMI bevindt zich in een gedeelde ServiceHost met verschillende andere services. Als u wilt voorkomen dat alle services als een provider niet kan stoppen, zijn providers geladen in een afzonderlijke host-proces met de naam Wmiprvse.exe. Meer dan een proces met deze naam kan worden uitgevoerd. Elk proces kan worden uitgevoerd onder een andere account met verschillende beveiliging.

De gedeelde host kan worden uitgevoerd onder een van de volgende rekeningen in een proces van Wmiprvse.exe host:
  • Lokaal systeem
  • Netwerkservice
  • LocalService
  • LocalSystemHostOrSelfHost

De LocalSystem-account

De account LocalSystem is een vooraf gedefinieerde lokale account die wordt gebruikt door de service control manager (SCM). Deze account niet wordt herkend door het beveiligingssubsysteem. Uitgebreide machtigingen heeft op de lokale computer, en fungeert als de computer op het netwerk. Het beveiligingstoken bevat de NT AUTHORITY\SYSTEM beveiligings-ID (SID) en de SID BUILTIN\Administrators. Deze accounts hebben toegang tot de objecten van het besturingssysteem. De naam van de account in alle landen is '. \LocalSystem. " De naam van de "LocalSystem" of "\LocalSystemcomputernaam"kan ook worden gebruikt. Deze account heeft geen wachtwoord. Als u de account LocalSystem in een aanroep naar de functie CreateService opgeeft, worden de wachtwoordgegevens die u opgeeft wordt genegeerd.


Een service die wordt uitgevoerd in de context van de LocalSystem-account neemt de beveiligingscontext van de SCM. De SID van de gebruiker is gemaakt op basis van de waarde SECURITY_LOCAL_SYSTEM_RID. Deze account is niet gekoppeld aan de account van de aangemelde gebruiker. Dit probleem heeft de volgende gevolgen:
  • Het registeronderdeel HKEY_CURRENT_USER is gekoppeld aan de gebruiker en niet de huidige gebruiker. Als u een ander gebruikersprofiel, die gebruiker imiteren en vervolgens naar het registeronderdeel HKEY_CURRENT_USER.
  • Deze service kan de registercomponent HKEY_LOCAL_MACHINE\SECURITY kunt openen.
  • Deze service geeft de referenties van de computer naar externe servers.
  • Als deze service wordt gestart vanaf de opdrachtprompt en een batchbestand wordt uitgevoerd, kan de momenteel aangemelde gebruiker dit batchbestand stoppen door op CTRL + C te drukken. De momenteel aangemelde gebruiker zou vervolgens toegang hebben tot een opdrachtprompt die wordt uitgevoerd onder de LocalSystem-machtigingen.