Identyfikator zdarzenia 63 występuje po uruchomieniu programu informacje o systemie Microsoft Office 2007 lub Office 2003

Informacje wewnętrzne pomocy technicznej firmy Microsoft

Nr błędu: 14439 (OfficeQFE)

Informacje wewnętrzne pomocy technicznej firmy Microsoft

Nr błędu: 31823 (Obsługa zawartości)

Po uruchomieniu programu Microsoft 7.0 informacje o systemie (MSInfo32.exe), jeśli Wyświetl dziennik aplikacji w Podglądzie zdarzeń, może być jeden lub więcej wystąpień ostrzeżenie 63 identyfikator zdarzenia:


Typ zdarzenia: ostrzeżenie
Źródło zdarzenia: WinMgmt
Kategoria zdarzenia: Brak
Identyfikator zdarzenia: 63

Date:Date
Time:Time

Użytkownik: Nazwa_użytkownika
Komputer:
Computer_name
Opis:

Dostawca, OffProv11, ma został zarejestrowany w obszarze nazw WMI, Root\MSAPPS11, aby korzystać z konta LocalSystem. To konto jest uprzywilejowane i dostawca może spowodować naruszenie zabezpieczeń, jeśli jej poprawnie nie spersonifikuje żądań użytkownika.


Aby uzyskać więcej informacji zobacz Pomoc i obsługa techniczna pod adresem http://support.microsoft.com.

Uwaga Dostawca Instrumentacji zarządzania Windows (WMI, Windows Management Instrumentation) to składnik oprogramowania, który działa jako pośrednik między składnikiem Magazyn modelu CIM (Common Information) i zarządzanego obiektu. Dostawca obsługuje żądania danych dla obiektu zarządzanego i wysyła dane z obiektu zarządzanego do składnika menedżera obiektów CIM (CIMOM).

Ten problem występuje, jeśli są spełnione następujące warunki:

  • 2007 Office system lub Microsoft Office 2003 z dodatkiem Service Pack 1 (SP1) są uruchomione w Microsoft Windows XP z dodatkiem Service Pack 2 (SP2)-opartych na komputerze.

  • Użytkownik jest zalogowany do komputera przy użyciu konta o szerokich uprawnieniach, takich jak konta administratora.

Zdarzenie to ostrzeżenie jest generowana z powodu aktualizacji, które są zawarte w systemie Windows XP z dodatkiem SP2. Zdarzenie to ostrzeżenie jest generowany, gdy wystąpienie dostawca OffProv11 jest uruchomiona.

Firma Microsoft nie zaleca spróbuj skonfigurować dostawcę do używania konta bardziej ograniczony, ponieważ dostawca OffProv11 jest już skonfigurowana do używania SelfHost. Ponadto OffProv11 dostawca musi być skonfigurowany do używania konta LocalSystem, ponieważ dostawca OffProv11 jest usługa interakcyjna.

To zachowanie jest zgodne z projektem.

Podsystem dostawcy WMI działa w określonych serwerów COM na podstawie ich poziomu zabezpieczeń wymagane poszczególnych dostawców. Tylko administratorzy mogą zarejestrować dostawców i skonfigurować ich poziom zabezpieczeń jest wymagana, a tylko zaufanych dostawców powinien być skonfigurowany do używania konta LocalSystem. Zdarzenie to ostrzeżenie zachowuje się jak rekord audytu, aby wskazać, że dostawca jest uruchomiony z uprawnieniami konta System lokalny.


Niektóre zmiany usługi WMI, które są zawarte w systemie Windows XP z dodatkiem SP2 mają na celu pomóc w zredukowaniu problemów, które mogą wystąpić w różnych modelach hostingu, gdy załadować te modele hostingu dostawców. Różne hosty mogą zawierać Microsoft Internet Information Services (IIS), usługi systemu Windows lub usługi przedsiębiorstwa. Aby uruchomić dostawcę, każdy host uruchamia nowy proces, który jest o nazwie WMIPRVSE. Proces WMIPRVSE ładuje rzeczywiste dostawcy. Gdy używasz różne modele obsługi rozpoczęto proces WMIPRVSE przy użyciu różnych poświadczeń systemu Windows. W związku z tym dostawcy, który jest ładowany, takich jak dostawca OffProv11 próbuje załadować Mngcli.exe celu uzyskania dostępu do pamięci współużytkowanej przy użyciu różnych poświadczeń.

Zabezpieczenia WMI są oparte na zabezpieczeń obszaru nazw.

Infrastruktura usługi WMI przechowuje listę użytkowników, którzy mają dostęp do określonego obszaru nazw. Tę listę można ustawić za pomocą aplikacji WMI lub przy użyciu skryptu. Można również zmienić zabezpieczeń obszaru nazw przy użyciu składnika Sterowanie usługą WMI. Aby uzyskać dodatkowe informacje dotyczące sposobu ustawiania zabezpieczeń użytkowników usługi WMI lub ustawiania zabezpieczeń obszaru nazw WMI odwiedź następujące witryny firmy Microsoft w sieci Web.

Ustawianie zabezpieczeń użytkownika

Ustawianie zabezpieczeń obszaru nazw

Zabezpieczenia DCOM jest uwierzytelniania i personifikacji ustawienie. Uwierzytelnianie oznacza, że jeden proces przedstawia do innego procesu. Zazwyczaj uwierzytelniania używa identyfikatora hasła. Model DCOM różne poziomy uwierzytelniania od "bez uwierzytelniania" do "dla pakietu uwierzytelniania szyfrowanego." Personifikacja identyfikuje urzędu, że klienta udziela serwerowi wywołanie różnych procesów. Podczas weryfikacji zabezpieczeń serwer personifikuje klienta, który żąda dostępu do określonego zasobu. Poziomy personifikacji modelu DCOM, w zakresie od "nie identyfikacji" do "pełne delegowanie."

WMI znajduje się w hoście usług udostępnionych z innymi usługami. Aby uniknąć zatrzymanie wszystkich usług, gdy dostawca nie powiedzie się, dostawców są ładowane do hosta oddzielny proces o nazwie Wmiprvse.exe. Może być uruchomiony więcej niż jeden proces o tej nazwie. Każdy proces może być uruchomiony przy użyciu innego konta z różnych zabezpieczeń.

Host udostępnionych mogą być uruchamiane w jednym z następujących kont w procesie Wmiprvse.exe hosta:

  • System lokalny

  • Usługa sieciowa

  • Usługa lokalna

  • LocalSystemHostOrSelfHost

Konto LocalSystem jest wstępnie zdefiniowane konto lokalne, który jest używany przez Menedżera sterowania usługami (SCM). To konto nie jest rozpoznawany przez podsystem zabezpieczeń. Ma szerokie uprawnienia na komputerze lokalnym i działa jako komputer w sieci. Jego tokenu zabezpieczeń zawiera NT AUTHORITY\SYSTEM identyfikator zabezpieczeń (SID) i identyfikator SID BUILTIN\Administratorzy. Konta te mają dostęp do większości obiektów systemu operacyjnego. Nazwa konta we wszystkich lokalizacjach jest ". \LocalSystem." Nazwa "System lokalny" lub"Nazwa_komputera\LocalSystem" może być również używany. To konto nie ma hasła. Jeśli określisz konta LocalSystem w wywołaniu funkcja CreateService podane informacje o haśle jest ignorowana.


Usługa, która działa w kontekście konta System lokalny dziedziczy kontekst zabezpieczeń SCM. Identyfikator SID użytkownika jest tworzony z wartość SECURITY_LOCAL_SYSTEM_RID. To konto nie jest skojarzony z dowolnego konta zalogowanego użytkownika. Takie zachowanie ma następujący wpływ na zabezpieczenia:

  • W gałęzi rejestru HKEY_CURRENT_USER jest skojarzony z domyślnego użytkownika, a nie bieżącego użytkownika. Aby uzyskać dostęp do profilu innego użytkownika, personifikować tego użytkownika i dostęp do gałęzi rejestru HKEY_CURRENT_USER.

  • Tę usługę można otworzyć gałęzi rejestru HKEY_LOCAL_MACHINE\SECURITY.

  • Usługa ta przedstawia poświadczenia komputera do zdalnych serwerów.

  • Jeśli ta usługa uruchamia wiersz polecenia i uruchamia plik wsadowy, aktualnie zalogowanego użytkownika można zatrzymać ten plik wsadowy, naciskając klawisze CTRL + C. Użytkownik zalogowany musi następnie dostęp do wiersza polecenia, która jest uruchomiona w ramach uprawnień LocalSystem.

Potrzebna dalsza pomoc?

Rozwijaj swoje umiejętności
Poznaj szkolenia
Uzyskuj nowe funkcje w pierwszej kolejności
Dołącz do niejawnych testerów firmy Microsoft

Czy te informacje były pomocne?

Dziękujemy za opinię!

×