Simptome
După ce executaţi Microsoft System Information 7.0 (MSInfo32.exe), dacă Vizualizați Jurnalul de aplicații din Event Viewer, pot exista unul sau mai multe instanțe de avertizare 63 de ID eveniment:
Tip eveniment: avertisment Sursă eveniment: WinMgmt Categorie eveniment: None ID eveniment: 63 Date:Date Time:Time Utilizator: Nume_utilizator Computer: Computer_name Descriere: Un furnizor de OffProv11, a fost înregistrată în spațiul de nume WMI, Root\MSAPPS11, se utilizează contul LocalSystem. Acest cont este privilegiat și furnizorul poate provoca o violare de securitate, dacă acesta nu simulează corect solicitări de utilizator. Pentru mai multe informații, consultați Help and Support Center at http://support.microsoft.com.
Notă Un furnizor Instrumentație de Management Windows (WMI) este o componentă software care se comportă ca un mediator între componenta de stocare modelul informații comune (CIM) și obiectul gestionate. Furnizor gestionează solicitările de date pentru obiectul gestionat și trimite date de la obiectul gestionate CIM obiect componenta manager (CIMOM).
Cauza
Această problemă apare dacă următoarele condiții sunt adevărate:
-
Executaţi sistemul Office 2007 sau Microsoft Office 2003 Service Pack 1 (SP1) sau Microsoft Windows XP Service Pack 2 (SP2)-bazat pe computer.
-
Ați făcut Log on la computer cu un cont care are permisiuni, precum contul de Administrator.
Acest eveniment de avertizare este generat din cauza actualizările care sunt incluse în Windows XP SP2. Acest eveniment de avertizare este generat atunci când o instanță de furnizorul de OffProv11 este pornit.
Nu recomandăm să încercați se configurează furnizorul pentru a utiliza un cont mai restrânse, deoarece furnizorul de OffProv11 deja este configurat să utilizeze SelfHost. În plus, furnizorul de OffProv11 trebuie să fie configurat pentru a utiliza contul LocalSystem, deoarece furnizorul de OffProv11 este un serviciu interactiv.Stare
Acest comportament este proiectat.
Mai multe informații
Subsistemul de furnizorul WMI se execută furnizori individuale specifice COM serverele bazate pe nivelul de securitate necesare. Numai administratorii pot înregistra furnizori și se configurează nivelul de securitate necesare și furnizori de încredere numai ar trebui să fie configurat să utilizeze contul LocalSystem. Acest eveniment de avertizare la fel ca o înregistrare de audit pentru a indica faptul că furnizorul execută cu permisiunile contul LocalSystem.
Unele dintre modificările WMI care sunt incluse în Windows XP SP2 sunt proiectate pentru a ajuta la reducerea problemele care pot apărea între diferite modele de găzduire atunci când aceste modele de găzduire furnizori de încărcare. Diferite hosts poate include Microsoft Internet Information Services (IIS), un serviciu Windows sau un serviciu de întreprindere. Pentru a porni un furnizor, fiecare gazdă începe un nou proces numit WMIPRVSE. Procesul de WMIPRVSE încarcă furnizorul actual. Când utilizați diferite modele de găzduire, procesul de WMIPRVSE este pornit utilizând acreditări diferite de Windows. De aceea, furnizorul de la care se încarcă, cum ar fi furnizorul de OffProv11, încearcă să încarce Mngcli.exe pentru a accesa memoria partajată utilizând aceste acreditări diferite.Securitate WMI
Securitate WMI se bazează pe spațiul de nume de securitate.
Infrastructura WMI păstrează o listă de utilizatori care au acces la un anumit nume. Aveți posibilitatea să setați această listă utilizând o aplicație WMI sau script. Puteți modifica namespace securitate utilizând componenta WMI Control. Pentru informații suplimentare despre cum se setează WMI utilizator securitate sau despre cum se setează WMI de nume de securitate, vizitați următorul site Web Microsoft. Setarea de securitate de utilizatorhttp://technet2.microsoft.com/windowsserver/en/library/089bfd2f-f476-4bfb-ad01-6768b645a2941033.mspx?mfr=trueSetarea de securitate de nume
Configurare DCOM
Securitate DCOM este o autentificare și de asumare. Autentificare înseamnă că un proces se identifică la un alt proces. De obicei, autentificare utilizează identificare parola. DCOM autentificare niveluri variază de la "fără autentificare" la "per-pachet autentificare criptat." Asumare identifică autoritatea de care un client acordă un server pentru a apela diferite procese. În timpul o verificare de securitate, serverul impresionează clientul care solicită acces la resursa special. Nivele de asumare a DCOM variază de la "nu identificarea" la "complet delegare."
Procesul de gazdă furnizor partajate
WMI se află într-o serie de servicii partajate cu mai multe alte servicii. Pentru a evita oprirea toate serviciile de la un furnizor nu reușește, furnizorii sunt încărcate într-un proces gazdă separat numit Wmiprvse.exe. Poate executa mai mult de un proces cu acest nume. Fiecare proces poate executa sub un alt cont cu diferite de securitate.
Gazdă partajate se execută sub unul dintre următoarele conturi dintr-un proces de gazdă Wmiprvse.exe:-
LocalSystem
-
NetworkService
-
LocalService
-
LocalSystemHostOrSelfHost
Contul LocalSystem
Contul LocalSystem este un cont local predefinite care este utilizat de service control manager (SCM). Acest cont nu este recunoscută de subsistemul de securitate. Acesta are permisiuni extinse pe computerul local, și acționează ca computer din rețea. Simbol sale de securitate include securitatea NT AUTHORITY\SYSTEM ID (SID) și SID-ul BUILTIN\Administrators. Aceste conturi au acces la cele mai multe dintre obiectele sistemului de operare. Numele de cont în toate regionale este ". \LocalSystem." Numele "LocalSystem" sau"Numecomputer\LocalSystem" poate fi utilizată. Acest cont nu are o parolă. Dacă specificați contul LocalSystem într-un apel pentru funcția CreateService , orice informații parola pe care le furnizați este ignorat.
Un serviciu care se execută în contextul contul LocalSystem moștenește contextul de securitate al SCM. Identificatorul de securitate al utilizatorului este creat din valoarea SECURITY_LOCAL_SYSTEM_RID. Acest cont nu este asociat cu orice cont de utilizator conectat. Acest comportament are implicații de securitate următoarele:-
Secțiunea de registry HKEY_CURRENT_USER este asociată cu utilizatorul în mod implicit, și nu utilizatorului curent. Pentru a accesa profilul de un alt utilizator, simulează acel utilizator, iar apoi accesați secțiunea de registry HKEY_CURRENT_USER.
-
Acest serviciu poate deschide secțiunii de registry HKEY_LOCAL_MACHINESECURITY\.
-
Acest serviciu prezintă acreditări computerului la serverele de la distanță.
-
Dacă acest serviciu începe o linie de comandă și rulează un fișier de comenzi, în prezent utilizator conectat ar putea opri acest fișier de comenzi, apăsând CTRL + C. În prezent utilizator conectat apoi ar avea acces la un prompt de comandă care se execută sub LocalSystem permisiuni.