Симптомы
После запуска Microsoft 7.0 сведения системе (MSInfo32.exe) при просмотре журнала приложений в средстве просмотра событий может быть один или несколько экземпляров предупреждение 63 код события:
Тип события: предупреждение
Источник события: WinMgmt
Категория события: нет
Код события: 63
Date:Date
Time:Time
Пользователь: имя_пользователя
Компьютер:
Computer_name
описание
Поставщик OffProv11, был зарегистрирован в пространстве имен WMI, Root\MSAPPS11, чтобы использовать учетную запись LocalSystem. Эта учетная запись является привилегированным и поставщик может вызвать нарушение безопасности, если не удастся олицетворить запрос пользователя.
Дополнительные сведения см. в центре справки и поддержки по адресу http://support.microsoft.com.
Примечание. Поставщик инструментария управления Windows (WMI) — это программный компонент, который действует как посредник между компонент хранения общей информационной модели (CIM) и управляемый объект. Поставщик обрабатывает запросы данных для управляемого объекта и отправляет данные из управляемого объекта компонент диспетчера объектов CIM (CIMOM).
Причина
Эта проблема возникает, если выполняются следующие условия:
-
Пакет обновления 1 (SP1) для Microsoft Office 2003 или выпуска 2007 системы Microsoft Office работают в Microsoft Windows XP Пакет обновления 2 (SP2)-на компьютере.
-
Вы вошли в систему с учетной записью с повышенными правами, например учетной записи администратора.
Это предупреждение создается из-за обновления, включенные в Windows XP SP2. Это предупреждение создается при запуске экземпляра поставщика OffProv11.
При попытке настроить службу, чтобы использовать более ограниченную учетную запись, так как OffProv11 поставщик уже настроен на использование SelfHost не рекомендуется. Кроме того поставщик OffProv11 должен быть настроен так, чтобы использовать учетную запись LocalSystem, поскольку поставщик OffProv11 интерактивной службы.
Статус
Данное поведение является особенностью.
Дополнительные сведения
Подсистема поставщик WMI выполняет отдельные поставщики определенного COM-серверов на основе их уровня безопасности. Только администраторы могут регистрировать поставщики и настроить уровень безопасности и только надежные поставщики должны быть настроены на использование учетной записи «Локальный компьютер». Это событие предупреждения ведет себя как запись аудита, чтобы указать, что поставщик работает с правами учетной записи LocalSystem.
Некоторые изменения WMI, включенные в Windows XP SP2 предназначены для уменьшения проблем, которые могут возникнуть при загрузке этих моделей размещения поставщики различных размещения моделей. Различных узлов может включать Microsoft IIS (IIS), служба Windows или службой предприятия. Для запуска поставщика, каждый узел запускает новый процесс, который называется WMIPRVSE. Процесс WMIPRVSE загружает Фактические поставщик. При использовании разных моделей размещения, используя разные учетные записи Windows запускается процесс WMIPRVSE. Таким образом поставщик, который загружается, такого как поставщик OffProv11 пытается загрузить Mngcli.exe, используя эти различные учетные данные для доступа к общей памяти.
Безопасность WMI
Безопасность WMI основана на пространство имен безопасности.
В инфраструктуре WMI поддерживает список пользователей, имеющих доступ к определенным пространством имен. Этот список можно установить с помощью приложения WMI или с помощью сценария. Пространство имен безопасности можно также изменить с помощью компонента управления WMI. Для получения дополнительных сведений о настройке безопасности пользователей WMI и о настройке безопасности пространства имен WMI посетите следующие веб-узлы корпорации Майкрософт.
Настройка безопасности пользователя
http://technet2.microsoft.com/windowsserver/en/library/089bfd2f-f476-4bfb-ad01-6768b645a2941033.mspx?mfr=trueНастройка безопасности пространства имен
Настройки DCOM
Проверка подлинности и олицетворение параметр является безопасность DCOM. Проверка подлинности означает, что один процесс должен идентифицировать себя для другого процесса. Как правило проверка подлинности использует идентификатор пароля. Диапазон уровней проверки подлинности DCOM из «без проверки подлинности» до «-пакет зашифрованной проверки подлинности.» Олицетворение определяет полномочия, что клиент предоставляет серверу для вызова различных процессов. Во время проверки безопасности сервер олицетворяет клиента, запрашивающего доступ к конкретному ресурсу. DCOM олицетворение находятся в диапазоне от «не Идентификация» для «полного делегирования».
Общий процесс на узле поставщика
WMI находится в узле общие службы с другими службами. Чтобы избежать остановки всех служб, когда поставщик не выполняется, поставщики, загружаются в отдельный хост-процесса с именем Wmiprvse.exe. Может быть запущено несколько процессов с таким именем. Каждый процесс запускается под другой учетной записью безопасности.
Размещения общих можно запустить в одном из следующих учетных записей в процесс Wmiprvse.exe узла:
-
«Локальный компьютер»
-
Сетевая служба
-
LocalService
-
LocalSystemHostOrSelfHost
Учетной записи «Локальный компьютер»
Учетная запись LocalSystem имеет Стандартная учетная запись, используется диспетчер управления службами (SCM). Эта учетная запись не является подсистемой безопасности. Имеет широкие права на локальном компьютере и соответствует компьютеру в сети. Его маркер безопасности содержит NT AUTHORITY\SYSTEM код безопасности (SID) и идентификатор SID "BUILTIN\Администраторы". Эти учетные записи имеют доступ к большинству объектов операционной системы. — Имя учетной записи во всех языковых стандартах «. \LocalSystem.» Имя учетной записи «LocalSystem» или «Имя_компьютера\LocalSystem» также можно использовать. Эта учетная запись не имеет пароля. При указании учетной записи LocalSystem в вызов функции CreateService , предоставленная вами информация любой пароль игнорируется.
Служба, которая выполняется в контексте учетной записи LocalSystem наследует контекст безопасности диспетчера управления службами. SID пользователя создается из значения SECURITY_LOCAL_SYSTEM_RID. Эта учетная запись не связаны с любой учетной записи вошедшего в систему пользователя. Такое поведение имеет следующие последствия для безопасности:
-
Куст реестра HKEY_CURRENT_USER связан с пользователя по умолчанию, а не текущего пользователя. Для доступа к профилю другого пользователя, олицетворять пользователя и затем получить доступ к кусту реестра HKEY_CURRENT_USER.
-
Эту службу можно открыть куст реестра HKEY_LOCAL_MACHINE\SECURITY.
-
Эта служба предоставляет учетные данные компьютера удаленным серверам.
-
Если эта служба запускается из командной строки и запускает пакетный файл, вошел в систему текущий пользователь может остановить этот пакетный файл, нажав CTRL + C. Вошел в систему текущий пользователь получит доступ к командной строке, запущенной с разрешения «локальный компьютер».