Logga in med Microsoft
Logga in eller skapa ett konto.
Hej,
Välj ett annat konto.
Du har flera konton
Välj det konto som du vill logga in med.

Symptom

När du kör Microsoft System Information 7.0 (MSInfo32.exe) om du vill visa programloggen i Loggboken kan finnas det en eller flera instanser av varning händelse-ID 63:


Händelsetyp: varning
Händelsekälla: WinMgmt
Händelsekategori: ingen
Händelse-ID: 63

Date:Date
Time:Time

Användare: användarnamn
Dator:
Computer_name
Beskrivning:

En provider, OffProv11, har registrerats i WMI-namnområdet, Root\MSAPPS11, att använda det lokala systemkontot. Detta konto har privilegier och providern kan orsaka säkerhetsproblem om den inte personifierar användarbegäranden korrekt.


Mer information finns i Hjälp- och supportcenter på http://support.microsoft.com.

Obs! En provider för Windows Management Instrumentation (WMI) är en programkomponent som fungerar som mellanhand mellan Information CIM (Common Model) Lagringskomponenten och hanterade objekt. Providern hanterar databegäranden om för hanterade objekt och skickar data från hanterade objekt till CIM object manager komponent (CIMOM).

Orsak

Det här problemet uppstår om följande villkor är uppfyllda:

  • Du kör Office system 2007 eller Microsoft Office 2003 Service Pack 1 (SP1) på en Microsoft Windows XP Service Pack 2 (SP2)-baserad dator.

  • Du är inloggad på datorn med ett konto med förhöjda behörigheter, till exempel kontot Administratör.

Varning-händelse genereras på grund av uppdateringar som ingår i Windows XP SP2. Varning-händelse genereras när en instans av providern för OffProv11 startas.

Vi rekommenderar inte att du försöker konfigurera leverantör för ett mer begränsat konto eftersom OffProv11-provider har redan konfigurerats för att använda SelfHost. OffProv11-provider måste vara konfigurerad för att använda kontot LocalSystem eftersom OffProv11 provider är en interaktiv tjänst.

Status

Detta är avsiktligt.

Mer Information

WMI-provider-undersystemet körs enskilda leverantörer i specifika COM-servrar baserat på deras lämplig säkerhetsnivå. Endast administratörer kan registrera leverantörer och konfigurera deras lämplig säkerhetsnivå och endast betrodda leverantörer ska konfigureras för att använda kontot LocalSystem. Varning-händelse som fungerar som en granskningspost för att indikera att providern körs med behörigheter för LocalSystem-kontot.


Vissa WMI-ändringar som ingår i Windows XP SP2 är utformade för att minska problem som kan uppstå mellan olika värdmodeller när dessa värdmodeller ladda providers. Olika värdar kan innehålla Microsoft Internet Information Services (IIS), en Windows-tjänst eller en enterprise-service. Om du vill starta en provider startar varje värd en ny process som heter WMIPRVSE. WMIPRVSE processen laddas den aktuella providern. När du använder olika värdmodeller startas WMIPRVSE processen med hjälp av olika Windows-autentiseringsuppgifter. Därför försöker den provider som läses som OffProv11-provider att läsa in Mngcli.exe om du vill komma åt delat minne med hjälp av dessa olika referenser.

WMI-säkerhet

WMI-säkerheten baseras på namnområdet säkerhet.

WMI: S infrastruktur upprätthåller en lista över användare som har åtkomst till ett specifikt namnområde. Du kan ange den här listan med hjälp av en WMI-programmet eller med hjälp av skript. Du kan också ändra namnområde säkerhet med hjälp av komponenten WMI-kontroll. Mer information om hur du anger säkerhet för WMI-användare och om hur du anger säkerhet för WMI-namnområdet finns på följande Microsoft-webbplatser.

Ange användarsäkerhet

http://technet2.microsoft.com/windowsserver/en/library/089bfd2f-f476-4bfb-ad01-6768b645a2941033.mspx?mfr=trueAnger namnområdet säkerhet

http://msdn2.microsoft.com/en-us/library/aa393613.aspx

DCOM-konfiguration

DCOM-säkerhet är en autentisering och personifiering inställningen. Autentisering innebär att en process identifierar sig själv till en annan process. Normalt använder autentisering lösenord identifiering. DCOM-autentisering nivåer mellan "ingen autentisering" och "paket krypterad verifiering". Personifiering identifierar den myndighet som beviljar en klient en server att ringa olika processer. Under verifiering av säkerheten personifierar på servern klienten som begär åtkomst till en viss resurs. DCOM-personifiering nivåer mellan "Ingen identifiering" och "fullständig delegering".

Delade värdprocessen för leverantör

WMI finns i en delad tjänst värd med andra tjänster. Om du vill undvika att stoppa alla tjänster när en leverantör misslyckas, laddas providers i en separat värdprocessen heter Wmiprvse.exe. Mer än en process med det här namnet kan köras. Varje process kan köras under ett annat konto med olika säkerhet.

Delade värden kan köra under en av följande konton i en värd Wmiprvse.exe-process:

  • LocalSystem

  • NetworkService

  • LocalService

  • LocalSystemHostOrSelfHost

LocalSystem-kontot

Kontot LocalSystem är ett fördefinierat lokalt konto som används av Tjänstkontrollhanteraren (SCM). Det här kontot kan inte identifieras av undersystem för säkerhet. Den har omfattande behörigheter på den lokala datorn och fungerar som en dator i nätverket. Dess säkerhetstoken innehåller NT INSTANS\SYSTEM säkerhets-ID (SID) och SID för BUILTIN\Administratörer. Dessa konton har åtkomst till de flesta operativsystem-objekt. Namnet på kontot i alla språk är ". \LocalSystem." Namnet "LocalSystem" eller"Datornamn\LocalSystem" kan också användas. Det här kontot har inte ett lösenord. Om du anger kontot LocalSystem i ett anrop till funktionen CreateService ignoreras alla lösenordsinformation som du anger.


En tjänst som körs i kontexten för kontot LocalSystem ärver säkerhetskontexten för SCM. Användar-SID skapas från SECURITY_LOCAL_SYSTEM_RID värde. Det här kontot är inte associerad med någon inloggade användarkontot. Det här problemet har följande säkerhetsaspekter:

  • Registreringsdatafilen HKEY_CURRENT_USER är associerad med användarens standard och inte den aktuella användaren. Personifiera användaren att komma åt en annan användares profil och tillgång till registreringsdatafilen HKEY_CURRENT_USER.

  • Den här tjänsten kan öppna registreringsdatafilen HKEY_LOCAL_MACHINE\SECURITY.

  • Den här tjänsten visar datorns referenser till fjärrservrar.

  • Om den här tjänsten startar Kommandotolken och kör en kommandofil, kan den inloggade användaren stoppa den här kommandofilen genom att trycka på CTRL + C. Den inloggade användaren har sedan tillgång till en kommandotolk som körs under LocalSystem-behörighet.

Facebook LinkedIn E-post
PRENUMERERA PÅ RSS-FEEDS

Behöver du mer hjälp?

Vill du ha fler alternativ?

Upptäck Community

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Fördelar med en Microsoft 365-prenumeration

Utbildning för Microsoft 365

Microsoft-säkerhet

Hjälpmedelscenter

Communities hjälper dig att ställa och svara på frågor, ge feedback och få råd från experter med rika kunskaper.

Fråga Microsoft-communityn

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Hade du nytta av den här informationen?

Hur nöjd är du med språkkvaliteten?
Vad påverkade din upplevelse?
Genom att trycka på skicka, kommer din feedback att användas för att förbättra Microsofts produkter och tjänster. IT-administratören kan samla in denna data. Sekretesspolicy.

Tack för din feedback!

×