อาการ
หลังจากที่คุณเรียกใช้ 7.0 ข้อมูลระบบของ Microsoft (MSInfo32.exe), ถ้าคุณดูบันทึกของโปรแกรมประยุกต์ใน Event Viewer อาจมีอย่าง น้อยหนึ่งอินสแตนซ์ของคำเตือน 63 ID เหตุการณ์:
ชนิดเหตุการณ์: คำเตือน
แหล่งของเหตุการณ์: WinMgmt
ประเภทเหตุการณ์: ไม่มี
รหัสเหตุการณ์: 63
Date:Date
Time:Time
ผู้ใช้: User_name
คอมพิวเตอร์:
Computer_name
คำอธิบาย:
มีการลงทะเบียนผู้ให้บริการ OffProv11 ใน namespace WMI, Root\MSAPPS11 การใช้บัญชี LocalSystem บัญชีผู้ใช้นี้จะมีสิทธิ์ และตัวให้บริการอาจทำให้เกิดการละเมิดความปลอดภัยนั้นไม่ถูกต้องเลียนแบบคำขอของผู้ใช้
สำหรับข้อมูลเพิ่มเติม ดูที่ Help and Support Center ที่ http://support.microsoft.com
หมายเหตุ ตัวให้บริการ Windows Management Instrumentation (WMI) เป็นส่วนประกอบของซอฟต์แวร์ที่ทำงานเป็นการ mediator ระหว่างคอมโพเนนต์การจัดเก็บแบบจำลองข้อมูลทั่วไป (CIM) และวัตถุที่มีการจัดการ ตัวให้บริการการจัดการคำขอข้อมูลสำหรับวัตถุที่มีการจัดการ และส่งข้อมูลจากวัตถุที่มีการจัดการไปยัง CIM วัตถุตัวจัดการคอมโพเนนต์ (CIMOM)
สาเหตุ
ปัญหานี้เกิดขึ้นหากมีเงื่อนไขต่อไปนี้:
-
คุณกำลังเรียกใช้ระบบ Office 2007 หรือ Microsoft Office 2003 Service Pack 1 (SP1) บนกับ Microsoft Windows XP Service Pack 2 (SP2) -ใช้คอมพิวเตอร์
-
คุณเข้าสู่ระบบคอมพิวเตอร์โดยใช้บัญชีที่มีการยกระดับสิทธิ์ เช่นแอคเคาท์ผู้ดูแลระบบ
มีสร้างเหตุการณ์การเตือนนี้เนื่องจาก มีการปรับปรุงที่รวมอยู่ใน Windows XP SP2 มีสร้างเหตุการณ์การเตือนนี้เมื่อเริ่มต้นอินสแตนซ์ของตัวให้บริการ OffProv11
เราไม่แนะนำให้ คุณพยายามตั้งค่าคอนฟิกตัวให้บริการการใช้บัญชีแบบจำกัดมาก เนื่องจากได้มีการกำหนดค่าตัวให้บริการ OffProv11 ให้ใช้ SelfHost นอกจากนี้ ผู้ให้บริการ OffProv11 ต้องถูกกำหนดค่าให้ใช้บัญชี LocalSystem เนื่องจากผู้ให้บริการ OffProv11 เป็นบริการแบบโต้ตอบ
สถานะ
ลักษณะการทำงานนี้เกิดจากการออกแบบ
ข้อมูลเพิ่มเติม
ระบบย่อยของตัวให้บริการ WMI เรียกใช้ผู้ให้บริการแต่ละตัวในเซิร์ฟเวอร์ COM เฉพาะที่ขึ้นอยู่กับระดับของความปลอดภัยที่จำเป็น เฉพาะผู้ดูแลระบบเท่านั้นสามารถลงทะเบียนผู้ให้บริการ และการตั้งค่าคอนฟิกของระดับความปลอดภัยที่จำเป็น และผู้ให้บริการที่เชื่อถือได้เท่านั้นที่ควรจะกำหนดค่าให้ใช้บัญชี LocalSystem เหตุการณ์การเตือนนี้ทำงานเป็นเรกคอร์ดที่ตรวจสอบเพื่อระบุว่า ผู้ให้บริการที่กำลังทำงาน ด้วยสิทธิ์ของบัญชี LocalSystem
การเปลี่ยนแปลง WMI ที่รวมอยู่ใน Windows XP SP2 ถูกออกแบบมาเพื่อช่วยลดปัญหาที่อาจเกิดขึ้นระหว่างแบบจำลองโฮสต์อื่นเมื่อรูปแบบเหล่านี้โฮสต์โหลดตัวให้บริการ โฮสต์ที่แตกต่างกันอาจรวมถึง Microsoft Internet Information Services (IIS), บริการของ Windows หรือการบริการขององค์กร เมื่อต้องการเริ่มการให้บริการ แต่ละโฮสต์เริ่มต้นกระบวนการใหม่ที่ชื่อ WMIPRVSE กระบวนการ WMIPRVSE โหลดตัวให้บริการที่เกิดขึ้นจริง เมื่อคุณใช้แบบจำลองอื่นที่โฮสต์ กระบวนการ WMIPRVSE จะเริ่มขึ้น โดยใช้ข้อมูลประจำตัวของ Windows ที่แตกต่างกัน ดังนั้น ผู้ให้บริการที่โหลด เช่นผู้ให้บริการ OffProv11 พยายามโหลด Mngcli.exe การเข้าถึงหน่วยความจำที่ใช้ร่วมกัน โดยใช้ข้อมูลประจำตัวเหล่านี้แตกต่างกัน
ความปลอดภัยของ WMI
ความปลอดภัยของ WMI เป็นไปตามการรักษาความปลอดภัยของ namespace
โครงสร้างพื้นฐานของ WMI รักษารายการของผู้ใช้ที่มีสิทธิ์เข้าถึง namespace ระบุ คุณสามารถตั้งค่ารายการนี้ โดยใช้โปรแกรมประยุกต์ WMI หรือ โดยใช้สคริปต์ คุณยังสามารถเปลี่ยนการรักษาความปลอดภัยของ namespace โดยใช้คอมโพเนนต์ตัวควบคุม WMI สำหรับข้อมูลเพิ่มเติม เกี่ยวกับวิธีการตั้งค่าความปลอดภัยของผู้ใช้ WMI หรือ เกี่ยวกับวิธีการตั้งค่าความปลอดภัย namespace ของ WMI แวะไปเว็บไซต์ของ Microsoft ต่อไปนี้
การตั้งค่าความปลอดภัยของผู้ใช้
http://technet2.microsoft.com/windowsserver/en/library/089bfd2f-f476-4bfb-ad01-6768b645a2941033.mspx?mfr=trueการตั้งค่าความปลอดภัยของ namespace
การกำหนดค่า DCOM
การรักษาความปลอดภัย DCOM มีการรับรองความถูกต้องและการตั้งค่าการเลียนแบบ รับรองความถูกต้องหมายความ ว่า กระบวนการหนึ่งระบุตนเองกับกระบวนการอื่น โดยทั่วไปแล้ว รับรองความถูกต้องใช้รหัสผ่าน DCOM รับรองความถูกต้องระดับช่วงจาก "ไม่รับรองความถูกต้อง" ถึง "สำหรับแต่ละแพ็คเก็ตการเข้ารหัสลับรับรองความถูกต้อง" เลียนแบบระบุหน่วยงานว่า ไคลเอนต์มอบให้แก่เซิร์ฟเวอร์การเรียกกระบวนการที่แตกต่างกัน ในระหว่างการตรวจสอบความปลอดภัย เซิร์ฟเวอร์ impersonates ไคลเอนต์ที่ร้องขอการเข้าถึงทรัพยากรเฉพาะ เลียนแบบ DCOM ระดับช่วงจาก "ไม่มีการระบุ" ถึง "เต็มรูปแบบการมอบหมายงาน"
ขั้นตอนการโฮสต์ตัวให้บริการที่ใช้ร่วมกัน
WMI อยู่ในโฮสต์บริการที่ใช้ร่วมกันกับบริการหลายอื่น ๆ เมื่อต้องการหลีกเลี่ยงการหยุดทั้งหมดล้มเหลวเมื่อผู้ให้บริการ ผู้ให้บริการจะโหลดลงในชื่อการ Wmiprvse.exe กระบวนการโฮสต์ที่แยกต่างหาก กระบวนการที่มากกว่าหนึ่งชื่อนี้สามารถเรียกใช้ แต่ละกระบวนการสามารถทำงานภายใต้บัญชีแตกต่างกัน มีความปลอดภัยที่แตกต่างกัน
โฮสต์ที่ใช้ร่วมกันสามารถรันภายใต้บัญชีต่อไปนี้ในกระบวนการ Wmiprvse.exe โฮสต์:
-
LocalSystem
-
NetworkService
-
LocalService
-
LocalSystemHostOrSelfHost
บัญชี LocalSystem
บัญชี LocalSystem คือ บัญชีเฉพาะที่กำหนดไว้ล่วงหน้าที่ใช้ โดยตัวจัดการควบคุมบริการ (SCM) ระบบย่อยการรักษาความปลอดภัยที่ไม่รู้จักบัญชีผู้ใช้นี้ มีสิทธิ์ที่ครอบคลุมบนเครื่องคอมพิวเตอร์ และทำหน้าที่เป็นคอมพิวเตอร์บนเครือข่าย โทเค็นการรักษาความปลอดภัยรวมถึงความปลอดภัย NT AUTHORITY\SYSTEM ID (SID) และ SID \ผู้ดูแลระบบ บัญชีเหล่านี้สามารถเข้าถึงส่วนใหญ่ของออบเจ็กต์ระบบปฏิบัติการ ชื่อของบัญชีอยู่ในตำแหน่งที่ตั้งทั้งหมดคือ " \LocalSystem " ชื่อ "LocalSystem" หรือ"ComputerName\LocalSystem" สามารถใช้ บัญชีผู้ใช้นี้ไม่มีรหัสผ่าน ถ้าคุณระบุบัญชี LocalSystem ในการเรียกไปยังฟังก์ชันCreateServiceข้อมูลรหัสผ่านใด ๆ ที่คุณให้จะถูกละเว้นไป
การบริการที่เรียกใช้ในบริบทของบัญชี LocalSystem บริบทความปลอดภัยของ SCM สืบทอดมา SID ของผู้ใช้ถูกสร้างขึ้นจากค่า SECURITY_LOCAL_SYSTEM_RID บัญชีนี้จะไม่เกี่ยวข้องกับบัญชีผู้ใช้เข้าสู่ระบบใด ๆ ลักษณะการทำงานนี้มีผลกระทบด้านความปลอดภัยต่อไปนี้:
-
กลุ่มรีจิสทรี HKEY_CURRENT_USER จะเกี่ยวข้องกับผู้ใช้ที่เริ่มต้น และไม่ใช่ผู้ใช้ปัจจุบัน การเข้าถึงโปรไฟล์ของผู้ใช้อื่น เลียนแบบผู้ใช้คนนั้น และสามารถ เข้าถึงรีจิสทรีไฮฟ์ HKEY_CURRENT_USER
-
บริการนี้สามารถเปิดกลุ่มรีจิสทรี HKEY_LOCAL_MACHINE\SECURITY
-
บริการนี้แสดงข้อมูลประจำตัวของคอมพิวเตอร์ไปยังเซิร์ฟเวอร์ระยะไกล
-
ถ้าบริการนี้เริ่มการทำงานของพร้อมท์รับคำสั่ง และเรียกใช้แฟ้มชุดคำสั่ง ผู้ใช้อยู่ในขณะนี้เข้าสู่ระบบไม่สามารถหยุดโปรแกรมชุดคำสั่งนี้ โดยการกด CTRL + C ผู้ใช้ที่เข้าสู่ระบบจะแล้วเข้าถึงได้พร้อมรับคำสั่งที่กำลังทำงานภายใต้ LocalSystem สิทธิ์
