Triệu chứng
Sau khi bạn chạy Microsoft hệ thống thông tin 7.0 (MSInfo32.exe), nếu bạn xem Nhật ký ứng dụng trong trình xem sự kiện, có thể có một hoặc nhiều trường hợp cảnh báo 63 ID sự kiện:
Loại sự kiện: cảnh báo
Sự kiện nguồn: WinMgmt
Loại sự kiện: Không có
ID sự kiện: 63
Date:Date
Time:Time
Người dùng: User_name
Máy tính:
Computer_name
Mô tả:
Nhà cung cấp OffProv11, đã được đăng ký trong không gian WMI, Root\MSAPPS11, sử dụng tài khoản LocalSystem. Tài khoản này đặc quyền và các nhà cung cấp có thể gây ra hành vi vi phạm bảo mật nếu nó không đúng mạo danh yêu cầu người dùng.
Để biết thêm thông tin, xem trợ giúp và Trung tâm hỗ trợ tại http://support.microsoft.com.
Lưu ý Nhà cung cấp phương tiện quản lý Windows (WMI) là một phần mềm hoạt động như một trung gian giữa phần lưu trữ mẫu thông tin chung (CIM) và đối tượng quản lý. Nhà cung cấp xử lý dữ liệu yêu cầu cho các đối tượng quản lý và gửi dữ liệu từ các đối tượng quản lý cấu phần trình quản lý đối tượng CIM (CIMOM).
Nguyên nhân
Sự cố này xảy ra nếu các điều kiện sau là đúng:
-
Bạn đang chạy hệ thống Office 2007 hoặc Microsoft Office 2003 Gói Dịch vụ 1 (SP1) trên một Microsoft Windows XP Gói Dịch vụ 2 (SP2)-dựa trên máy tính.
-
Bạn phải đăng nhập vào máy tính bằng tài khoản có quyền, chẳng hạn như tài khoản quản trị viên nâng lên.
Sự kiện cảnh báo này được tạo ra bởi vì các bản Cập Nhật được bao gồm trong Windows XP SP2. Sự kiện cảnh báo này được tạo ra khi một phiên bản của nhà cung cấp OffProv11 bắt đầu.
Chúng tôi khuyến nghị bạn phải cấu hình nhà cung cấp để sử dụng tài khoản khác bị giới hạn do nhà cung cấp OffProv11 đã được cấu hình để sử dụng SelfHost. Ngoài ra, các nhà cung cấp OffProv11 phải được cấu hình để sử dụng tài khoản LocalSystem vì OffProv11 cung cấp một dịch vụ tương tác.
Trạng thái
Hoạt động này là theo thiết kế.
Thông tin
Hệ thống cung cấp WMI chạy từng nhà cung cấp cụ thể COM máy chủ Dựa trên mức độ bảo mật yêu cầu. Chỉ quản trị viên có thể đăng ký nhà cung cấp và cấu hình mức bảo mật cần thiết, và chỉ cung cấp đáng tin cậy phải được cấu hình để sử dụng tài khoản LocalSystem. Sự kiện cảnh báo này hoạt động như một hồ sơ kiểm tra để cho biết rằng nhà cung cấp đang chạy với quyền truy cập vào tài khoản LocalSystem.
Một số thay đổi WMI được bao gồm trong Windows XP SP2 được thiết kế để giúp giảm các vấn đề có thể xảy ra giữa mô hình lưu trữ khác nhau khi các mô hình lưu trữ tải cung cấp. Máy chủ khác nhau có thể bao gồm Microsoft Internet Information Services (IIS), Dịch vụ Windows hoặc một dịch vụ doanh nghiệp. Để bắt đầu một nhà cung cấp, mỗi máy chủ khởi động trình mới có tên WMIPRVSE. Quá trình WMIPRVSE tải thực tế cung cấp. Khi bạn sử dụng mô hình lưu trữ khác nhau, quá trình WMIPRVSE khởi động bằng cách sử dụng uỷ nhiệm Windows khác nhau. Do đó, nhà cung cấp được tải, chẳng hạn như các nhà cung cấp OffProv11, cố gắng tải Mngcli.exe để truy cập vào bộ nhớ dùng chung bằng cách sử dụng các thông tin khác.
Bảo mật WMI
Bảo mật WMI dựa trên tên bảo mật.
Cơ sở hạ tầng WMI duy trì một danh sách người dùng có quyền truy cập vào một tên cụ thể. Bạn có thể thiết lập danh sách này bằng cách sử dụng một ứng dụng WMI hoặc bằng cách sử dụng lệnh. Bạn cũng có thể thay đổi tên bảo mật bằng cách sử dụng phần điều khiển WMI. Để biết thêm thông tin về cách đặt WMI người dùng bảo mật hoặc về cách đặt WMI tên bảo mật, ghé thăm Web site sau của Microsoft.
Thiết đặt bảo mật người dùng
http://technet2.microsoft.com/windowsserver/en/library/089bfd2f-f476-4bfb-ad01-6768b645a2941033.mspx?mfr=trueThiết đặt bảo mật không gian tên
Cấu hình DCOM
Bảo mật DCOM là xác thực và mạo danh cài đặt. Xác thực có nghĩa là một quá trình xác định tự xử lý khác. Thông thường, xác thực sử dụng mật khẩu nhận dạng. DCOM xác thực cấp khoảng từ "không xác thực" để "cho mỗi gói mã xác thực." Đóng vai xác định quyền khách hàng cho máy chủ gọi quá trình khác nhau. Trong hộp bảo mật, máy chủ impersonates khách hàng yêu cầu quyền truy cập vào tài nguyên cụ thể. Đóng vai DCOM độ nằm trong khoảng từ "không xác định" vào "Uỷ nhiệm đầy đủ."
Nhà cung cấp máy chủ quá trình chia sẻ
WMI nằm trong máy chủ Dịch vụ chia sẻ với một số dịch vụ khác. Để tránh dừng tất cả các dịch vụ khi nhà cung cấp không thành công, nhà cung cấp được nạp vào trình riêng máy chủ có tên Wmiprvse.exe. Nhiều trình có tên này có thể chạy. Mỗi tiến trình có thể chạy trong một tài khoản khác với bảo mật khác.
Lưu trữ được chia sẻ có thể chạy trong một tài khoản sau đây trong quá trình lưu trữ Wmiprvse.exe:
-
LocalSystem
-
NetworkService
-
LocalService
-
LocalSystemHostOrSelfHost
Tài khoản LocalSystem
Tài khoản LocalSystem là tài khoản cục bộ định sử dụng bộ điều khiển dịch vụ (SCM). Tài khoản này không được nhận dạng bằng hệ thống bảo mật. Có nhiều quyền trên máy tính cục bộ và hoạt động như máy tính trên mạng. Mã thông báo bảo mật của nó bao gồm bảo mật NT AUTHORITY\SYSTEM ID (SID) và BUILTIN\Administrators SID. Các tài khoản có quyền truy cập vào hầu hết các đối tượng hệ điều hành. Tên tài khoản trong tất cả các ngôn ngữ khác ". \LocalSystem." Tên là "LocalSystem" hoặc"ComputerName\LocalSystem" cũng có thể sử dụng. Tài khoản này không có mật khẩu. Nếu bạn chỉ định tài khoản LocalSystem trong một hoạt động CreateService , bất kỳ thông tin mật khẩu bạn cung cấp sẽ bị bỏ qua.
Dịch vụ chạy trong ngữ cảnh của tài khoản LocalSystem kế thừa bối cảnh bảo mật SCM. Người dùng SID tạo giá trị SECURITY_LOCAL_SYSTEM_RID. Tài khoản này không liên quan đến bất kỳ tài khoản người dùng đăng nhập. Hiện tượng này có tác động bảo mật sau:
-
Trung tâm đăng ký HKEY_CURRENT_USER được liên kết với người dùng mặc định và không có người dùng hiện tại. Để truy cập vào hồ sơ người dùng khác, mạo danh người dùng và sau đó truy cập Trung tâm đăng ký HKEY_CURRENT_USER.
-
Dịch vụ này có thể mở Trung tâm đăng ký HKEY_LOCAL_MACHINE\SECURITY.
-
Dịch vụ này trình bày thông tin máy tính từ xa máy chủ.
-
Nếu dịch vụ này bắt đầu một dấu nhắc lệnh và chạy tệp bó hiện đăng nhập người dùng có thể dừng tệp bó này bằng cách nhấn CTRL + C. Người dùng hiện đăng nhập rồi sẽ có quyền truy cập vào dấu nhắc lệnh đang chạy dưới quyền LocalSystem.
