症状
运行 Microsoft 系统信息 7.0 (MSInfo32.exe) 之后,如果查看事件查看器中的应用程序日志,其中可能会显示一个或多个警告事件 ID 63 的实例:
类型: 警告
来源: WinMgmt
类别: 无
事件 ID: 63
日期: Date
时间: Time
用户: User_name
计算机: Computer_name
描述:
已在 WMI 命名空间 Root\MSAPPS11 中注册提供程序 OffProv11 以使用 LocalSystem 帐户。该帐户受到特权保护,如果此提供程序没有正确模拟用户请求,则可能导致安全冲突。
有关更多信息,请参阅位于 http://support.microsoft.com 的帮助和支持中心。
注意:Windows Management Instrumentation (WMI) 提供程序是一个软件组件,它在通用信息模型 (CIM) 存储组件与托管对象之间起中介作用。该提供程序处理对托管对象的数据请求,并将数据从托管对象发送到 CIM 对象管理器组件 (CIMOM)。
原因
如果满足下列条件,则会出现此问题:
-
正在基于 Microsoft Windows XP Service Pack 2 (SP2) 的计算机上运行 2007 Office system 或 Microsoft Office 2003 Service Pack 1 (SP1)。
-
使用已提升权限的帐户(如管理员帐户)登录计算机。
生成此警告事件是 Windows XP SP2 中包含的更新造成的。当启动 OffProv11 提供程序的实例时,将生成此警告事件。
不推荐您尝试将该提供程序配置为使用更受限制的帐户,因为 OffProv11 提供程序已被配置为使用 SelfHost。另外,由于 OffProv11 提供程序是一种交互式服务,因此必须将 OffProv11 提供程序配置为使用 LocalSystem 帐户。
状态
这种行为是设计导致的。
更多信息
WMI 提供程序子系统基于各个提供程序要求的安全级别在特定 COM 服务器上运行它们。只有管理员才能注册提供程序并配置其要求的安全级别,并且仅应将受信任的提供程序配置为使用 LocalSystem 帐户。此警告事件的行为类似于审核记录,表明正在使用 LocalSystem 帐户的权限运行提供程序。
当宿主模型加载提供程序时,Windows XP SP2 中包含的一些 WMI 更改可帮助减少这些不同宿主模型之间可能出现的问题。不同的主机可能会包括 Microsoft Internet Information Services (IIS)、Windows 服务或企业服务。若要启动一个提供程序,每台主机都会启动一个名为 WMIPRVSE 的新进程。WMIPRVSE 进程将加载实际的提供程序。当使用不同的宿主模型时,将使用不同的 Windows 凭据启动 WMIPRVSE 进程。因此,加载的提供程序(例如 OffProv11 提供程序)将尝试使用不同的凭据加载 Mngcli.exe,以获得对共享内存的访问权。
WMI 安全性
WMI 安全性是基于命名空间安全性的。
WMI 结构维护有一份对特定命名空间具有访问权的用户的列表。您可以使用 WMI 应用程序或使用脚本来设置此列表。也可以使用 WMI 控制组件来更改命名空间安全性。有关如何设置 WMI 用户安全性或如何设置 WMI 命名空间安全性的其他信息,请访问下面的 Microsoft 网站。
设置用户安全性
http://msdn.microsoft.com/zh-cn/library/aa393613(en-us).aspx
DCOM 配置
DCOM 安全性是指身份验证和模拟设置。身份验证意指一个进程向另一个进程表明自己的身份。身份验证通常使用密码标识。DCOM 身份验证的级别范围是从“无身份验证”到“每个数据包加密的身份验证”。模拟将标识客户端授予服务器用来调用不同进程的特权。在安全性验证的过程中,服务器将模拟请求访问特定资源的客户端。DCOM 模拟的级别范围是从“无标识”到“完全委派”。
共享提供程序宿主进程
WMI 与其他若干服务一起驻留在一个共享服务宿主中。为了避免在一个提供程序失败时停止所有服务,提供程序将被加载到一个名为 Wmiprvse.exe 的单独的宿主进程中。可以运行多个具有此名称的进程。每个进程都可在具有不同安全性的不同帐户下运行。
共享宿主可依据以下帐户之一在 Wmiprvse.exe 宿主进程中运行:
-
LocalSystem
-
NetworkService
-
LocalService
-
LocalSystemHostOrSelfHost
LocalSystem 帐户
LocalSystem 帐户是由服务控制管理器 (SCM) 使用的预定义的本地帐户。安全子系统无法识别该帐户。该帐户对本地计算机具有广泛的权限,并且可以充当网络上的计算机。该帐户的安全令牌包括 NT AUTHORITY\SYSTEM 安全 ID (SID) 和 BUILTIN\Administrators SID。这些帐户具有对大多数操作系统对象的访问权。该帐户在所有区域设置中的名称都为“.\LocalSystem”。也可以使用“LocalSystem”或“ComputerName\LocalSystem”名称。该帐户不需要密码。如果在对 CreateService 函数的调用中指定了 LocalSystem 帐户,则将忽略您提供的任何密码信息。
在 LocalSystem 帐户的上下文中运行的服务将继承 SCM 的安全上下文。用户 SID 是从 SECURITY_LOCAL_SYSTEM_RID 值创建的。该帐户与任何登录的用户帐户都无关。此行为具有以下安全暗示:
-
HKEY_CURRENT_USER 注册表配置单元与默认用户(而不是当前用户)相关联。若要访问另一个用户的配置文件,应模拟该用户,然后访问 HKEY_CURRENT_USER 注册表配置单元。
-
此服务可以打开 HKEY_LOCAL_MACHINE\SECURITY 注册表配置单元。
-
此服务将显示计算机用于访问远程服务器的凭据。
-
如果此服务启动一个命令提示符并运行一个批处理文件,则当前登录的用户可以按 Ctrl+C 来停止运行此批处理文件。然后,当前登录的用户可访问在 LocalSystem 权限下运行的命令提示符。
