狀況
如果您在事件檢視器中檢視應用程式記錄檔,執行 Microsoft 系統資訊 7.0 (MSInfo32.exe) 之後,可能有一或多個執行個體的警告事件識別碼 63:
事件類型︰ 警告
事件來源︰ WinMgmt
事件類別︰ 無
事件識別碼︰ 63
Date:Date
Time:Time
使用者︰使用者名稱
電腦︰
Computer_name
描述:
已註冊的提供者,OffProv11,WMI 命名空間,這是 Root\MSAPPS11,使用 LocalSystem 帳戶中。這個帳戶擁有特權,如果沒有適當模擬使用者要求,提供者可能導致安全性違規。
如需詳細資訊,請參閱說明及支援中心在 http://support.microsoft.com。
注意Windows 管理檢測 (WMI) 提供者是具有作用的通用訊息模型 (CIM) 存放區元件與受管理的物件之間的中介物的軟體元件。提供者處理 managed 物件的資料要求,並將從 managed 物件內,將資料傳送至 CIM 物件管理員 (CIMOM) 元件。
原因
如果下列情況成立,就會發生這個問題︰
-
您正在使用 Microsoft Windows XP Service Pack 2 (SP2) 上執行 2007 Office system 或 Microsoft Office 2003 Service Pack 1 (SP1) 為基礎的電腦。
-
您的電腦有更高權限,例如系統管理員帳戶的帳戶登入。
因為 Windows XP SP2 中所包含的更新,會產生此警告事件。OffProv11 提供者的執行個體啟動時,會產生此警告事件。
我們不建議您嘗試設定的提供者以使用更多限制的帳戶,因為 OffProv11 提供者已設定為使用 SelfHost。此外,OffProv11 提供者必須設定為使用 LocalSystem 帳戶,因為 OffProv11 提供者是互動式的服務。
狀態
此行為是系統設計的一部份。
更多的資訊
WMI 提供者子系統會個別提供者來執行特定的 COM 伺服器,根據其所需的安全性層級。只有系統管理員可以註冊提供者,並設定其所需的安全性層級中,並只受信任的提供者應該使用 LocalSystem 帳戶設定。此警告事件具有作用的稽核記錄,以指示提供者正在執行的 LocalSystem 帳戶的權限。
某些隨附於 Windows XP SP2 WMI 變更被設計來協助降低不同的裝載模型時這些主機的模型載入提供者之間可能發生的問題。Microsoft Internet Information Services (IIS) 」、 「 Windows 服務中或 「 企業服務,可能包含不同的主機。若要啟動提供者,每一部主機會啟動新的處理序名為 WMIPRVSE。WMIPRVSE 處理序載入實際的提供者。當您使用不同的裝載模型時,WMIPRVSE 程序會啟動使用不同的 Windows 認證。因此,載入時,例如 OffProv11 提供者的提供者會嘗試載入 Mngcli.exe 來使用這些不同的認證來存取共用記憶體。
WMI 安全性
WMI 安全性根據名稱區安全性。
WMI 基礎結構維護特定命名空間的權限的使用者的清單。您可以使用 WMI 應用程式,或使用指令碼來設定此清單。您也可以使用 WMI 控制元件,以變更名稱區安全性。如需有關如何設定 WMI 使用者的安全性,或有關如何設定 WMI 名稱區安全性的詳細資訊,請造訪下列 Microsoft 網站取得。
設定使用者安全性
DCOM 設定
DCOM 安全性是驗證和模擬設定。驗證表示,一個處理程序就會將本身識別處理程序。一般來說,驗證會使用密碼的識別。DCOM 驗證層級範圍可以從 「 未驗證 」 到 「 每個封包加密驗證 」。模擬識別用戶端授與呼叫不同的處理序的伺服器的授權單位。安全性在驗證期間,伺服器會模擬用戶端要求存取到特定的資源。DCOM 模擬層級的範圍"沒有識別 」 到 「 完整的委派 」。
共用提供者主機處理程序
WMI 會保留在共用的服務主機與數個其他的服務。若要避免停止所有服務提供者時就會失敗,提供者是載入至名為 Wmiprvse.exe 不同的主機處理序。使用此名稱的多個處理序可以執行。每個處理序可以在使用不同的安全性不同的帳戶下執行。
共用的主應用程式可以執行的 Wmiprvse.exe 主機處理序中的下列帳戶的下列其中一個之下︰
-
LocalSystem
-
網路服務
-
LocalService
-
LocalSystemHostOrSelfHost
LocalSystem 帳戶
LocalSystem 帳戶是預先定義的本機帳戶由服務控制管理員 (SCM)。這個帳戶不是可辨識的安全性子系統。它廣泛的使用權限對本機電腦,並做為網路上的電腦。它的安全性權杖包括 [NT AUTHORITY\SYSTEM 安全性識別碼 (SID)] 及 [\ SID。這些帳戶可以存取大部分作業系統物件。所有地區設定中的帳戶名稱是 「。 \LocalSystem。"名稱,也就是 「 LocalSystem"或"電腦名稱\LocalSystem",也可以使用。這個帳戶沒有密碼。如果您指定的 LocalSystem 帳戶在CreateService函式的呼叫時,會忽略任何您所提供的密碼資訊。
LocalSystem 帳戶內容中執行的服務會繼承 SCM 的安全性內容。從 SECURITY_LOCAL_SYSTEM_RID 值,會建立使用者 SID。這個帳戶不與任何登入的使用者帳戶相關聯。這種行為會有下列的安全性含意︰
-
HKEY_CURRENT_USER 登錄 hive 是與預設的使用者和目前使用者相關聯。若要存取另一位使用者設定檔,模擬該使用者,並存取 HKEY_CURRENT_USER 登錄 hive。
-
這項服務可以開啟 HKEY_LOCAL_MACHINE\SECURITY 的登錄 hive。
-
這個服務會提供給遠端伺服器的電腦的認證。
-
如果這項服務啟動命令提示字元,並執行批次檔,目前登入的使用者就無法藉由按下 CTRL + C 停止這個批次檔。目前登入的使用者必須存取 LocalSystem 權限下執行的命令提示字元。
