Безопасность при работе с WMI

По умолчанию с помощью утилит и сценариев WMI пользователь может на определенной машине выполнить только те действия, на которые ему даны разрешения на этой машине. Таким образом, реализуется безопасность WMI на уровне операционной системы. Дополнительно политика безопасности в WMI реализована на уровнях пространств имен и протокола DCOM (Distributed COM).

Каждый объект операционной системы, доступ к которому определяет система безопасности (файл, процесс, служба и т.д.), имеет дескриптор безопасности (Security Descriptor, SD), в котором хранится таблица контроля доступа (Access Control List, ACL) для этого объекта. Каждое пространство имен может иметь собственный дескриптор безопасности, в котором хранится таблица контроля доступа. Каждая запись в таблице контроля доступа содержит информацию о том, какие права имеет определенный пользователь при выполнении определенных операций в этом пространстве имен. Список разрешений:

Все записи таблицы контроля доступа сохраняются в репозитории WMI. Разрешения WMI для конкретного пространства имен наследуются для всех подпространств имен и классов этого пространства имен. Собственных разрешений безопасности для отдельных классов не существует.

В Windows NT/2000/XP по умолчанию группа администраторов обладает всеми разрешениями. Остальные пользователи обладают разрешениями: Включить учетную запись (Enable Account), Выполнение методов (Execute Methods) и Запись поставщика (Provider Write).

Изменить вышеописанные разрешения уровня пространств имен можно, запустив элемент управления WMI. Для этого нужно выполнить команду wmimgmt.msc либо в командной строке, либо в меню "Пуск" - "Выполнить". В Windows 9x/Me для открытия элемента управления WMI нужно запустить программу wbemcntl.exe. Если необходимо подключиться к WMI на удаленном компьютере, в открывшейся консоли нужно выбрать меню "Действие" - "Подключение к другому компьютеру...". Для входа в режим просмотра и изменения параметров WMI нужно выбрать меню "Действие" - "Свойства".

Примечание: к WMI на локальном компьютере можно получить доступ только от имени текущего пользователя. Чтобы задать разрешения WMI, в окне свойств следует выбрать вкладку "Безопасность", выбрать нужное пространство имен и нажать кнопку "Безопасность". В том же окне свойств можно задать пространство имен WMI, используемое по умолчанию для написания сценариев (вкладка "Дополнительно").

Для доступа к WMI на удаленном компьютере используется протокол DCOM (Distributed COM). Пользователь, который запускает сценарий или подключается к WMI с помощью специальных утилит, выступает в качестве клиента, а объект WMI, к которому идет обращение, является сервером. Для того чтобы определить, какие права будут применяться при работе с WMI на удаленном компьютере, используются уровни олицетворения протокола DCOM:

Уровень олицетворения протокола DCOM, выбираемый по умолчанию при обращении к серверу DCOM, зависит от версии WMI на целевом компьютере. Чтобы изменить уровень по умолчанию, необходимо записать его наименование в следующий ключ реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\Scripting\Default Impersonation Level

В сценариях WSH нужный уровень олицетворения можно указать в явном виде в момент соединения с WMI.

Протокол DCOM позволяет также установить определенный уровень аутентификации (проверки подлинности). Возможные уровни:

В сценариях WSH нужный уровень аутентификации можно указать в явном виде в момент соединения с WMI. При локальной работе с WMI DCOM всегда использует уровень секретности пакетов (PktPrivacy).

Строка моникера

Существует три основных синтаксиса строки моникера. От основной строки синтаксиса зависит то, к чему именно будет подключаться сценарий. Ниже представлены эти три строки синтаксиса:

• Winmgmts ::«класс». Данный синтаксис позволяет подключиться к определенному классу репозитория CIM, хранящемуся в пространстве имен по умолчанию;
• Winmgmts ::«класс»:«метод». Данный синтаксис выполняет подключение к определенному классу репозитория CIM, хранящемуся в пространстве имен по умолчанию, после чего возвращает указать на конкретный метод данного класса;
• Winmgmts ::«класс».«ключевое свойство»=«значение». Данный синтаксис возвращает указатель на конкретный экземпляр класса, хранящегося в пространстве имен по умолчанию.

Если в строке моникера не указано пространство имен, тогда по умолчанию выполняется подключение к пространству имен \\root\cimv2.

Winmgmts://server01/root/cimv2:Win32_OperatingSystem

В приведенном примере server01 – это, сетевое имя компьютера, на котором мы хотим получить доступ к объекту WMI. Если указать вместо сетевого имени символ «.» (точка), то подключение будет происходить к локальному компьютеру. Root/CIMv2 – это пространство имен репозитория WMI (по аналогии очень похоже на виртуальный каталог веб-сервера). После двоеточия идет наименование класса WMI, к объектам которого мы хотим обратиться. В данном примере это класс Win32_OperatingSystem. Следует заметить, что в moniker string можно использовать не только прямую наклонную черту, но и обратную, так что строки «winmgmts://server01/root/cimv2» и «winmgmts:\\server01\root\cimv2» одинаковы.

При подключении к репозиторию WMI необязательно указывать имя локального сервера точкой. Строка может выглядеть и так: «WinMgmts:root/CIMv2». Если в строке moniker-string имя сервера не указано, то подключение произойдет и к локальному репозиторию WMI. Точно так же, как и в случае использования строки «WinMgmts://./root/CIMv2».