Безопасность при работе с wmi

По умолчанию с помощью утилит и сценариев WMI пользователь может на определенной машине выполнить только те действия, на которые ему даны разрешения на этой машине. Таким образом, реализуется безопасность WMI на уровне операционной системы. Дополнительно политика безопасности в WMI реализована на уровнях пространств имен и протокола DCOM (Distributed COM).

Каждый объект операционной системы, доступ к которому определяет система безопасности (файл, процесс, служба и т.д.), имеет дескриптор безопасности (Security Descriptor, SD), в котором хранится таблица контроля доступа (Access Control List, ACL) для этого объекта. Каждое пространство имен может иметь собственный дескриптор безопасности, в котором хранится таблица контроля доступа. Каждая запись в таблице контроля доступа содержит информацию о том, какие права имеет определенный пользователь при выполнении определенных операций в этом пространстве имен. Список разрешений:

Разрешение	Описание
Выполнение методов (Execute Methods)	Позволяет вызывать методы классов этого пространства имен. Если пользователь имеет это разрешение, но не имеет разрешения на выполнение операции, которую производит метод, в операционной системе, произойдет отказ при выполнении метода.
Полная запись (Full Write)	Позволяет создавать и модифицировать подпространства имен, системные классы и экземпляры классов.
Частичная запись (Partial Write)	Позволяет создавать и модифицировать любые статические классы и экземпляры несистемных классов.
Запись поставщика (Provider Write)	Позволяет записывать в репозиторий CIM классы провайдеров WMI и экземпляры этих классов.
Включить учетную запись (Enable Account)	Право чтения данных WMI.
Включить удаленно (Remote Enable)	Право доступа к WMI на удаленном компьютере. По умолчанию это разрешение есть только у администраторов.
Прочесть безопасность (Read Security)	Позволяет читать дескриптор безопасности этого пространства имен.
Изменение правил безопасности (Edit Security)	Позволяет изменять дескриптор безопасности этого пространства имен.

Все записи таблицы контроля доступа сохраняются в репозитории WMI. Разрешения WMI для конкретного пространства имен наследуются для всех подпространств имен и классов этого пространства имен. Собственных разрешений безопасности для отдельных классов не существует.

В Windows NT/2000/XP по умолчанию группа администраторов обладает всеми разрешениями. Остальные пользователи обладают разрешениями: Включить учетную запись (Enable Account), Выполнение методов (Execute Methods) и Запись поставщика (Provider Write).

Изменить вышеописанные разрешения уровня пространств имен можно, запустив элемент управления WMI. Для этого нужно выполнить команду wmimgmt.msc либо в командной строке, либо в меню "Пуск" - "Выполнить". В Windows 9x/Me для открытия элемента управления WMI нужно запустить программу wbemcntl.exe. Если необходимо подключиться к WMI на удаленном компьютере, в открывшейся консоли нужно выбрать меню "Действие" - "Подключение к другому компьютеру...". Для входа в режим просмотра и изменения параметров WMI нужно выбрать меню "Действие" - "Свойства".

Примечание: к WMI на локальном компьютере можно получить доступ только от имени текущего пользователя. Чтобы задать разрешения WMI, в окне свойств следует выбрать вкладку "Безопасность", выбрать нужное пространство имен и нажать кнопку "Безопасность". В том же окне свойств можно задать пространство имен WMI, используемое по умолчанию для написания сценариев (вкладка "Дополнительно").

Для доступа к WMI на удаленном компьютере используется протокол DCOM (Distributed COM). Пользователь, который запускает сценарий или подключается к WMI с помощью специальных утилит, выступает в качестве клиента, а объект WMI, к которому идет обращение, является сервером. Для того чтобы определить, какие права будут применяться при работе с WMI на удаленном компьютере, используются уровни олицетворения протокола DCOM:

Уровень	Описание
Анонимный доступ (Anonymous, 1)	Объект-сервер не может получить информацию о клиенте (не может олицетворить клиента). Этот уровень олицетворения в WMI не используется.
Идентификация (Identify, 2)	Объект-сервер может получить информацию о клиенте, но не может олицетворить клиента. Этот уровень олицетворения не позволяет запускать сценарии WMI на удаленных машинах.
Олицетворение (Impersonate, 3)	Объект-сервер может пользоваться всеми правами клиента.
Делегирование (Delegate, 4)	Объект-сервер может обратиться от имени клиента к другому объекту-серверу.

Уровень олицетворения протокола DCOM, выбираемый по умолчанию при обращении к серверу DCOM, зависит от версии WMI на целевом компьютере. Чтобы изменить уровень по умолчанию, необходимо записать его наименование в следующий ключ реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\Scripting\Default Impersonation Level

В сценариях WSH нужный уровень олицетворения можно указать в явном виде в момент соединения с WMI.

Протокол DCOM позволяет также установить определенный уровень аутентификации (проверки подлинности). Возможные уровни:

Уровень	Описание
Отсутствует (None, 1)	Проверка подлинности отсутствует.
По умолчанию (Default, 0)	Используются стандартные настройки безопасности, заданные на сервере.
Подключений (Connect, 2)	Клиент проходит проверку подлинности только во время подключения к серверу. После того, как соединение установлено, никаких проверок не производится.
Вызовов (Call, 3)	Клиент проходит проверку подлинности в начале каждого вызова во время приема запросов сервером. Заголовки пакетов подписываются, но содержимое пакетов не подписывается и не шифруется.
Пакетов (Pkt, 4)	То же, что и предыдущее, но проверке подлинности подвергаются все пакеты, поступающие от клиента.
Целостности пакетов (PktIntegrity, 5)	Все пакеты проходят проверку подлинности и целостности (т.е. проверяется, что содержимое пакета не было изменено во время передачи). Данные подписываются, но не шифруются.
Секретности пакетов (PktPrivacy, 6)	То же, что и предыдущее, но данные шифруются.

В сценариях WSH нужный уровень аутентификации можно указать в явном виде в момент соединения с WMI. При локальной работе с WMI DCOM всегда использует уровень секретности пакетов (PktPrivacy).