Заимствование прав

Оцените статью

windows78352 Заимствование правОбычно WMI запускается как системная служба, часть самой операционной системы Windows, и имеет неограниченный доступ ко всем частям Windows. Хотя WMI приспособлен к проверке полномочий вашей регистрации и выполняет только те задачи, которые разрешены для вашей учетной записи, разработчики WMI допускают вероятность наличия в WMI программных дефектов, которыми могут воспользоваться программисты-злоумышленники. Поэтому существует возможность того, что схема аутентификации может быть неадекватна в решении задач воспрепятствования использования WMI сетевыми пользователями для получения доступа ко всем частям компьютера. Когда вы подключаетесь к WMI в удаленном режиме, этот инструментарий настроен на минимизацию риска за счет запуска под той учетной записью, под которой вы вошли в систему. Это называется заимствованием прав (impersonation), в результате которого WMI не может нанести урон выше того, который мог бы быть нанесен, если бы вы сами сидели непосредственно за этим компьютером. При подключении с правами администратора WMI получает полный доступ, соответствующий данной учетной записи, но «какой-нибудь там Джо» не может полностью захватить власть над компьютером. Обычно WMI требует, чтобы входящие подключения использовали заимствование прав (вариант 3 или 4). Но версии используемых в сценариях WMI-объектов, которые были выпущены до Windows ХР Service Pack 2, могут не определять по умолчанию режим заимствования прав при создании подключений к удаленным компьютерам. Если известно, что все компьютеры, на которых будет работать ваш сценарий, имеют операционную систему версии Windows ХР SP2 или выше, должны работать установки заимствования прав, используемые по умолчанию. В противном случае на правильность установок по умолчанию рассчитывать не приходится, и нужно указать, что вам требуется, чтобы службой WMI использовалось заимствование прав. Порядок указания вариантов заимствования прав будет показан в следующем разделе.

Режим, используемый по умолчанию для исходящих подключений на заданном компьютере, можно проверить или установить путем изучения или Благодаря механизмам аутентификации и заимствования прав можно выполнить любое действие посредством WMI, которое разрешено выполнять с используемой учетной записью.

Комментирование закрыто.

Вверх страницы