Registrierungsschlüssel und Werte für die Steuerung der Anbietersicherheit

Zur Verbesserung der Sicherheit des vom Windows Management Instrumentation (WMI) freigegebenen Anbieterhostprozesses (wmiprvse.exe) wurden Änderungen an Windows-Plattformen vorgenommen, die den Anbieterhostprozess mit einer Dienstsicherheits-ID (SID) sichern. Diese Änderungen führen die folgenden Ausführungsmodi für den gemeinsam genutzten WMI-Host ein: sicher und kompatibel.

Die folgenden Abschnitte werden in diesem Thema behandelt:

• sicheren und kompatiblen Modi
• Registrierungsschlüssel und -werte
• Konfigurieren eines Anbieters für die Ausführung im sicheren oder kompatiblen Modus

Sichere und kompatible Modi

Ab Windows 7 wurden die folgenden beiden ausgeführten Modi für den gemeinsam genutzten WMI-Hostprozess hinzugefügt:

sicheren Modus

WMI-Hostprozessressourcen werden mit einer Dienst-SIDgesichert. Nur die Dienst-SID verfügt über Berechtigungen für diese Ressourcen.

kompatiblen Modus

Der Hostprozess des WMI-Anbieters ist nicht mit einer Dienst-SIDgesichert. Der Anbieterhostprozess ermöglicht den Zugriff auf die NetworkService- oder LocalService-Konten abhängig vom Hostingmodell. Weitere Informationen zu Hostingmodellen finden Sie unter Provider Hosting and Security.

Windows Vista und Windows Server 2008: Um auf die Registrierungsschlüssel und Werte zur Steuerung sicherer und kompatibler Modi für den Anbieterhostprozess zuzugreifen, müssen Sie das Sicherheitsupdate in KB-959454installieren. Weitere Informationen finden Sie im Microsoft Security Bulletin MS09-012.

Registrierungsschlüssel und Werte

Die Einstellungen für den sicheren und kompatiblen Modus werden über Registrierungsschlüssel angegeben. Die Registrierungsschlüssel für WMI befinden sich in der Registrierung unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\.

Die folgenden Registrierungsschlüssel und DWORD- Wert, der in der folgenden Liste beschrieben wird, wurden hinzugefügt, um das Verhalten von WMI-Anbietern zu steuern.

SecuredHostProviders

Dieser Schlüssel steuert das Verhalten einzelner Anbieter. Alle Anbieter, die in diesem Schlüssel aufgeführt sind, werden immer im abgesicherten Modus ausgeführt. Alle Posteingangsanbieter, die mit Windows ausgeliefert werden, werden unter diesem Schlüssel aufgeführt und standardmäßig im abgesicherten Modus ausgeführt.

Dieser Schlüssel hat Vorrang vor Anbietern, die im CompatibleHostProviders Schlüssel aufgeführt sind.

CompatibleHostProviders

Dieser Schlüssel steuert das Verhalten einzelner Anbieter. Alle Anbieter, die in diesem Schlüssel aufgeführt sind, werden immer im kompatiblen Modus ausgeführt. Dieser Schlüssel ist standardmäßig leer.

Wenn ein Anbieter sowohl im SecuredHostProviders Schlüssel als auch im CompatibleHostProviders Schlüssel aufgeführt ist, wird der Anbieter im abgesicherten Modus ausgeführt.

Anmerkung

Der CompatibleHostProviders Schlüssel stellt Anwendungskompatibilität für Anwendungen von Drittanbietern bereit, wenn der DefaultSecuredHost--Schlüssel auf 1 festgelegt ist und der Anbieter nicht im sicheren Modus funktioniert.

 

DefaultSecuredHost-

Ein globaler Registrierungswert DWORD-, der bestimmt, ob alle Anbieter, die nicht in den SecuredHostProviders oder CompatibleHostProviders Schlüssel aufgeführt sind, im sicheren oder kompatiblen Modus ausgeführt werden. Mit diesem DWORD--Wert kann der Administrator entscheiden, unter welchem Modus ein Drittanbieter ausgeführt werden muss. Standardmäßig ist dieser Wert auf Null festgelegt, und alle Drittanbieter werden im kompatiblen Modus ausgeführt. Administratoren können ihren Computer standardmäßig sicherer machen, indem sie den Wert DefaultSecuredHost auf 1 festlegen.

Anmerkung

Der wert DefaultSecuredHost wirkt sich nicht auf die anderen Registrierungsschlüssel aus. Die Anbieter, die in den SecuredHostProviders Schlüssel aufgeführt sind, verbleiben im abgesicherten Modus, und die im CompatibleHostProviders aufgeführten Schlüssel bleiben im kompatiblen Modus.

 

Die folgenden Einstellungen sind möglich:

0

Gibt an, dass Anbieter im kompatiblen Modus ausgeführt werden.

1

Gibt an, dass Anbieter im abgesicherten Modus ausgeführt werden.

In der folgenden Liste sind die möglichen Registrierungseinstellungen und die zugehörigen Ausgeführten Modi für einen Anbieter aufgeführt.

Konfigurieren eines Anbieters für die Ausführung im sicheren oder kompatiblen Modus

Die Registrierungsschlüssel können mithilfe der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) geändert werden. Weitere Informationen finden Sie unter Gruppenrichtlinien-Verwaltungskonsole.

Die folgenden Verfahren veranschaulichen, wie Sie Einstellungen für den sicheren und kompatiblen Modus mithilfe von Gruppenrichtlinieneinstellungen verwalten. Weitere Informationen zu Gruppenrichtlinieneinstellungen finden Sie in der Gruppenrichtlinieneinstellungen – Übersicht.

Hinzufügen eines Anbieters zum sicheren oder kompatiblen Modus mithilfe von Gruppenrichtlinien

1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole.

2. Erstellen eines Gruppenrichtlinienobjekts (Group Policy Object, GPO).

3. Bearbeiten Sie das Gruppenrichtlinienobjekt.

4. Navigieren Sie zu "Einstellungen/Windows-Einstellungen/Registrierung".

5. Klicken Sie mit der rechten Maustaste, und wählen Sie Neu aus... Registrierungs-. Diese Aktion stellt eine Benutzeroberfläche dar, auf der Sie Registrierungsinformationen eingeben können.

6. Wählen Sie den Befehl Erstellen aus.

7. Wählen Sie den folgenden Registrierungsschlüsselpfad aus:

   sicherer Modus: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders

   kompatibler Modus: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders

8. Geben Sie im Feld Namen den Namen des Anbieters ein, den Sie diesem Schlüssel hinzufügen möchten. Der Anbietername muss im folgenden Format vorliegen: <Namespace->:<__RELPATH>. Beispiel: root\cimv2:__win32provider.name="MyProvider".

9. Geben Sie im Feld Daten 0 ein.

10. Klicken Sie auf "OK".

So entfernen Sie einen Anbieter aus dem sicheren oder kompatiblen Modus mithilfe von Gruppenrichtlinien

1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole.

2. Erstellen sie ein Gruppenrichtlinienobjekt.

3. Bearbeiten Sie das Gruppenrichtlinienobjekt.

4. Navigieren Sie zu "Einstellungen/Windows-Einstellungen/Registrierung".

5. Klicken Sie mit der rechten Maustaste, und wählen Sie Neu aus... Registrierungs-. Diese Aktion stellt eine Benutzeroberfläche dar, auf der Sie Registrierungsinformationen eingeben können.

6. Wählen Sie den Befehl Entfernen aus.

7. Wählen Sie den folgenden Registrierungsschlüsselpfad aus:

   sicherer Modus: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\SecuredHostProviders

   kompatibler Modus: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM\CompatibleHostProviders

8. Geben Sie im Feld Namen den Namen des Anbieters ein, den Sie aus diesem Schlüssel entfernen möchten.

9. Geben Sie im Feld Daten 0 ein.

10. Klicken Sie auf "OK".

Das folgende Verfahren enthält Details zum Ändern des Verhaltens von Anbietern, die nicht in den SecuredHostProviders oder CompatibleHostProviders Schlüsseln aufgeführt sind.

So ändern Sie den Standardwert des DefaultSecuredHost-Schlüssels mithilfe von Gruppenrichtlinien

1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole.
2. Erstellen sie ein Gruppenrichtlinienobjekt.
3. Bearbeiten Sie das Gruppenrichtlinienobjekt.
4. Navigieren Sie zu "Einstellungen/Windows-Einstellungen/Registrierung".
5. Klicken Sie mit der rechten Maustaste, und wählen Sie Neu aus... Registrierungs-. Diese Aktion stellt eine Benutzeroberfläche dar, auf der Sie Registrierungsinformationen eingeben können.
6. Wählen Sie den Befehl Aktualisieren aus.
7. Wählen Sie den folgenden Registrierungsschlüsselpfad aus: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM.
8. Geben Sie im Feld NamenDefaultSecuredHost-ein.
9. Geben Sie im Feld Daten 0 für den kompatiblen Modus oder 1 für den sicheren Modus ein.
10. Klicken Sie auf "OK".