WMI는 표준 Windows 보안 설명자 사용하여 WMI 네임스페이스, 프린터, 서비스 및 DCOM 애플리케이션과 같은 보안 개체에 대한 액세스를 제어하고 보호합니다. 자세한 내용은 WMI 네임스페이스대한 액세스를 참조하세요.
이 섹션에서는 다음 항목에 대해 설명합니다.
- 보안 설명자 및 SID
- access Control
- Access Security 변경
- 관련 항목
보안 설명자 및 SID
WMI는 보안 개체에 액세스하려는 사용자의 액세스 토큰 개체의 보안 설명자와 비교하여 액세스 보안을 유지합니다.
시스템에서 사용자 또는 그룹을 만들 때 계정에 SID(보안 식별자)가 SID는 이전에 삭제된 계정과 동일한 이름으로 만든 계정이 이전 보안 설정을 상속하지 않도록 합니다. 액세스 토큰은 SID, 사용자가 구성원인 그룹 목록 및 사용 또는 사용 안 함 권한 목록을 결합하여 만듭니다. 이러한 토큰은 사용자가 소유한 모든 프로세스 및 스레드에 할당됩니다.
액세스 제어
사용자가 보안 개체를 사용하려는 경우 액세스 토큰은 개체의 보안 설명자에 있는 DACL(임의 액세스 제어 목록) 비교됩니다. DACL에는 ACE(액세스 제어 항목)권한이 포함되어 있습니다. SACL(시스템 액세스 제어 목록)은 DACL과 동일한 작업을 수행할 있지만 보안 감사 이벤트를 생성할 수 있습니다. Windows Vista부터 WMI는 Windows 보안 로그에 감사 항목을 만들 수 있습니다. WMI의 감사에 대한 자세한 내용은 WMI 네임스페이스대한 액세스를 참조하세요.
DACL과 SACL은 WMI 리포지토리에 쓰기, 원격 액세스 및 실행 및 로그온 권한을 포함하여 특정 액세스 권한이 있는 사용자를 설명하는 ACE 목록으로 구성됩니다. WMI는 이러한 ACL을 WMI 리포지토리에 저장합니다.
ACE는 세 가지 유형의 액세스 수준 또는 권한 부여/거부 권한을 보유합니다. DACL에 대한 허용, 거부 및 시스템 감사(SCL의 경우). 앞에 거부 ACE는 DACL 또는 SACL에서 ACE를 허용합니다. 사용자 액세스 권한을 확인할 때 WMI는 요청 액세스 토큰에 적용되는 허용 ACE를 찾을 때까지 액세스 제어 목록을 통해 연속적으로 실행됩니다. 나머지 ACE는 이 시점 이후에 확인되지 않습니다. 적절한 허용 ACE가 없으면 액세스가 거부됩니다. 자세한 내용은 DACL API 순서 및 DACL 만들기참조하세요.
액세스 보안 변경
적절한 사용 권한으로 스크립트 또는 애플리케이션을 사용하여 보안 개체에 대한 보안을 변경할 수 있습니다. WMI 컨트롤 사용하거나 네임스페이스에 대한 클래스를 정의하는 MOF(관리 개체 형식) 파일에 SDDL(보안 설명자 정의 언어) 문자열을 추가하여 WMI 네임스페이스의 보안 설정을 변경할 수도 있습니다. 자세한 내용은 WMI 네임스페이스액세스, WMI 네임스페이스보안 및 보안 개체 액세스 보안 변경참조하세요.
관련 항목