WMI特権とセキュリティを構成するためのオプション

はるか昔、草がより環境に優しく、インターネットがより安全になったとき、Webベースのエンタープライズ管理（WBEM）イニシアチブがITで生まれました。もともとは1996年にCiscoSystems、Intel、Microsoftなどの企業によって後援されましたが、MAC OSからRedhatまでのプラットフォームで広く採用され、実装されています。 WBEMは、インターネット標準に基づいて明確に文書化されており、たとえば、SNMPとは異なるシステム管理アプローチを提供します。



WBEM for Windowsの適応は、WMI（Windows管理インターフェイス）と呼ばれ、WindowsXPで最初に導入されました。システムはコンポーネントよりも速く更新され、以前は便利な管理ツールであった多くの脆弱性がバージョン間で移行することを私たちは知っています。この記事では、WMIタスクがどのように実行され、潜在的なリスクを回避する方法について説明したいと思います。



WMIは、その能力により、特別なユーティリティやスクリプトを使用して、重要なサービスの停止やコンピュータのシャットダウンなど、PC上でさまざまな潜在的に危険なアクションを実行できます。たとえば、次のようになります。



（Get-WmiObject Win32_OperatingSystem -EnableAllPrivileges）.Win32Shutdown（5）



（GWMI -Class Win32_Service -Filter "name = 'WinRM'" -ComputerName Server）.StopService（）



さらに、これらのアクションをリモートマシンで同じ方法で実行します。ローカルのものと同じように、WMIオブジェクトへのパスに必要なマシンの名前を書き込むだけです。



WMIネームスペースは、WMIリポジトリのセクションであり、目的ごとにWMIクラスとオブジェクトをグループ化し、そのような各コンテナ内のクラスとオブジェクトにアクセスするときにセキュリティ属性を定義するように設計されています。すべての名前名はrootで始まります。これは、WMIではキーワードrootで示されます。名前名の後には、ルート名の後にスラッシュが続きます。名前空間はネストできます。興味深いクラスとオブジェクトのほとんどは、ルート/ CIMv2名前名にあります。



既存のWindowsWMIネームスペースの1つをデフォルトとして選択できます。つまり、名前名を指定せずにこのホストに接続しようとすると、デフォルトで選択されているホストに自動的に接続されます。標準のWindowsインストールでは、デフォルトのスペースはroot \ cimv2です。



WMIテクノロジーはWindows管理者向けに設計されており、WMIのセキュリティシステム全体は、WMIスクリプトを使用して、特定のPCのユーザーが、アクセス許可/特権を付与されたアクションのみを実行できるように設計されています。これらは、いわゆるデフォルトの特権です。これは、オペレーティングシステムレベルでWMIセキュリティを実装する方法です。オペレーティングシステムレベルのユーザーにコンピューターを再起動する権限が与えられていない場合、WMIを使用してこれを行うことはできません。



WMIの追加のセキュリティポリシーは、分散コンポーネントオブジェクトモデルである分散COM（DCOM）プロトコル名前空間レベルで実装されます。これらのタイプのWMIセキュリティを詳しく調べるために、Windowsのセキュリティに関連する基本的な一般的な概念を簡単に思い出します。そして、このセキュリティはユーザー名とそのパスワードに基づいています。

WMI権限について

ユーザーがWindowsで作成されると、そのシステムアカウントには一意のセキュリティ識別子（セキュリティIDentifier、またはSID）が割り当てられます。 SIDに基づいて、ユーザーのアクセストークンが生成され、ユーザーがメンバーになっているグループのリストと、ユーザーが持っている特権のリスト（たとえば、サービスの停止やコンピューターのシャットダウン）も追加されます。このアクセストークンは、ユーザーが開始するすべてのプロセスにも割り当てられます。現時点では、セキュリティシステムによってアクセスが決定されるオペレーティングシステムのすべてのオブジェクト（ファイル、プロセス、サービス、またはその他）には、セキュリティ記述子（SD）があります。この記述子は、このオブジェクトのアクセス制御リスト（ACL）を格納します。



したがって、ユーザーまたはそのユーザーによって起動されたプロセスがオブジェクトにアクセスすると、このユーザーのアクセストークンがアクセス制御リストと比較されます。結果に応じて、オブジェクトに対して要求されたアクションを実行するための許可/特権が発行または拒否されます。



名前名レベルでは、WMIセキュリティメカニズムは一般的なWindowsセキュリティモデルに従います。各名前名には、アクセス制御リスト（ACL）を格納する独自のセキュリティ記述子を含めることができます。



各アクセス制御エントリ（ACE）エントリには、特定のユーザーがその名前名でさまざまな操作を実行するときに持つアクセス許可に関する情報が含まれています。



また、名前名を操作するときのアクセス許可のリストは次のとおりです



。メソッドの実行。特定の名前名からクラスのメソッドを呼び出すことができます。メソッドが成功するか失敗するかは、ユーザーがシステムで操作を実行する権限を持っているかどうかによって異なります。



フルライト。サブネームスペース、システムクラス、およびクラスインスタンスの作成と変更を許可します。



部分書き込み。非システムクラスの静的クラスおよびインスタンスを作成および変更する機能を開きます。



プロバイダー書き込み。WMIプロバイダークラスとそれらのクラスのインスタンスをCIMリポジトリに書き込むことができます。



アカウントを有効にします。 WMI名前名への読み取りアクセスを許可します。この権限を持つユーザーは、WMIデータを読み取るローカルコンピューターでスクリプトを実行できます。



リモートで有効にします（リモート有効）。ユーザーがリモートコンピューター上のWMI名前空間にアクセスできるようにします。デフォルトでは、管理者のみがこの権限を持っています。標準ユーザーはリモートマシンからWMIデータを取得できません。



セキュリティを読んでください。変更せずにWMI名前名のセキュリティ記述子を読み取る権利を付与します。



セキュリティルールを変更します（セキュリティの編集）。WMI名前名のセキュリティ記述子を変更できます。



これらのACLエントリはすべて、WMIリポジトリに保存されます。特定の名前空間に対するWMI権限は、その名前空間で定義されている（継承元の）すべてのサブ名前空間とクラスに適用されます。個々のWMIクラスに独自のセキュリティ権限を定義することはできません。

デフォルト設定について

（Windowsでは、管理者グループは、上記の表からすべての権限を持ち、他のユーザーのアカウントが有効になっている アカウントの有効化）、方法（呼び出すことが許可されている メソッドの実行S）とCIM（にプロバイダクラスの書き込みインスタンスに プロバイダによる書き込みを）。



管理者は、WMI設定ユーティリティ（MMC管理コンソールwmimgmt.mscスナップイン）を使用して、特定のユーザーの権限を変更できます。



スクリーンショット1。





上記のDCOMプロトコルは、リモートコンピューター上のWMIインフラストラクチャにアクセスするために使用されます。ユーザーはスクリプトを実行するか、特別なユーティリティを使用してWMIに接続し、クライアントとして機能します。アクセスされるWMIオブジェクトはサーバーです。標準のDCOM偽装レベルは、リモートコンピューターでWMIを操作するときに使用されるアクセストークンを決定するために使用されます。

なりすましまたはなりすましレベルについて

ロシア語では、それはやや不器用に聞こえます。なりすましとは何ですか？なぜそれが必要なのですか？これは、プロセスまたはシステムがリソースに接続するために、独自のセキュリティコンテキストではなく、別のセキュリティプリンシパルの資格情報を使用する必要がある手法です。



想像してみてください-LocalSystemセキュリティコンテキストで起動された特定のサービスは、別のアカウントに代わって（たとえば、コンピュータにログオンしている現在のユーザーに代わって）アクションを実行する必要があります。この場合、サービスは、指定されたアクションを実行するアカウントのセキュリティコンテキストを説明する特別なアクセストークンを作成する必要があります。



このようなアクセストークンを作成するには、サービスはこのユーザーの資格情報を知っている必要があり、このプロセスがローカルマシンで発生する場合は、以前に登録されたローカルユーザーのアクセストークンのコピーを取得します。



これを行うには、サービスのセキュリティコンテキストにアクセストークンを作成する権限が必要です。



より複雑なバージョンのなりすまし、つまり委任があります。このオプションは、ターゲットリソースへの接続が、セキュリティプリンシパル自体（上記の例では、ユーザーに代わってサービスによって）ではなく、仲介者（たとえば、中間サーバー）を介して実行される場合に必要です。



想像してみてください。ユーザーはデータベースに直接接続するのではなく、3番目のサーバー上のWebアプリケーションを介して接続します。このような接続を確立するには、Webアプリケーションがセキュリティプリンシパル（当社のサービス）からデリゲートアクセストークンを受信する必要があります。これにより、Webアプリケーションはデータベースに接続するときにセキュリティプリンシパルのアクセストークンを使用できるようになります。



WMIの場合、委任は次のようになります。管理者ステーションで作業し、WMIを介して特定のサーバーに接続し、Win32_ProcessクラスのExecuteメソッドを使用してそのサーバーでプロセスを開始します。このプロセスは、何らかのアクションを実行するためにネットワーク上の別のホストに接続する別のWMIスクリプトにすぎません。委任を使用しない場合、ターゲットマシンでは、スクリプトは中間サーバーアカウントのセキュリティコンテキストで起動されますが、これは常に望ましいとは言えません。一方、実生活での委任に関する同様の状況はめったに発生しません。

なりすましレベルについて

匿名アクセス（匿名）。サーバーオブジェクトには、このオブジェクトにアクセスしているユーザーまたはプロセスに関する情報を取得する権利がありません（つまり、オブジェクトはクライアントになりすますことはできません）。このレベルのなりすましは、WMIでは使用されません。



識別。サーバーオブジェクトは、クライアントに関連付けられたアクセストークンを要求できますが、偽装することはできません。



このレベルの偽装がWMIスクリプトで使用されることはめったにありません。その場合、リモートマシンでWMIスクリプトを実行することはできません。



なりすまし。サーバーオブジェクトは、クライアントが持つすべての権限と特権を使用できます。 WMIスクリプトでは、このレベルの偽装を使用することをお勧めします。これにより、リモートマシンのWMIスクリプトは、スクリプトを実行するユーザーが実行できるすべてのアクションを実行できるようになります。



委任クライアントがアクセスしているサーバー上のオブジェクトは、クライアントに代わって別のサーバー上の別のオブジェクトを参照できます。委任により、スクリプトはリモートマシンでスクリプトを実行しているユーザーのアクセストークンを使用できます。同じトークンを使用して、他のワークステーション上のWMIオブジェクトにアクセスします。このレベルの偽装には潜在的なリスクがあります。WMIスクリプトでの委任は、厳密に必要な場合にのみ使用する必要があります。



デフォルトの偽装レベルは、ターゲットコンピューターのWMIのバージョンによって異なります。 1.5未満のバージョンのWMIでは、デフォルトレベルはIdentifyであり、WMI1.5以降のバージョンでは-Impersonateです。必要に応じて、レジストリキー

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Wbem \ Scripting \ Default Impersonation Levelに必要なレベルの名前（たとえば、impersonateまたはDelegate）を書き込むことにより、デフォルトの偽装レベルを変更でき ます。



スクリーンショット





2.DCOMプロトコルは、WMI接続に対して特定のレベルの認証（認証）とプライバシーを要求する機能も提供します



。なし。認証なし。



デフォルト（デフォルト）。認証レベルの選択には、標準のセキュリティ設定が使用されます。クライアントにはサーバー指定の認証レベルが割り当てられるため、これが推奨レベルです。



接続（接続）。クライアントは、サーバーに接続するときにのみ認証されます。接続が確立された後、追加のチェックは実行されません。



呼び出します。クライアントは各呼び出しの開始時に認証され、サーバーは要求を受け入れます。この場合、パケットヘッダーは署名されていますが、クライアントとサーバー間で送信されるデータ自体（パケットの内容）は署名も暗号化もされていません。



パッケージ（Pkt）。クライアントからサーバーに送信されるすべてのデータパケットが認証されます。コールレベルの認証と同様に、パケットヘッダーは署名されますが、暗号化されません。パッケージ自体は署名も暗号化もされていません。



パッケージの整合性（Pktlntegrity）。すべてのデータパケットは、信頼性と整合性がチェックされます。クライアントからサーバーへの送信中に、パッケージの内容が変更されていないことを確認します。この場合、データは署名されていますが、暗号化されていません。



特権（PktPrivacy）。すべてのデータパケットの信頼性と整合性がチェックされ、送信されたデータの機密性を確保するためにデータが署名および暗号化されます。



Windows管理者は、システムセキュリティコンソールとドメイングループポリシー、およびユーザー権利の割り当てセクションで使用できるシステムセキュリティ設定をよく知っています。オペレーティングシステムでの多くのアクションは、彼が属するユーザーまたはグループが1つまたは別の特権を持っている場合にのみ実行できます。このようなアクションには、たとえば、システムの再起動（作業のシャットダウン）、バックアップからのシステムの状態の復元、またはシステム時間の変更が含まれます。



WMIはこれらすべてのアクションを実行できるため、WMI開発者は追加のセキュリティメカニズムを提供しました。ユーザーアカウントがシステムでの操作に必要な特権を持っている場合でも、アクションを実行する前に特権を明示的にアクティブ化するまで、このアクションを実行できません。特に、管理者がシステムの再起動を要求するWMIスクリプトを実行した場合、この特権がスクリプトで明示的にアクティブ化されるまで、これは発生しません。

概要

WMI接続のセキュリティを確保するために推奨されること：

1. 重要なサービスのなりすましのレベルを変更します（スクリーンショット2）。
2. 権限wmimgmt.mscを構成します（スクリーンショット1）。
3. デフォルトのリポジトリを変更します。これにより、パターン攻撃のシナリオが破られる可能性があります。

4.DCOMCNFGユーティリティを介してリモート起動およびWMIアクティベーション機能を







持つユーザーのグループを変更します。5。WMI を起動するには、ユーザーは管理者またはDCOMユーザーグループのメンバーである必要があります。リモートレジストリサービスも利用可能である必要があります。



6.ファイアウォールを構成します-DCOMへの着信接続はTCPポート135および（持っていますか？）RPC動的範囲を経由します。







結論として、私は次のように言いたいと思います。WMIはリモートホストでコマンドを実行する速度、パワー、および容易さを提供し、SQLベースのコマンドセマンティクスは学習を容易にします。



インターネット上には、ハッキングとWMI攻撃に関する多くの情報があります。これらは、telnet NTPとDNSとともに、現在の攻撃傾向（ネイティブシステムハッキングツールの使用）に適合しているためです。私たちの仕事は、この傾向を捉え、システムにすでに組み込まれている反作用の方法を見つけることです。



著者：ガリウリンティムール GTRch