Le procedure riportate di seguito descrivono come utilizzare un account non amministratore per WMI.
Appartenenza a gruppi, assegnazioni policy di sicurezza e autorizzazioni
- Creare un account utente di dominio utilizzato nell'ambiente per la raccolta dei registri.
- Creare un gruppo di dominio che riceva i diritti di cui ha bisogno l'utente della raccolta WMI.
Nota: Assegnare sempre le autorizzazioni a un gruppo di domini, anziché direttamente a un utente.
- Inserire l' utente della raccolta WMI in questo gruppo appena creato.
- Inserire il gruppo di raccolta WMI appena creato nei seguenti gruppi di domini:
- Reader registro eventi
- Utenti COM distribuiti
- Eseguire uno dei seguenti tre snap-in di Microsoft Management Console (MMC):
- Lo snap-in (secpol.msc) della policy di sicurezza locale per i server membri.
- Lo snap-in Policy di (dompol.msc) sicurezza del dominio predefinito, se si desidera configurare queste impostazioni a livello di dominio come oggetto Criteri di gruppo.
- Lo snap-in (dcpol.msc) impostazioni di protezione del controller di dominio predefinito, se si desidera assegnare i diritti solo ai controller di dominio.
- Quando lo snap-in è stato avviato, espandere impostazioni di protezione, policy locali, assegnazione dei diritti utente.
- Assegnare al nuovo gruppo almeno i seguenti diritti:
- Agire come parte del sistema operativo.
- Effettuare l'accesso come processo batch.
- Accedere come servizio.
- Sostituire un token a livello di processo.
- Il Windows Server 2012 o versioni successive: Gestisci registro di verifica e di protezione.
- Chiudere l'utilità Impostazioni Policy.
Assegnazioni di diritti di Distributed Component Object Model (DCOM)
Attenersi alla procedura riportata di seguito per configurare la sicurezza DCOM per il gruppo di raccolta WMI:
- Fare clic su Start, strumenti di amministrazione, Servizi componenti.
- Espandere root console, computer, risorse del computer.
- Fare clic con il pulsante destro del mouse su risorse del computer e selezionare Proprietà.
- Nella finestra visualizzata, fare clic sulla scheda protezione com .
- In autorizzazioni di accesso, fare clic su Modifica limiti.
- Verificare che il gruppo Distributed COM Users disponga di tutti gli elementi selezionati in Consenti.
- Opzionale Aggiungere il gruppo di raccolta WMI a questo elenco e assicurarsi che dispongano di accesso consentito completo.
Nota: Questo passaggio è facoltativo perché il gruppo di raccolta WMI è in genere già membro degli utenti com distribuiti.
- Dopo aver verificato la presenza di utenti com distribuiti o aver aggiunto il gruppo di raccolta WMI, fare clic su OK per salvare le modifiche e tornare alla scheda protezione com.
- In autorizzazioni di avvio e attivazione, fare clic su Modifica limiti.
- Nell'elenco dei gruppi e delle autorizzazioni, verificare che il gruppo Distributed COM Users disponga di tutti gli elementi selezionati in Consenti.
- Opzionale Aggiungere il gruppo di raccolta WMI e assegnare l'accesso Consenti completo.
Nota: Questo passaggio è facoltativo perché il gruppo di raccolta WMI è in genere già membro degli utenti com distribuiti.
- Fare clic su OK e salvare le modifiche.
- Chiudere l'utilità Servizi componenti .
Assegnazioni di sicurezza dello spazio dei nomi WMI
Attenersi alla procedura riportata di seguito per impostare la sicurezza dello spazio dei nomi WMI in modo che il gruppo di raccolta WMI disponga dell'accesso agli oggetti WMI:
- Fare clic su Start, Esegui, digitare wmimgmt.msc e fare clic su OK.
- Fare clic con il pulsante destro del mouse su controllo WMI (locale) e scegliere Proprietà.
- Fare clic sulla scheda protezione .
- Fare clic su sicurezza nella parte inferiore della finestra. Questa azione modifica le impostazioni di protezione per lo spazio dei nomi WMI principale.
- Fare clic su Avanzate e modificare le impostazioni di protezione avanzate per lo spazio dei nomi WMI.
- Aggiungere il gruppo di raccolta WMI all'elenco e assegnargli almeno le seguenti autorizzazioni di autorizzazione:
- Metodi Execute
- Attiva account
- Attiva remota
- Leggi la sicurezza
Nota: Assicurarsi che queste autorizzazioni siano valide per questo spazio dei nomi e tutti gli spazi dei nomi sotto di esso. Selezionare questo spazio dei nomi e i sottospazi dei nomi nel riquadro a discesa sopra la finestra elenco autorizzazioni.
- Fare clic su OK e salvare le nuove autorizzazioni.
- Fare nuovamente clic su OK e chiudere le impostazioni di protezione avanzate.
- Fare clic su OK una terza volta e uscire dalle proprietà di sicurezza.
Per Windows Server 2012 o versione successiva, aggiungere l'autorizzazione per leggere il registro di sicurezza:
- Aprire il prompt dei comandi con accesso amministratore.
- Per ottenere il SID per il gruppo che si sta utilizzando per le autorizzazioni SIEM, eseguire il comando: wmic group where name=”yourgroup” get sid
- Per ottenere il valore corrente channelAccess per le autorizzazioni per il registro di sicurezza, eseguire il comando: wevtutil gl security
- Utilizzando entrambi i valori sopra riportati, eseguire il comando: wevutil sl security /ca:[channelAccess value](A;;0x7;;;[SID])
- Verifica il channelAccess valore per verificare se contiene i risultati previsti per comando: wevtutil gl security
- Applicare le modifiche eseguendo il comando: gpupdate /force
- Aprire regedit e passare HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security a per assegnare al gruppo le autorizzazioni di lettura a questa chiave e a tutte le sottochiavi.
Esempio:
C:\Windows\system32>wmic group where name="siem log reader" get sid
SID
S-1-5-21-2714243513-2981656821-964208712-1125
C:\Windows\system32>wevtutil gl security
name: security
enabled: true
type: Admin
owningPublisher:
isolation: Custom
channelAccess: O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)
logging:
logFileName: %SystemRoot%\System32\Winevt\Logs\security.evtx
retention: false
autoBackup: false
maxSize: 134217728
publishing:
fileMax: 1
C:\Windows\system32>wevtutil sl security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x7;;;S-1-5-21-2714243513-2981656821-964208712-1125)
C:\Windows\system32>wevtutil gl security
name: security
enabled: true
type: Admin
owningPublisher:
isolation: Custom
channelAccess: O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x7;;;S-1-5-21-2714243513-2981656821-964208712-1125)
logging:
logFileName: %SystemRoot%\System32\Winevt\Logs\security.evtx
retention: false
autoBackup: false
maxSize: 134217728
publishing:
fileMax: 1
Ora è possibile utilizzare l'utente della raccolta WMI per raccogliere gli eventi da WMI senza dover utilizzare i diritti di amministratore di dominio.