WMI 보안 개체에 대한 액세스
WMI는 표준 Windows 보안 설명자에 의존하여 WMI 네임스페이스, 프린터, 서비스 및 DCOM 애플리케이션과 같은 보안 개체에 대한 액세스를 제어하고 보호합니다. 자세한 내용은 WMI 네임스페이스에 대한 액세스를 참조하세요.
이 섹션에서 설명하는 항목은 다음과 같습니다.
보안 설명자 및 SID
WMI는 보안 개체에 액세스를 시도하는 사용자의 액세스 토큰을 개체의 보안 설명자와 비교하여 액세스 보안을 유지합니다.
사용자 또는 그룹이 시스템에 생성되면 계정에 보안 식별자(SID)가 부여됩니다. SID는 이전에 삭제된 계정과 동일한 이름으로 생성된 계정이 이전 보안 설정을 상속하지 않도록 합니다. 액세스 토큰은 SID, 사용자가 멤버인 그룹 목록 및 활성화되거나 비활성화된 권한 목록을 결합하여 생성됩니다. 이러한 토큰은 사용자가 소유한 모든 프로세스 및 스레드에 할당됩니다.
Access Control
사용자가 보안 개체를 사용하려는 경우 액세스 토큰을 개체의 보안 설명자에 있는 DACL(임의 액세스 제어 목록)과 비교합니다. DACL에는 ACE(액세스 제어 항목)라는 권한이 포함되어 있습니다. SACL(시스템 액세스 제어 목록)은 DACL과 동일한 기능을 수행하지만 보안 감사 이벤트를 생성할 수 있습니다. Windows Vista부터 WMI는 Windows 보안 로그에 감사 항목을 만들 수 있습니다. WMI 감사에 대한 자세한 내용은 WMI 네임스페이스에 대한 액세스를 참조하세요.
DACL과 SACL은 모두 WMI 리포지토리에 쓰기, 원격 액세스 및 실행, 로그온 권한을 포함하여 특정 액세스 권한이 있는 사용자를 설명하는 ACE 목록으로 구성됩니다. WMI는 이러한 ACL을 WMI 리포지토리에 저장합니다.
ACE는 허용, DACL에 대한 거부 및 시스템 감사(SACL에 대한) 등, 세 가지 유형의 액세스 수준 또는 부여/거부 권한을 보유합니다. ACE 거부는 DACL 또는 SACL에서 허용 ACE보다 우선합니다. 사용자 액세스 권한을 확인할 때 WMI는 요청하는 액세스 토큰에 적용되는 허용 ACE를 찾을 때까지 액세스 제어 목록을 통해 연속적으로 실행됩니다. 이 시점 이후에는 나머지 ACE를 확인하지 않습니다. 적절한 허용 ACE가 없으면 액세스가 거부됩니다. 자세한 내용은 DACL의 ACE 순서 및 DACL 만들기를 참조하세요.
액세스 보안 변경
적절한 권한이 있으면 스크립트 또는 애플리케이션을 사용하여 보안 개체에 대한 보안을 변경할 수 있습니다. WMI 컨트롤을 사용하거나 네임스페이스에 대한 클래스를 정의하는 MOF(Managed Object Format) 파일에 SDDL(보안 설명자 정의 언어) 문자열을 추가하여 WMI 네임스페이스의 보안 설정을 변경할 수도 있습니다. 자세한 내용은 WMI 네임스페이스에 대한 액세스, WMI 네임스페이스 보안 및 보안 개체에 대한 액세스 보안 변경을 참조하세요.
관련 항목