안전하게 이벤트 수신
임시 및 영구 소비자는 이벤트 배달을 다양한 방법으로 보호합니다.
이 항목에서 다루는 섹션은 다음과 같습니다.
- 임시 소비자 보호
- 영구 소비자 보호
- 영구 구독 보안
- Administrator-Only SD 설정
- 이벤트 공급자 ID 가장
- SID 및 영구 구독
- 도메인 계정을 사용하여 영구 구독 만들기
- 관련 항목
임시 소비자 보호
임시 소비자는 시스템이 다시 부팅되거나 WMI가 중지될 때까지 실행되지만 특정 이벤트가 발생하는 경우에는 시작할 수 없습니다. 예를 들어 SWbemServices.ExecNotificationQueryAsync에 대한 호출 시 임시 소비자가 생성됩니다.
SWbemServices.ExecNotificationQuery 또는 IWbemServices::ExecNotificationQuery 호출 시 임시 이벤트 소비자가 생성됩니다. 임시 소비자는 자신이 만든 이벤트 싱크에 이벤트를 제공하는 사용자를 제어할 수 없습니다.
ExecNotificationQuery 메서드를 동기적으로, 반동기적으로 또는 비동기적으로 호출할 수 있습니다. 예를 들어 SWbemServices.ExecNotificationQuery는 iflags 매개 변수를 설정하는 방법에 따라 반동기적으로 호출할 수 있는 동기 메서드입니다. SWbemServices.ExecNotificationQueryAsync는 비동기 호출입니다.
이러한 호출의 비동기 버전에 대한 싱크에 대한 콜백은 스크립트가 수행한 호출과 동일한 인증 수준에서 반환되지 않을 수 있습니다. 따라서 비동기 호출 대신 반동기를 사용하는 것이 좋습니다. 비동기 통신이 필요한 경우 메서드 호출 및 비동기 호출에서 보안 설정을 참조하세요.
스크립팅 구독자는 이벤트 공급자의 액세스 권한을 확인하여 스크립트에서 만든 싱크에 이벤트를 제공할 수 없습니다. 따라서 SWbemServices.ExecNotificationQuery에 대한 호출은 호출의 반동기 형식을 사용하고 특정 보안 설정을 사용하는 것이 좋습니다. 자세한 내용은 VBScript를 사용하여 반동기 호출하기를 참조하세요.
영구 소비자 보호
영구 소비자는 운영 체제를 다시 시작한 후에 유지되는 이벤트 공급자의 이벤트에 대한 영구 구독을 갖습니다. 영구 소비자를 지원하는 이벤트 공급자는 이벤트 소비자 공급자입니다. 이벤트가 발생할 때 이벤트 공급자가 실행되지 않는 경우 WMI는 이벤트를 제공해야 할 때 공급자를 시작합니다. WMI는 소비자 공급자 __Win32Provider 인스턴스를 소비자 공급자가 정의한 논리 소비자 클래스와 연결하는 __EventConsumerProviderRegistration 인스턴스에 따라 이벤트를 전달해야 할 대상인 소비자 공급자를 식별합니다. 소비자 공급자의 역할에 관한 자세한 내용은 이벤트 소비자 공급자 작성을 참조하세요.
영구 소비자는 이벤트를 보내는 사람을 제어할 수 있으며 이벤트 공급자는 이벤트에 액세스하는 사용자를 제어할 수 있습니다.
클라이언트 스크립트 및 애플리케이션은 구독의 일부로 논리 소비자 클래스의 인스턴스를 만듭니다. 논리 소비자 클래스는 이벤트에 포함된 정보, 클라이언트가 이벤트로 수행할 수 있는 작업 및 이벤트 전달 방법을 정의합니다.
WMI 표준 소비자 클래스는 논리 소비자 클래스의 역할 예제를 제공합니다. 자세한 내용은 표준 소비자를 사용하여 이벤트 모니터링 및 응답을 참조하세요.
영구 구독 보안
영구 구독은 WMI에서 보안 문제를 일으킬 가능성이 더 크므로 다음과 같은 보안 요구 사항이 있습니다.
논리 소비자 인스턴스, __EventFilter 및 __FilterToConsumerBinding 인스턴스는 CreatorSID 속성에 동일한 SID(개별 보안 식별자)가 있어야 합니다. 자세한 내용은 영구 구독의 모든 인스턴스에서 동일한 SID 유지를 참조하세요.
구독을 만드는 계정은 로컬 관리자 권한이 있는 도메인 계정 또는 로컬 관리자 그룹 계정이어야 합니다. 관리자 그룹 SID를 사용하면 네트워크에서 연결이 끊긴 경우에도 로컬 컴퓨터에서 구독을 계속 사용할 수 있습니다. 도메인 계정을 사용하면 사용자를 정확하게 식별할 수 있습니다.
그러나 컴퓨터가 연결되어 있지 않고 생성 계정이 도메인 계정인 경우 WMI가 계정의 ID를 확인할 수 없으므로 소비자가 실패합니다. 컴퓨터가 네트워크에서 연결이 끊어지는 경우 구독 실패를 방지하려면 구독에 대해 Administrators 그룹 SID를 사용합니다. 이 경우 LocalSystem 계정이 도메인의 그룹 멤버 자격 데이터에 액세스할 수 있는지 확인해야 합니다. 악의적인 구독으로 인해 큰 피해가 발생할 수 있으므로 일부 이벤트 소비자 공급자는 보안 요구 사항이 까다롭습니다. 예를 들면 표준 소비자, ActiveScriptEventConsumer 및 CommandLineEventConsumer가 있습니다.
특정 이벤트 공급자 ID의 이벤트만 허용하도록 영구 구독을 구성할 수 있습니다. __EventFilter 인스턴스의 EventAccess 속성에서 보안 설명자를 이벤트 공급자 ID로 설정합니다. WMI는 이벤트 공급자의 ID를 보안 설명자와 비교하여 WBEM_RIGHT_PUBLISH 액세스 권한이 공급자에게 있는지 확인합니다. 자세한 내용은 WMI 보안 상수를 참조하세요.
필터가 이벤트 공급자 ID에 대한 액세스를 허용하는 경우 이벤트도 신뢰합니다. 이렇게 하면 이벤트를 받은 소비자가 위임된 이벤트를 발생할 수 있습니다.
참고EventAccess의 보안 설명자에 대한 기본값은 모든 사용자에게 액세스할 수 있는 NULL입니다. 더 나은 이벤트 보안을 위해 __EventFilter의 구독 인스턴스에서 액세스를 제한하는 것이 좋습니다.
Administrator-Only SD 설정
다음 C++ 코드 예제에서는 __EventFilter 인스턴스에 관리자 전용 보안 설명자를 만듭니다. 이 예제에서는 보안 설명자 정의 언어(SDDL)을 사용하여 보안 설명자를 만듭니다. WBEM_RIGHT_SUBSCRIBE에 관한 자세한 내용은 WMI 보안 상수를 참조하세요.
// Create SD that allows only administrators
// to send events to this filter.
// The SDDL settings are O:BAG:BAD:(A;;0x80;;;BA)
// Set the EventAccess property in the
// IWbemClassObject of the __EventFilter instance.
long lMask = WBEM_RIGHT_PUBLISH;
WCHAR wBuf[MAX_PATH];
_ltow( lMask, wBuf, 16 );
HRESULT hRes = pEventFilterInstance->Put( L"EventAccess", 0,
&_variant_t( L"O:BAG:BAD:(A;;0x80;;;BA)" ), NULL );
이전 코드 예제에는 다음 참조 및 #include 문이 필요합니다.
#define _WIN32_DCOM
#include <wbemidl.h>
#include <comdef.h>
#pragma comment(lib, "wbemuuid.lib")
이벤트 공급자 ID 가장
영구 소비자는 이벤트를 처리하기 위해 이벤트 공급자를 가장해야 할 수 있습니다. 영구 소비자는 다음 조건이 있는 경우에만 이벤트 공급자를 가장할 수 있습니다.
- __FilterToConsumerBinding의 인스턴스에는 MaintainSecurityContext 속성이 True로 설정됩니다.
- 이벤트는 공급자가 이벤트를 생성할 때 있었던 것과 동일한 보안 컨텍스트에서 전달됩니다. 프로세스 내 소비자인 DLL로 구현된 소비자만 공급자의 보안 컨텍스트에서 이벤트를 받을 수 있습니다. In-process 공급자 및 소비자의 보안에 관한 자세한 내용은 공급자 호스팅 및 보안을 참조하세요.
- 이벤트 공급자가 가장을 허용하는 프로세스에서 실행 중입니다.
소비자 프로세스를 실행하는 계정에는 WMI 리포지토리(CIM 리포지토리라고도 함)에 대한 FULL_WRITE 액세스 권한이 있어야 합니다. 구독에서 __FilterToConsumerBinding, __EventConsumer 및 __EventFilter 인스턴스에는 CreatorSID 속성에 동일한 개별 SID(보안 식별자) 값이 있어야 합니다. WMI는 각 인스턴스에 대한 CreatorSID에 SID를 저장합니다.
SID 및 영구 구독
바인딩, 소비자 및 필터가 동일한 사용자에 의해 만들어지지 않으면 영구 구독이 작동하지 않습니다. 즉, __FilterToConsumerBinding, __EventConsumer 및 __EventFilter는 CreatorSID 속성에 동일한 SID(개별 보안 식별자) 값이 있어야 합니다. WMI(Windows Management Instrumentation)는 이 값을 저장합니다.
도메인 계정을 사용하여 영구 구독 만들기
도메인 계정을 사용하여 영구 구독을 만들 때 몇 가지 문제를 고려해야 합니다. 모든 영구 구독은 사용자가 로그온되지 않은 경우에도 계속 작동해야 합니다. 즉, 기본 제공 LocalSystem 계정에서 작동합니다.
도메인 사용자가 보안에 중요한 소비자(ActiveScriptEventConsumer, CommandLineEventConsumer)에 대한 영구 구독의 작성자인 경우 WMI는 __EventFilter 클래스, __FilterToConsumerBinding 클래스 및 소비자 인스턴스의 CreatorSID 속성이 로컬 Administrators 그룹의 멤버인 사용자에 속하는지 여부를 확인합니다.
다음 코드 예제에서는 CreatorSID 속성을 지정하는 방법을 보여줍니다.
instance of __EventFilter as $FILTER
{
// this is the Administrators SID in array of bytes format
CreatorSID = {1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0};
// Add filter code here ...
}
instance of ActiveScriptEventConsumer as $CONSUMER
{
CreatorSID = {1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0};
// Add consumer code here ...
}
instance of __FilterToConsumerBinding
{
CreatorSID = {1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0};
Consumer = $CONSUMER;
Filter = $FILTER;
// Add binding code here ...
}
도메인 간 상황에서는 인증된 사용자를 ‘Windows 권한 부여 액세스 그룹’에 추가합니다.
관련 항목