Anzeige
System Ereignisanzeige, Warnung WMI 63
Anzeige
ttoelle66
Moderator a.D.
Hallo GANJiN,
Zitat zur Fehlerbeschreibung: Das WMI-Provider-Subsystem führt einzelne Provider auf speziellen COM-Servern je nach der erforderlichen Sicherheitsstufe aus. Nur Administratoren können Provider registrieren und ihre erforderliche Sicherheitsstufe konfigurieren. Für die Verwendung des Kontos "LocalSystem" sollten nur vertrauenswürdige Provider konfiguriert werden. Diese Warnung verhält sich wie ein Überwachungsdatensatz, um anzuzeigen, dass der Provider mit den Berechtigungen des Kontos "LocalSystem" ausgeführt wird.
Oft steht in der Beschreibung der Warnung, welches Programm/Software dafür verantwortlich ist: z.B. Beschreibung:
Der Provider "OffProv11" wurde im WMI-Namespace "Root\MSAPPS11" für die Verwendung des Kontos "LocalSystem" registriert. Dieses Konto ist mit Berechtigungen ausgestattet. Der Provider verursacht eventuell eine Sicherheitsverletzung, wenn er die Benutzeranforderungen nicht korrekt imitiert.
Das sieht dann im Log in etwa so aus:
Bitte stelle einmal per copy and paste die Ereignisdetails von der XML-Ansicht ein. Möglicherweise haben wir dann einen Anhaltspunkt! Siehe Screen
Zitat zur Fehlerbeschreibung: Das WMI-Provider-Subsystem führt einzelne Provider auf speziellen COM-Servern je nach der erforderlichen Sicherheitsstufe aus. Nur Administratoren können Provider registrieren und ihre erforderliche Sicherheitsstufe konfigurieren. Für die Verwendung des Kontos "LocalSystem" sollten nur vertrauenswürdige Provider konfiguriert werden. Diese Warnung verhält sich wie ein Überwachungsdatensatz, um anzuzeigen, dass der Provider mit den Berechtigungen des Kontos "LocalSystem" ausgeführt wird.
Oft steht in der Beschreibung der Warnung, welches Programm/Software dafür verantwortlich ist: z.B. Beschreibung:
Der Provider "OffProv11" wurde im WMI-Namespace "Root\MSAPPS11" für die Verwendung des Kontos "LocalSystem" registriert. Dieses Konto ist mit Berechtigungen ausgestattet. Der Provider verursacht eventuell eine Sicherheitsverletzung, wenn er die Benutzeranforderungen nicht korrekt imitiert.
Das sieht dann im Log in etwa so aus:
Log Name: Application
Source: Microsoft-Windows-WMI
Date: 12/27/2008 11:33:34 PM
Event ID: 63
Task Category: None
Level: Warning
Keywords: Classic
User: SYSTEM
Computer: XXXXXXXX
Description:
A provider, OffProv11, has been registered in the Windows Management Instrumentation namespace Root\MSAPPS12 to use the LocalSystem account. This account is privileged and the provider may cause a security violation if it does not correctly impersonate user requests.
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-WMI" Guid="{1edeee53-0afe-4609-b846-d8c0b2075b1f}" EventSourceName="WinMgmt" />
<EventID Qualifiers="32768">63</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2008-12-28T04:33:34.000Z" />
<EventRecordID>268</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>Application</Channel>
<Computer>XXXXXX</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData>
<Data>OffProv11</Data>
<Data>Root\MSAPPS12</Data>
</EventData>
</Event>
Source: Microsoft-Windows-WMI
Date: 12/27/2008 11:33:34 PM
Event ID: 63
Task Category: None
Level: Warning
Keywords: Classic
User: SYSTEM
Computer: XXXXXXXX
Description:
A provider, OffProv11, has been registered in the Windows Management Instrumentation namespace Root\MSAPPS12 to use the LocalSystem account. This account is privileged and the provider may cause a security violation if it does not correctly impersonate user requests.
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-WMI" Guid="{1edeee53-0afe-4609-b846-d8c0b2075b1f}" EventSourceName="WinMgmt" />
<EventID Qualifiers="32768">63</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2008-12-28T04:33:34.000Z" />
<EventRecordID>268</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>Application</Channel>
<Computer>XXXXXX</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData>
<Data>OffProv11</Data>
<Data>Root\MSAPPS12</Data>
</EventData>
</Event>
Bitte stelle einmal per copy and paste die Ereignisdetails von der XML-Ansicht ein. Möglicherweise haben wir dann einen Anhaltspunkt! Siehe Screen
Anhänge
Anzeige