WinMgmtの警告
たか
警告の意味と対処方法が分ればお教え下さい。
BlackICE、ウイルスバスター2008、Windows Defenderなどに引っかからなかったので気になります。
(イベントビューアの警告は2件続けて1秒違いで記録されていました)
警告のプロパティでの表示内容は次の通りです。
日付、時刻、ユーザー、コンピュータは省略。
ソース: WinMgmt 、 分類: なし、 種類: 警告、 イベントID: 63 。
(説明)
プロバイダOffProv11 は LocalSystem アカウントを使うために WMI 名前空間
Root\MSAPPS11
に登録されました。 このアカウントは特権があり、プロバイダがユーザー要求を正しく偽装しない場合は
セキュリティ違反が起こる可能性があります。
・「登録されました」とはどこに登録されたのでしょうか。(\MSAPPS11が見付からない)
・「特権があり」とはどのようなことに対する特権なのでしょうか。
・「プロバイダがユーザー要求を正しく偽装しない場合」の意味が何のことか分りません。
・セキュリティ対応ソフトに引っかからなかったのにはどんなことが考えられますか。
JR K Yoshikawa
システム インストール後 イベント ID 63 および ID 5603 が記録されることがある
http://support.microsoft.com/kb/886203/ja
"たか" <jpa...@microsoft.com> wrote in message news:OLPZtlUX...@TK2MSFTNGP04.phx.gbl...
たか
しかし、「記録されることがある」ということですがJR K Yoshikawaさんはこれをどのようにして調べられた
のでしょうか? (WinXPの作りのいい加減さにはいささかがっかりしましたが今後の対応の参考に)
今回はいままでにないサイトへアクセスした直後に警告表示が出てきたので問題含みかと思いました。
本当に問題があるのか偽のメッセージなのかをどうやって見分けろと言うのでしょうか。
(今回は前の投稿直後にCドライブを復元してしまいました)
最近Windows Defenderが停止してしまう不具合に気付いてアイコンをタスクトレイに常駐させるように
設定変更しました。(BlackICEも停止させられるがこちらはアイコン表示が変わるのですぐに判る)
このようなトラブルについてはどこを調べると良いのでしょうか、昨年末からの懸案事項です。
"JR K Yoshikawa" <yosh...@ameritech.net> wrote in message
news:%23bmwIJW...@TK2MSFTNGP04.phx.gbl...
JR K Yoshikawa
> のでしょうか?
上記の質問の意味がよく理解できません。
これ、 とは何を指すのでしょうか?
技術文書自体を指すのでしょうか?
それとも WMI サービスは WMI プロバイダ が LocalSystem アカウントで実行される、 と言うことを指すのでしょうか?
あるいは 別の事柄を指すのでしょうか?
> WinXPの作りのいい加減さにはいささかがっかりしましたが
これは、 何を持って判断されていますか。
> 本当に問題があるのか偽のメッセージなのかをどうやって見分けろと言うのでしょうか。
前回の投稿時に提示したものよりも、
下記の情報のほうがより正確な内容のようです。
Office 2003 から Microsoft システム情報のプログラムを起動するとイベント ID 63 が発生する
http://support.microsoft.com/kb/891642/ja
基本的には、 Event log と サードパーティー の セキュリティ ソフトウェア、
Router、 それぞれの log を監視しておくと言うことになると思います。
> 最近Windows Defenderが停止してしまう不具合に気付いてアイコンをタスクトレイに常駐させるように
> 設定変更しました。(BlackICEも停止させられるがこちらはアイコン表示が変わるのですぐに判る)
> このようなトラブルについてはどこを調べると良いのでしょうか、昨年末からの懸案事項です。
>
Windows Defender に関しては、
下記の News Group を利用されるとよろしいと思います。
(General questions)
Windows Defender newsgroup
http://www.microsoft.com/athome/security/spyware/software/newsgroups/default.mspx
BlackICE に関しては、 その BlackICE の サポート、
もしくは その ユーザ グループ などが妥当だと思います。
"たか" <jpa...@microsoft.com> wrote in message news:%23tVq%23GdXI...@TK2MSFTNGP06.phx.gbl...
たか
>> のでしょうか?
>
> 上記の質問の意味がよく理解できません。
> これ、 とは何を指すのでしょうか?
>> WinXPの作りのいい加減さにはいささかがっかりしましたが
>
> これは、 何を持って判断されていますか。
技術文書の表現が曖昧なことです。 技術文書の「記録されることがある」もいいですが、これでは
ユーザは判断に困るのではないでしょうか。 JR K Yoshikawaさんはどうしてこれを紹介したのですか。
今回の場合はシステム インストール後のことでもないし、新しく紹介された「Office
2003 から Microsoft
システム情報のプログラムを起動すると・・・」にも該当しません。(インターネット接続中に発生)
エラー メッセージだけから原因を探そうとすればエラー メッセージの出る可能な状況を並べないと
一部だけの提示では判断がつかない場合がほとんどでしょう。
(関連事項を明確にしておくことが重要だが技術文書886203では1つの事柄だけしか説明していない)
と受け取りました。 本当に問題があるのか偽のメッセージなのかをどうやって見分けるか問題。
"JR K Yoshikawa" <yosh...@ameritech.net> wrote in message
news:%23gu8amv...@TK2MSFTNGP03.phx.gbl...
JR K Yoshikawa
Windows の Event log に関しては、
Microsoft サポート オンライン の 技術情報、
http://support.microsoft.com/
Microsoft の Events and Errors Message Center
http://www.microsoft.com/technet/support/ee/ee_advanced.aspx
を利用すると、 多くの場合、何らかの情報を得ることができます。
またEvent ID を 基にせず、 環境と現象 を基に
関連 Technology に関する情報を
Microsoft Technet、 Microsoft MSDN の いずれかの文書を検索することによっても
情報を得られる場合もあります。
私は、 ”インターネット接続中に発生” という記述が、 今ひとつよく理解できませんが、
(Microsoft Office 関連の Process が一切稼動していないことを確認していると言うことでしょうか?)
Microsoft の Events and Errors Message Center
にあった、
http://www.microsoft.com/technet/support/ee/transform.aspx?ProdName=Windows Operating
System&ProdVer=5.2&EvtID=63&EvtSrc=WinMgmt&LCID=1033
と言う情報は如何でしょうか。
あと
> 今回はいままでにないサイトへアクセスした直後に
と言うことであれば、 念のため SiteAdvisor なども導入しておくよいかもしれません。
以下
http://www.microsoft.com/technet/support/ee/transform.aspx?ProdName=Windows Operating
System&ProdVer=5.2&EvtID=63&EvtSrc=WinMgmt&LCID=1033
からの引用
Explanation
The Windows Management Instrumentation (WMI) provider subsystem runs individual providers within specific COM servers based on
their required security level. Only administrators are allowed to register providers and configure their required security level,
and only trusted providers should be configured to use LocalSystem. This warning message is an audit record indicating that the
provider is running with the privileges of the LocalSystem account.
User Action
Verify that the provider is trusted and requires the privileges of the LocalSystem account.
If the provider is not trusted, change the hosting model to either LocalServiceHost or NetworkServiceHost by changing the
HostingModel property of the _Win32Provider instance for the specific provider. To do this, use Cscript to run the following script
after modifying the namespace and provider variables to match those reported in the message.
' Change the hosting model for a WMI provider
computer = “.”
namespace = “root\cimv2”
provider = “ProviderName”
const wbemNotFound = &h80041002
Set objWMIService = GetObject(“winmgmts:\\“ & computer & “\” & namespace)
Set colSWbemObjectSet = objWMIService.ExecQuery(“select * from __Win32Provider where name = '“ & provider & “'”)
count = 0
for each providerObj in colSwbemObjectSet
wscript.echo “Changing hosting model for provider ” & provider & “ in “ & namespace & ” namespace”
wscript.echo “Old value: “ & providerObj.HostingModel
' Use NetworkServiceHost for providers that need remote access to other machines
' Use LocalServiceHost for providers that do not need remote access
providerObj.HostingModel = “LocalServiceHost”
providerObj.Put_
wscript.echo “New value: “ & providerObj.HostingModel
count = count + 1
next
if (count = 0) then
wscript.echo “Provider “ & provider & “ not found in “ & namespace & “ namespace.”
end if
If the provider depends upon the higher privileges of the LocalSystem account, it might not function correctly with the lower
privilege. Note that some providers included with Windows require LocalSystem to operate correctly.
For more information about provider hosting and security, see the MSDN
"たか" <jpa...@microsoft.com> wrote in message news:ucNuZV0X...@TK2MSFTNGP05.phx.gbl...
たか
実は「Microsoft サポート オンライン の 技術情報」だけを見て後を読まずにペンディングにしていました。
(サポート オンラインでの検索の仕方を今まで調べていなかったことも一因ですが)
(私用で外出しなければならず、優先度を下げていました。 すみません)
Events and Errors Message Center、eventid.netほかの情報ありがとうございます。
今日(2/2)見たらイベント ログの記録が消えてしまっていました。(原因不明)
前のレスで「 WMI サービスは WMI プロバイダ が LocalSystem アカウントで実行される」という内容が
分らなかったのでネット検索したらWMI サービスの説明が出てきましたがこれも情報量が多いので
ペンディングにしていました。(基礎知識が不足しているので勉強の必要性を痛感しました)
今回の件はWMI サービスに関係した問題のように感じましたがこちらがもっと情報収集や勉強などを
しなければいけないようなので今回はこれで一旦、決着にしたいと思います。
(紹介頂いたEvents and Errors Message CenterやMicrosoft Technetの記事が)
(当たっているように思いますが対応できるまでに時間がかかります)
> 私は、 ”インターネット接続中に発生” という記述が、 今ひとつよく理解できませんが、
> (Microsoft Office 関連の Process が一切稼動していないことを確認していると言うことでしょうか?)
Microsoft Office 2003/97をインストールしていますが自分ではOfficeでの作業をしていないので
稼動うんぬんは調べていません。(スタートアップに入ってくるものは外しています)
私のOffice使用はExceでの表作成lだけで他は外部からのOffice文書を読み書きするためだけの
使用です。
"JR K Yoshikawa" <yosh...@ameritech.net> wrote in message
news:uspKMo9X...@TK2MSFTNGP03.phx.gbl...
JR K Yoshikawa
Clear log とか 何らかの操作を実行されていないのであれば、
Event Viewer の 各カテゴリ の Properties で 一定期間経つと Overwrite するか、
あるいは 一定の容量に達すると Overwrite する設定にしているためではありませんか?
> Microsoft Office 2003/97をインストールしていますが自分ではOfficeでの作業をしていないので
> 稼動うんぬんは調べていません。(スタートアップに入ってくるものは外しています)
>
> 私のOffice使用はExceでの表作成lだけで他は外部からのOffice文書を読み書きするためだけの
> 使用です。
実際には Internet 閲覧中に Component が呼び出されるような Site にアクセスしているとか、
Office に 同梱されている IME を使っているとか、
Outlook の Component を使っていると言うことではありませんか?
"たか" <jpa...@microsoft.com> wrote in message news:e3PN3oQZ...@TK2MSFTNGP02.phx.gbl...