Applies ToMicrosoft Office Basic Edition 2003 Microsoft Office Small Business Edition 2003 Microsoft Office Professional Edition 2003
Симптомы
После запуска Microsoft 7.0 сведения системе (MSInfo32.exe) при просмотре журнала приложений в средстве просмотра событий может быть один или несколько экземпляров предупреждение 63 код события:
Тип события: предупреждениеИсточник события: WinMgmtКатегория события: нетКод события: 63
Date:DateTime:TimeПользователь: имя_пользователяКомпьютер:Computer_name описание
Поставщик OffProv11, был зарегистрирован в пространстве имен WMI, Root\MSAPPS11, чтобы использовать учетную запись LocalSystem. Эта учетная запись является привилегированным и поставщик может вызвать нарушение безопасности, если не удастся олицетворить запрос пользователя.
Дополнительные сведения см. в центре справки и поддержки по адресу http://support.microsoft.com.
Примечание. Поставщик инструментария управления Windows (WMI) — это программный компонент, который действует как посредник между компонент хранения общей информационной модели (CIM) и управляемый объект. Поставщик обрабатывает запросы данных для управляемого объекта и отправляет данные из управляемого объекта компонент диспетчера объектов CIM (CIMOM).
Причина
Эта проблема возникает, если выполняются следующие условия:
-
Пакет обновления 1 (SP1) для Microsoft Office 2003 или выпуска 2007 системы Microsoft Office работают в Microsoft Windows XP Пакет обновления 2 (SP2)-на компьютере.
-
Вы вошли в систему с учетной записью с повышенными правами, например учетной записи администратора.
Это предупреждение создается из-за обновления, включенные в Windows XP SP2. Это предупреждение создается при запуске экземпляра поставщика OffProv11.
При попытке настроить службу, чтобы использовать более ограниченную учетную запись, так как OffProv11 поставщик уже настроен на использование SelfHost не рекомендуется. Кроме того поставщик OffProv11 должен быть настроен так, чтобы использовать учетную запись LocalSystem, поскольку поставщик OffProv11 интерактивной службы.
Статус
Данное поведение является особенностью.
Дополнительные сведения
Подсистема поставщик WMI выполняет отдельные поставщики определенного COM-серверов на основе их уровня безопасности. Только администраторы могут регистрировать поставщики и настроить уровень безопасности и только надежные поставщики должны быть настроены на использование учетной записи «Локальный компьютер». Это событие предупреждения ведет себя как запись аудита, чтобы указать, что поставщик работает с правами учетной записи LocalSystem.
Некоторые изменения WMI, включенные в Windows XP SP2 предназначены для уменьшения проблем, которые могут возникнуть при загрузке этих моделей размещения поставщики различных размещения моделей. Различных узлов может включать Microsoft IIS (IIS), служба Windows или службой предприятия. Для запуска поставщика, каждый узел запускает новый процесс, который называется WMIPRVSE. Процесс WMIPRVSE загружает Фактические поставщик. При использовании разных моделей размещения, используя разные учетные записи Windows запускается процесс WMIPRVSE. Таким образом поставщик, который загружается, такого как поставщик OffProv11 пытается загрузить Mngcli.exe, используя эти различные учетные данные для доступа к общей памяти.
Безопасность WMI
Безопасность WMI основана на пространство имен безопасности.
В инфраструктуре WMI поддерживает список пользователей, имеющих доступ к определенным пространством имен. Этот список можно установить с помощью приложения WMI или с помощью сценария. Пространство имен безопасности можно также изменить с помощью компонента управления WMI. Для получения дополнительных сведений о настройке безопасности пользователей WMI и о настройке безопасности пространства имен WMI посетите следующие веб-узлы корпорации Майкрософт.
Настройка безопасности пользователя
http://technet2.microsoft.com/windowsserver/en/library/089bfd2f-f476-4bfb-ad01-6768b645a2941033.mspx?mfr=trueНастройка безопасности пространства имен
http://msdn2.microsoft.com/en-us/library/aa393613.aspx
Настройки DCOM
Проверка подлинности и олицетворение параметр является безопасность DCOM. Проверка подлинности означает, что один процесс должен идентифицировать себя для другого процесса. Как правило проверка подлинности использует идентификатор пароля. Диапазон уровней проверки подлинности DCOM из «без проверки подлинности» до «-пакет зашифрованной проверки подлинности.» Олицетворение определяет полномочия, что клиент предоставляет серверу для вызова различных процессов. Во время проверки безопасности сервер олицетворяет клиента, запрашивающего доступ к конкретному ресурсу. DCOM олицетворение находятся в диапазоне от «не Идентификация» для «полного делегирования».
Общий процесс на узле поставщика
WMI находится в узле общие службы с другими службами. Чтобы избежать остановки всех служб, когда поставщик не выполняется, поставщики, загружаются в отдельный хост-процесса с именем Wmiprvse.exe. Может быть запущено несколько процессов с таким именем. Каждый процесс запускается под другой учетной записью безопасности.
Размещения общих можно запустить в одном из следующих учетных записей в процесс Wmiprvse.exe узла:
-
«Локальный компьютер»
-
Сетевая служба
-
LocalService
-
LocalSystemHostOrSelfHost
Учетной записи «Локальный компьютер»
Учетная запись LocalSystem имеет Стандартная учетная запись, используется диспетчер управления службами (SCM). Эта учетная запись не является подсистемой безопасности. Имеет широкие права на локальном компьютере и соответствует компьютеру в сети. Его маркер безопасности содержит NT AUTHORITY\SYSTEM код безопасности (SID) и идентификатор SID «BUILTIN\Администраторы». Эти учетные записи имеют доступ к большинству объектов операционной системы. — Имя учетной записи во всех языковых стандартах «. \LocalSystem.» Имя учетной записи «LocalSystem» или «Имя_компьютера\LocalSystem» также можно использовать. Эта учетная запись не имеет пароля. При указании учетной записи LocalSystem в вызов функции CreateService , предоставленная вами информация любой пароль игнорируется.
Служба, которая выполняется в контексте учетной записи LocalSystem наследует контекст безопасности диспетчера управления службами. SID пользователя создается из значения SECURITY_LOCAL_SYSTEM_RID. Эта учетная запись не связаны с любой учетной записи вошедшего в систему пользователя. Такое поведение имеет следующие последствия для безопасности:
-
Куст реестра HKEY_CURRENT_USER связан с пользователя по умолчанию, а не текущего пользователя. Для доступа к профилю другого пользователя, олицетворять пользователя и затем получить доступ к кусту реестра HKEY_CURRENT_USER.
-
Эту службу можно открыть куст реестра HKEY_LOCAL_MACHINE\SECURITY.
-
Эта служба предоставляет учетные данные компьютера удаленным серверам.
-
Если эта служба запускается из командной строки и запускает пакетный файл, вошел в систему текущий пользователь может остановить этот пакетный файл, нажав CTRL + C. Вошел в систему текущий пользователь получит доступ к командной строке, запущенной с разрешения «локальный компьютер».
Нужна дополнительная помощь?
Нужны дополнительные параметры?
Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.
Уважаемый, Евгений
Я хочу поделиться со всеми вами историей, которая случилась со мной и может представлять интерес для всех, кто использует криптовалюты и технологии безопасности. Меня зовут Игорь, я житель города Славгород в Алтайском крае России.
12 июля 2023 года я стал жертвой кражи криптовалюты в размере 1,32605552 BTC. У меня был доступ к моему кошельку только на бумажном носителе, а также через Kaspersky Password Manager, где были сохранены 12 секретных слов для доступа к кошельку в приложении Trust Wallet на моем iPhone XS Max. Удивительным образом, мои средства были переведены на другой кошелек, несмотря на то, что я не получал никаких фишинговых или спам-писем. Касперский предложил обратиться в полицию, чтобы начать официальное расследование, что я и сделал. Уголовное дело было возбуждено, но, к моему сожалению, Kaspersky не отвечает на запросы полиции.
Я убежден, что в этом деле замешаны сотрудники Kaspersky, так как у меня есть аналогичный кошелек на другом iPhone с такими же секретными словами в Trust Wallet, но без использования Kaspersky Password Manager, и на нем мои средства остаются невредимыми.
Мне очень важно, чтобы другие пользователи узнали об этой мошеннической схеме, чтобы не стать ее жертвами. Для меня потерянные средства имеют огромное значение, и я поэтому обращаюсь к вам за поддержкой и советом. Может быть, кто-то из вас сталкивался с подобной ситуацией и сможет поделиться своим опытом и советами.
Спасибо за внимание и понимание.
Игорь.
Windows 10: WMI Event ID 63 Warning in Event Viewer
Discus and support WMI Event ID 63 Warning in Event Viewer in Windows 10 Drivers and Hardware to solve the problem; Hi all,On the 7.7.2022 DD.MM.YY my Reliability Monitor listed an update which was performed «Intel — SoftwareComponent — 2130.1.15.0». I frequently…
Discussion in ‘Windows 10 Drivers and Hardware’ started by jay_959, Jul 11, 2022.
-
WMI Event ID 63 Warning in Event Viewer
Hi all,On the 7.7.2022 DD.MM.YY my Reliability Monitor listed an update which was performed «Intel — SoftwareComponent — 2130.1.15.0». I frequently check the Event Viewer for any Errors etc. This time the mentioned Event ID 63 with the Description:»A provider, IntelMEProv, has been registered in the Windows Management Instrumentation namespace root\Intel_ME to use the LocalSystem account. This account is privileged and the provider may cause a security&n
-
I keep getting Event ID 63 — WMI — Provider: IntelMEProv
Yesterday my pc updated a driver called: Intel — SoftwareComponent — 2130.1.15.0 .When I restarted my PC today I got this warning:
Source: WMI
Event ID: 63
A provider, IntelMEProv, has been registered in the Windows Management Instrumentation namespace root\Intel_ME to use the LocalSystem account. This account is privileged and the provider may cause a security violation if it does not correctly impersonate user requests.
Is this something to be concerned about? or I can just ignore it? This warning only shows up when I restart my PC, when shutting down it doesn’t show up on my event viewer
edit: I think I managed to stop the warnings, by restoring a system restore point before the update
-
Powershell and WMI Event IDs
Deepika,
there is no issue I’m experiencing. I only need list of event IDs possible for Powershell and WMI on any Windows version.
Thanks!
WMI Event ID 63 Warning in Event Viewer
-
WMI Event ID 63 Warning in Event Viewer — Similar Threads — WMI Event Warning
-
WMI Warning Event 63
in Windows 10 Gaming
WMI Warning Event 63: Hello,PC Freezes and have to hard reboot.Getting error in eventvwr: A provider, IntelMEProv, has been registered in the Windows Management Instrumentation namespace root\Intel_ME to use the LocalSystem account. This account is privileged and the provider may cause a security… -
WMI Warning Event 63
in Windows 10 Software and Apps
WMI Warning Event 63: Hello,PC Freezes and have to hard reboot.Getting error in eventvwr: A provider, IntelMEProv, has been registered in the Windows Management Instrumentation namespace root\Intel_ME to use the LocalSystem account. This account is privileged and the provider may cause a security… -
What is this WMI warning with event id 63 for?
in Windows 10 Gaming
What is this WMI warning with event id 63 for?: I recently gave my laptop for measuring and applying skins for it ,When I received it back and checked the application logs it showed a WMI warning with event ID 63 with the warning stating that «A provider, IntelMEProv, has been registered in the Windows Management… -
What is this WMI warning with event id 63 for?
in Windows 10 Software and Apps
What is this WMI warning with event id 63 for?: I recently gave my laptop for measuring and applying skins for it ,When I received it back and checked the application logs it showed a WMI warning with event ID 63 with the warning stating that «A provider, IntelMEProv, has been registered in the Windows Management… -
WMI Event ID 63 Warning in Event Viewer
in Windows 10 Gaming
WMI Event ID 63 Warning in Event Viewer: Hello i getting the warning right before my pc freeze it mostly freeze in the game Satisfactory but saw it freeze in FiveM too Specs:4070 I7-14700KF the rma one after bios update64gb ddr4 ram 3200mobo Z690 Pro A Wifi DDR4 Msiand i running the game from Samsung 980 pro nvme… -
WMI Event ID 63 Warning in Event Viewer
in Windows 10 Software and Apps
WMI Event ID 63 Warning in Event Viewer: Hello i getting the warning right before my pc freeze it mostly freeze in the game Satisfactory but saw it freeze in FiveM too Specs:4070 I7-14700KF the rma one after bios update64gb ddr4 ram 3200mobo Z690 Pro A Wifi DDR4 Msiand i running the game from Samsung 980 pro nvme… -
Warning Event 63 WMI
in Windows 10 Gaming
Warning Event 63 WMI: Hello Microsoft Community,I recently performed a clean install on my laptop and updated all the drivers from the manufacturer’s website. However, I’m encountering WMI event 63 warnings every time I restart Windows. Does anyone know how to resolve this issue?Thanks in advance… -
WMI Event ID 63 Warning in Event Viewer
in Windows 10 Gaming
WMI Event ID 63 Warning in Event Viewer: Hi all,On the 7.7.2022 DD.MM.YY my Reliability Monitor listed an update which was performed «Intel — SoftwareComponent — 2130.1.15.0». I frequently check the Event Viewer for any Errors etc. This time the mentioned Event ID 63 with the Description:»A provider, IntelMEProv,… -
WMI Event ID 63 Warning in Event Viewer
in Windows 10 Software and Apps
WMI Event ID 63 Warning in Event Viewer: Hi all,On the 7.7.2022 DD.MM.YY my Reliability Monitor listed an update which was performed «Intel — SoftwareComponent — 2130.1.15.0». I frequently check the Event Viewer for any Errors etc. This time the mentioned Event ID 63 with the Description:»A provider, IntelMEProv,…
-
Windows Support Forums
-
General Support
You should upgrade or use an alternative browser.
IntelMEProv WMI Warning
-
Thread starter
Thread starterPzSniper
-
Start date
Start date
- Local time
- 8:25 AM
- Posts
- 3
- OS
- Windows 11
-
-
#1
I’m running Windows 11 (OS Build 22000.348) and i’ve clean installed it from Windows 10 but i’ve started to receive this warning in event log
Log Name: Application Source: Microsoft-Windows-WMI Date: 30/11/2021 15:21:47 Event ID: 63 Task Category: None Level: Warning Keywords: User: SYSTEM Computer: Pz-DESKTOP Description: A provider, IntelMEProv, has been registered in the Windows Management Instrumentation namespace root\Intel_ME to use the LocalSystem account. This account is privileged and the provider may cause a security violation if it does not correctly impersonate user requests. Event Xml: http://schemas.microsoft.com/win/2004/08/events/event»> 63 2 3 0 0 0x8000000000000000 6456 Application Pz-DESKTOP http://manifests.microsoft.com/win/2006/windows/WMI»> IntelMEProv root\Intel_ME
My system specs
Core i9 9900k
Asus ROG Strix Z390-F Gaming updated to latest bios 2004
Intel Management Engine Interface 2120.100.0.1085(SW 2134.15.0.2422) For Windows 10/11 64-bit
Can you help me please?
My Computer
-
- OS
- Windows 11
- Computer type
- PC/Desktop
- Manufacturer/Model
- Asus
- CPU
- i9 9900k
- Motherboard
- Asus ROG Strix Z390-F Gaming
- Memory
- 32 GB DDR4
- Graphics Card(s)
- Asus Strix RTX 2070S
- Sound Card
- On board
- Monitor(s) Displays
- —
- Screen Resolution
- 1080×1920
-
-
#2
My Computers
-
- OS
- Windows 11 Pro 24H2 26100.3775
- Computer type
- PC/Desktop
- Manufacturer/Model
- Dell Optiplex 7080
- CPU
- i9-10900 10 core 20 threads
- Motherboard
- DELL 0J37VM
- Memory
- 32 gb
- Graphics Card(s)
- none-Intel UHD Graphics 630
- Sound Card
- Integrated Realtek
- Monitor(s) Displays
- Benq 27
- Screen Resolution
- 2560×1440
- Hard Drives
- 1tb Solidigm m.2 nvme+256gb SKHynix m.2 nvme /External drives 512gb Samsung m.2 sata+1tb Kingston m2.nvme+ 4gb Solidigm nvme
- PSU
- 500w
- Case
- MT
- Cooling
- Dell Premium
- Keyboard
- Logitech wired
- Mouse
- Logitech wireless
- Internet Speed
- so slow I’m too embarrassed to tell
- Browser
- #1 Edge #2 Firefox
- Antivirus
- Defender+MWB Premium
-
- Operating System
- Windows 11 Pro 24H2 26100.3775
- Computer type
- PC/Desktop
- Manufacturer/Model
- Dell Optiplex 9020
- CPU
- i7-4770
- Motherboard
- stock Dell
- Memory
- 24 gb
- Graphics card(s)
- integrated
- Sound Card
- integrated
- Monitor(s) Displays
- Benq 27
- Screen Resolution
- 2560×1440
- Hard Drives
- 256 gb Toshiba BG4 M.2 NVE SSB and 1 tb hdd
- PSU
- 500w
- Case
- MT
- Cooling
- Dell factory
- Mouse
- Logitech wireless
- Keyboard
- Logitech wired
- Internet Speed
- still too embarrassed to tell
- Browser
- Firefox
- Antivirus
- Defender
-
-
#3
You can remove warning from journal:
This is a reg file that will keep warnings with this particular code from showing up.
Just save the file as a .REG and double click and it will activate.
To re enable warning, just change
«Enabled»=dword:00000000
to
«Enabled»=dword:00000001
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\DefenderApiLogger\{1edeee53-0afe-4609-b846-d8c0b2075b1f}]
"Enabled"=dword:00000000
"EnableLevel"=dword:00000000
"Status"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\DefenderApiLogger\{1edeee53-0afe-4609-b846-d8c0b2075b1f}\Filters]
"Enabled"=dword:00000000
"EventIdFilterIn"=dword:00000001
"EventIds"=hex:0b,00,16,00,e5,16,17,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\WMI\Autologger\EventLog-Application\{1edeee53-0afe-4609-b846-d8c0b2075b1f}]
"Enabled"=dword:00000000
"EnableLevel"=dword:00000000
"LoggerName"="EventLog-Application"
"MatchAnyKeyword"=hex(b):00,00,00,00,00,00,00,80
"MatchAllKeyword"=hex(b):00,00,00,00,00,00,00,00
"EnableProperty"=dword:00000001
"Status"=dword:00000000Last edited:
My Computer
-
- OS
- Windows 11 Pro
- Computer type
- PC/Desktop
- CPU
- Intel® Core™ i9-12900K Desktop Processor 16 (8P+8E)
- Motherboard
- Asus TUF Gaming Z790-PLUS WIFI D4
- Memory
- G.Skill Ripjaws V Series 32gb (2x16gb) DDR4 3200mhz
- Graphics Card(s)
- Asus Dual Geforce Rtx™ 3060 TI Edition 8gb Gddr6
- Monitor(s) Displays
- BenQ EW3270U 31.5” 3840×2160 UHD 16:9 HDR LED 4K LG 27UK850-W 27» 4K UHD IPS LED Monitor with HDR10
- Screen Resolution
- 3840×2160
- Hard Drives
- Samsung 990 with heatsink PRO PCIe 4.0 Gen 4 NVMe® SSD 1TB
WD_BLACK SN850X NVMe M.2 2280 1TB PCI-Express 4.0
Crucial T500 2TB Gen4
Samsung 970 Evo M.2 2280 2tb Pcie Gen3. X4
- PSU
- Corsair AXi Series AX860i Digital 860W 80 PLUS PSU
- Case
- Fractal Meshify C ATX Mid Tower Case
- Keyboard
- Logi MX Keys
- Mouse
- Logi M705
- Internet Speed
- 400 mbs
- Browser
- Firefox
- Antivirus
- Eset NOD32
- Other Info
- Love fast boots
-
-
#4
Hi,I’m running Windows 11 (OS Build 22000.348) and i’ve clean installed it from Windows 10 but i’ve started to receive this warning in event log
Log Name: Application Source: Microsoft-Windows-WMI Date: 30/11/2021 15:21:47 Event ID: 63 Task Category: None Level: Warning Keywords: User: SYSTEM Computer: Pz-DESKTOP Description: A provider, IntelMEProv, has been registered in the Windows Management Instrumentation namespace root\Intel_ME to use the LocalSystem account. This account is privileged and the provider may cause a security violation if it does not correctly impersonate user requests. Event Xml: http://schemas.microsoft.com/win/2004/08/events/event»> 63 2 3 0 0 0x8000000000000000 6456 Application Pz-DESKTOP http://manifests.microsoft.com/win/2006/windows/WMI»> IntelMEProv root\Intel_ME
My system specs
Core i9 9900k
Asus ROG Strix Z390-F Gaming updated to latest bios 2004
Intel Management Engine Interface 2120.100.0.1085(SW 2134.15.0.2422) For Windows 10/11 64-bitCan you help me please?
I think the Log has issued a warming that is saying the user group «SYSTEM» is running/registered as high privilege/admin user rights in a LocalSystem Account . LocalSystem Account is not generally recognised as being high privilege. You can choose to ignore this warning or try and find the program that is registering as a WMI provider.
EDIT: I see, the provider in question is IntelMEProv. This is representing Intel Manageability Engine (IME) , which in turn is part of an Intel-based motherboard.
So, it looks like you got some software that is querying the IME with elevated privileges. Dunno if that helps you in any way.
My Computers
-
- OS
- Windows 11
- Computer type
- PC/Desktop
- CPU
- AMD Ryzen 5 5600
- Motherboard
- MSI B550-A Pro
- Memory
- 16 GB
- Graphics Card(s)
- Sapphire Radeon RX 6500XT (8 GB version)
- Monitor(s) Displays
- BenQ Mobuiz EX2710Q QHD, Iiyama ProLite X23377HDS
- Hard Drives
- MSI Spatium M461 4TB
-
- Operating System
- Windows 11
- Computer type
- Laptop
- Manufacturer/Model
- Acer A114
- CPU
- Intel Celeron N4020
- Local time
- 6:25 PM
- Posts
- 342
- OS
- Windows 11 — Release Preview channel
-
-
#7
My Computer
-
- OS
- Windows 11 — Release Preview channel
- Computer type
- PC/Desktop
- Manufacturer/Model
- Kol’s custom ROG
- CPU
- Intel 13900K
- Motherboard
- Asus ROG Maximus Hero Z790
- Memory
- Corsair Dominator Platinum RGB 32GB DDR5 6000MHz
- Graphics Card(s)
- Gigabyte 4090 Gaming OC
- Sound Card
- SoundBlaster X-AE5
- Monitor(s) Displays
- Dell Alienware AW3821DW
- Screen Resolution
- 3840×1600 144hz
- Hard Drives
- Samsung 980 Pro 500GB
860 EVO’s
Samsung 990 Pro 2TB
External RAID enclosure — 2x Seagate 3TB HDD
- PSU
- Seasonic Prime Ultra 1300W Platinum
- Case
- Phanteks Eclipse P600S
- Cooling
- Custom water cooling. EK Velocity (CPU), EK Quantum Vector2 (GPU), EK Quantum D5 Pump, 360mm radiator in case + 560mm external radiator
- Keyboard
- Corsair K100
- Mouse
- Logitech G502X
- Antivirus
- Windows Defender, VBS
-
-
#8
I’m getting the same Event 63 multiple times per day. It would be nice to understand exactly what this warning means…
Like we were discussing — this warning may be caused by a piece of software running elevated privileges in a local system account.
You can try find out which software is causing the warning. The clue is that it polls the motherboard for information.
My Computers
-
- OS
- Windows 11
- Computer type
- PC/Desktop
- CPU
- AMD Ryzen 5 5600
- Motherboard
- MSI B550-A Pro
- Memory
- 16 GB
- Graphics Card(s)
- Sapphire Radeon RX 6500XT (8 GB version)
- Monitor(s) Displays
- BenQ Mobuiz EX2710Q QHD, Iiyama ProLite X23377HDS
- Hard Drives
- MSI Spatium M461 4TB
-
- Operating System
- Windows 11
- Computer type
- Laptop
- Manufacturer/Model
- Acer A114
- CPU
- Intel Celeron N4020
- Local time
- 2:25 AM
- Posts
- 9,531
- OS
- Windows 11 Pro x64
-
-
#9
My Computers
-
- OS
- Windows 11 Pro x64
- Computer type
- PC/Desktop
- Manufacturer/Model
- DIY Photoshop/Audio/Game/tinker build
- CPU
- Intel i9 13900KS P/E cores 5.7/4.4 GHz, cache 5.0 GHz
- Motherboard
- Asus ROG Maximus Z790 Dark Hero
- Memory
- 96GB (2×48) G.skill Ripjaws 6800 MT/s
- Graphics Card(s)
- Asus ROG Strix 4070 Ti OC
- Sound Card
- Bowers & Wilkins 606 S3 speakers; Audiolabs 7000a integrated amp; Logan Martin Sub; Creative Pebble Pro Minimilist
- Monitor(s) Displays
- Eizo CG2730 ColorEdge, ViewSonic VP2768
- Screen Resolution
- 2560 x 1440p x 2
- Hard Drives
- WDC SN850X 4TB nvme, SN850 1TB nvme, SK-Hynix 2 TB P41 nvme,. Sabrent USB-C DS-SC5B 5-bay docking station: 6TB WDC Black, 6TB Ironwolf Pro; 2x 2TB WDC Black HDD
- PSU
- 850W Seasonic Vertex PX-850 ATX 3.0/PCI-E 5.0
- Case
- Fractal Design North XL Mesh, Black Walnut
- Cooling
- EKWB 360 Nucleus Dark AIO w/Phanteks T30-120 fans, 1 Noctua NF-A14 Chromax case fan, 1 T30-120 fan cooling memory
- Keyboard
- Keychron Q3 Max TKL with custom GMK Redsuns Red Samuri keycaps, TX Stabs
- Mouse
- Logitech G305 wireless gaming
- Internet Speed
- 500 Mb/s down, 12 Mb/s up
- Browser
- Firefox
- Antivirus
- Defender, Macrium Reflect X
- Other Info
- Runs hot. LOL. SP: P116/E93/M93
Phangkey Amaterasu V2 Desk Mat
-
- Computer type
- Laptop
- Manufacturer/Model
- Apple 13″ Macbook Pro 2020 (m1)
- CPU
- Apple M1
- Screen Resolution
- 2560×1600
- Browser
- Firefox
- Local time
- 6:25 PM
- Posts
- 342
- OS
- Windows 11 — Release Preview channel
-
-
#10
Like we were discussing — this warning may be caused by a piece of software running elevated privileges in a local system account.
You can try find out which software is causing the warning. The clue is that it polls the motherboard for information.
Where is the clue that it polls the motherboard?
My Computer
-
- OS
- Windows 11 — Release Preview channel
- Computer type
- PC/Desktop
- Manufacturer/Model
- Kol’s custom ROG
- CPU
- Intel 13900K
- Motherboard
- Asus ROG Maximus Hero Z790
- Memory
- Corsair Dominator Platinum RGB 32GB DDR5 6000MHz
- Graphics Card(s)
- Gigabyte 4090 Gaming OC
- Sound Card
- SoundBlaster X-AE5
- Monitor(s) Displays
- Dell Alienware AW3821DW
- Screen Resolution
- 3840×1600 144hz
- Hard Drives
- Samsung 980 Pro 500GB
860 EVO’s
Samsung 990 Pro 2TB
External RAID enclosure — 2x Seagate 3TB HDD
- PSU
- Seasonic Prime Ultra 1300W Platinum
- Case
- Phanteks Eclipse P600S
- Cooling
- Custom water cooling. EK Velocity (CPU), EK Quantum Vector2 (GPU), EK Quantum D5 Pump, 360mm radiator in case + 560mm external radiator
- Keyboard
- Corsair K100
- Mouse
- Logitech G502X
- Antivirus
- Windows Defender, VBS
-
-
#11
Where is the clue that it polls the motherboard?
Here, extracted from the warning message: «A provider, IntelMEProv, has been registered in the Windows Management Instrumentation namespace …» . As @geneo states, it is probably the Intel Management Engine WMI Provider, as that program uses IntelMEProv .
My Computers
-
- OS
- Windows 11
- Computer type
- PC/Desktop
- CPU
- AMD Ryzen 5 5600
- Motherboard
- MSI B550-A Pro
- Memory
- 16 GB
- Graphics Card(s)
- Sapphire Radeon RX 6500XT (8 GB version)
- Monitor(s) Displays
- BenQ Mobuiz EX2710Q QHD, Iiyama ProLite X23377HDS
- Hard Drives
- MSI Spatium M461 4TB
-
- Operating System
- Windows 11
- Computer type
- Laptop
- Manufacturer/Model
- Acer A114
- CPU
- Intel Celeron N4020
- Local time
- 2:25 AM
- Posts
- 9,531
- OS
- Windows 11 Pro x64
-
-
#12
Here, extracted from the warning message: «A provider, IntelMEProv, has been registered in the Windows Management Instrumentation namespace …» . As @geneo states, it is probably the Intel Management Engine WMI Provider, as that program uses IntelMEProv .
I didnt say probably. It definetly is. i tracked it down once when installing the management engine software.
My Computers
-
- OS
- Windows 11 Pro x64
- Computer type
- PC/Desktop
- Manufacturer/Model
- DIY Photoshop/Audio/Game/tinker build
- CPU
- Intel i9 13900KS P/E cores 5.7/4.4 GHz, cache 5.0 GHz
- Motherboard
- Asus ROG Maximus Z790 Dark Hero
- Memory
- 96GB (2×48) G.skill Ripjaws 6800 MT/s
- Graphics Card(s)
- Asus ROG Strix 4070 Ti OC
- Sound Card
- Bowers & Wilkins 606 S3 speakers; Audiolabs 7000a integrated amp; Logan Martin Sub; Creative Pebble Pro Minimilist
- Monitor(s) Displays
- Eizo CG2730 ColorEdge, ViewSonic VP2768
- Screen Resolution
- 2560 x 1440p x 2
- Hard Drives
- WDC SN850X 4TB nvme, SN850 1TB nvme, SK-Hynix 2 TB P41 nvme,. Sabrent USB-C DS-SC5B 5-bay docking station: 6TB WDC Black, 6TB Ironwolf Pro; 2x 2TB WDC Black HDD
- PSU
- 850W Seasonic Vertex PX-850 ATX 3.0/PCI-E 5.0
- Case
- Fractal Design North XL Mesh, Black Walnut
- Cooling
- EKWB 360 Nucleus Dark AIO w/Phanteks T30-120 fans, 1 Noctua NF-A14 Chromax case fan, 1 T30-120 fan cooling memory
- Keyboard
- Keychron Q3 Max TKL with custom GMK Redsuns Red Samuri keycaps, TX Stabs
- Mouse
- Logitech G305 wireless gaming
- Internet Speed
- 500 Mb/s down, 12 Mb/s up
- Browser
- Firefox
- Antivirus
- Defender, Macrium Reflect X
- Other Info
- Runs hot. LOL. SP: P116/E93/M93
Phangkey Amaterasu V2 Desk Mat
-
- Computer type
- Laptop
- Manufacturer/Model
- Apple 13″ Macbook Pro 2020 (m1)
- CPU
- Apple M1
- Screen Resolution
- 2560×1600
- Browser
- Firefox
- Local time
- 2:25 AM
- Posts
- 9,531
- OS
- Windows 11 Pro x64
-
-
#15
Okee-doke :):
I saw IntelMEProv was a software class (see link in previous post), so maybe accessible from a SDK API somewhere? If that was so, it could be accessed from another s/w . But who is going to write another program when Intel have already provided one? 99.9% chances are you and @Zardoc have found the correct program at fault here.
Intel Management Engine (IME) is part of the Intel software/firmware that allows for remote IT provisioning and gathering information about the computer at a very low level (through the chipset firmware). I believe the WMI provider provides the ability to get information on the IME through Windows WMI API. That is all.
My Computers
-
- OS
- Windows 11 Pro x64
- Computer type
- PC/Desktop
- Manufacturer/Model
- DIY Photoshop/Audio/Game/tinker build
- CPU
- Intel i9 13900KS P/E cores 5.7/4.4 GHz, cache 5.0 GHz
- Motherboard
- Asus ROG Maximus Z790 Dark Hero
- Memory
- 96GB (2×48) G.skill Ripjaws 6800 MT/s
- Graphics Card(s)
- Asus ROG Strix 4070 Ti OC
- Sound Card
- Bowers & Wilkins 606 S3 speakers; Audiolabs 7000a integrated amp; Logan Martin Sub; Creative Pebble Pro Minimilist
- Monitor(s) Displays
- Eizo CG2730 ColorEdge, ViewSonic VP2768
- Screen Resolution
- 2560 x 1440p x 2
- Hard Drives
- WDC SN850X 4TB nvme, SN850 1TB nvme, SK-Hynix 2 TB P41 nvme,. Sabrent USB-C DS-SC5B 5-bay docking station: 6TB WDC Black, 6TB Ironwolf Pro; 2x 2TB WDC Black HDD
- PSU
- 850W Seasonic Vertex PX-850 ATX 3.0/PCI-E 5.0
- Case
- Fractal Design North XL Mesh, Black Walnut
- Cooling
- EKWB 360 Nucleus Dark AIO w/Phanteks T30-120 fans, 1 Noctua NF-A14 Chromax case fan, 1 T30-120 fan cooling memory
- Keyboard
- Keychron Q3 Max TKL with custom GMK Redsuns Red Samuri keycaps, TX Stabs
- Mouse
- Logitech G305 wireless gaming
- Internet Speed
- 500 Mb/s down, 12 Mb/s up
- Browser
- Firefox
- Antivirus
- Defender, Macrium Reflect X
- Other Info
- Runs hot. LOL. SP: P116/E93/M93
Phangkey Amaterasu V2 Desk Mat
-
- Computer type
- Laptop
- Manufacturer/Model
- Apple 13″ Macbook Pro 2020 (m1)
- CPU
- Apple M1
- Screen Resolution
- 2560×1600
- Browser
- Firefox
-
-
#16
Intel Management Engine (IME) is part of the Intel software/firmware that allows for remote IT provisioning and gathering information about the computer at a very low level (through the chipset firmware). I believe the WMI provider provides the ability to get information on the IME through Windows WMI API. That is all.
Cool . I’m with you on that.
I did however have a rummage round, and I discovered that Intel does let the programmer access it’s API via C++ and C# developments with their AMT SDK . Fat chance anyone has written such s/w.
Lets hope the O.P. comes back to clarify their situation.
My Computers
-
- OS
- Windows 11
- Computer type
- PC/Desktop
- CPU
- AMD Ryzen 5 5600
- Motherboard
- MSI B550-A Pro
- Memory
- 16 GB
- Graphics Card(s)
- Sapphire Radeon RX 6500XT (8 GB version)
- Monitor(s) Displays
- BenQ Mobuiz EX2710Q QHD, Iiyama ProLite X23377HDS
- Hard Drives
- MSI Spatium M461 4TB
-
- Operating System
- Windows 11
- Computer type
- Laptop
- Manufacturer/Model
- Acer A114
- CPU
- Intel Celeron N4020
Similar threads
-
Windows Support Forums
-
General Support
The WMI provider subsystem runs individual providers in specific COM servers based on their required security level. Only administrators can register providers and configure their required security level, and only trusted providers should be configured to use the LocalSystem account. This Warning event behaves as an audit record to indicate that the provider is running with the permissions of the LocalSystem account.
Some of the WMI changes that are included in Windows XP SP2 are designed to help reduce issues that might occur between different hosting models when these hosting models load providers. Different hosts might include Microsoft Internet Information Services (IIS), a Windows service, or an enterprise service. To start a provider, each host starts a new process that is named WMIPRVSE. The WMIPRVSE process loads the actual provider. When you use different hosting models, the WMIPRVSE process is started by using different Windows credentials. Therefore, the provider that is loaded, such as the OffProv11 provider, tries to load Mngcli.exe to gain access to shared memory by using these different credentials.
WMI security
WMI security is based on namespace security.
The WMI infrastructure maintains a list of users who have access to a specific namespace. You can set this list by using a WMI application or by using script. You can also change namespace security by using the WMI Control component. For additional information about how to set WMI user security or about how to set WMI namespace security, visit the following Microsoft Web sites.
Setting user security
Setting namespace security
DCOM configuration
DCOM security is an authentication and impersonation setting. Authentication means that one process identifies itself to another process. Typically, authentication uses password identification. DCOM authentication levels range from «no authentication» to «per-packet encrypted authentication.» Impersonation identifies the authority that a client grants a server to call different processes. During a security verification, the server impersonates the client who requests access to the particular resource. DCOM impersonation levels range from «no identification» to «full delegation.»
Shared provider host process
WMI resides in a shared service host with several other services. To avoid stopping all the services when a provider fails, providers are loaded into a separate host process named Wmiprvse.exe. More than one process with this name can be running. Each process can run under a different account with different security.
The shared host can run under one of the following accounts in a Wmiprvse.exe host process:
- LocalSystem
- NetworkService
- LocalService
- LocalSystemHostOrSelfHost
The LocalSystem account
The LocalSystem account is a predefined local account that is used by the service control manager (SCM). This account is not recognized by the security subsystem. It has extensive permissions on the local computer, and acts as the computer on the network. Its security token includes the NT AUTHORITY\SYSTEM security ID (SID) and the BUILTIN\Administrators SID. These accounts have access to most of the operating system objects. The name of the account in all locales is «.\LocalSystem.» The name, «LocalSystem» or «ComputerName\LocalSystem» can also be used. This account does not have a password. If you specify the LocalSystem account in a call to the CreateService function, any password information that you provide is ignored.
A service that runs in the context of the LocalSystem account inherits the security context of the SCM. The user SID is created from the SECURITY_LOCAL_SYSTEM_RID value. This account is not associated with any logged-on user account. This behavior has the following security implications:
- The HKEY_CURRENT_USER registry hive is associated with the default user, and not the current user. To access another user’s profile, impersonate that user, and then access the HKEY_CURRENT_USER registry hive.
- This service can open the HKEY_LOCAL_MACHINE\SECURITY registry hive.
- This service presents the computer’s credentials to remote servers.
- If this service starts a command prompt and runs a batch file, the currently logged-on user could stop this batch file by pressing CTRL+C. The currently logged-on user would then have access to a command prompt that is running under LocalSystem permissions.