Устранение неполадок в WMI | Блог АДМИНИСТРАТОРА

Почему при наблюдении нужно использовать постоянные события?

Использование постоянных событий WMI – правильная стратегия, но она требует большего опыта. Несмотря на некоторую сложность, постоянные события WMI более полезны для шпионов-инсайдеров, чем временные события.

Анализ постоянных событий займет некоторое время, но они являются наиболее эффективным способом создания строгой системы мониторинга для больших систем. Они более универсальны, чем преходящие события WMI. Эти сообщения могут предупредить пользователей о необычном поведении, например, о туннелировании DNS или нарушении политики доверия.

После нескольких дней изучения постоянных событий я обнаружил, что в PowerShell есть уникальный командлет для создания фильтра событий между потребителем и фильтром. PowerShell, как мы все знаем, позволяет администраторам оптимизировать свои задачи.

К сожалению, эта иллюстрация показывает, как злоумышленники могут извлечь выгоду из этих фантастических возможностей. Пока событие не будет специально удалено, оно будет храниться там неограниченное время.

Я согласен с тем, что это кажется слишком хипстерским для типичного работника. Читая форумы, я заметил, что многие люди предпринимают тщетные попытки заставить постоянные события WMI функционировать.

Краткий обзор: что такое wmi и для чего он нужен?

Устранение неполадок в WMI | Блог АДМИНИСТРАТОРА

Формула для этого примера выглядит следующим образом: Используя WMI, вы можете, например, запросить все существенные файлы Excel в каталоге, а затем получать уведомления всякий раз, когда создается файл определенного размера, например 1 МБ. Всего одна строка PowerShell позволяет выполнить все это с помощью команды Register-WmiEvent.

W MI может быть использован для многих полезных вещей, если он попадет в правильные руки, но он также имеет потенциал для злоупотребления со стороны злоумышленников. Можно легко представить, как конкретный сотрудник использует WMI для шпионажа за своими коллегами, если у него есть привычки Эдварда Сноудена. Даже не обладая специальными техническими знаниями, он мог бы это сделать.

Допустим, наш вымышленный инсайдер “случайно” заглянул в обширные файлы Excel нашего коллеги Лекса. Наш хитрый инсайдер мог бы составить что-то вроде этого:

Configuration

  1. Нажмите кнопку Установить интеграцию на плитке Интеграция WMI.
  2. Откройте Datadog Agent Manager на сервере Windows.
  3. Измените конфигурацию проверки Wmi.
init_config:instances:- class:Win32_OperatingSystemmetrics:- [NumberOfProcesses, system.proc.count, gauge]- [NumberOfUsers, system.users.count, gauge]- class:Win32_PerfFormattedData_PerfProc_Processmetrics:- [ThreadCount, proc.threads.count, gauge]- [VirtualBytes, proc.mem.virtual, gauge]- [PercentProcessorTime, proc.cpu_pct, gauge]tag_by:Name- class:Win32_PerfFormattedData_PerfProc_Processmetrics:- [IOReadBytesPerSec, proc.io.bytes_read, gauge]tag_by:Nametag_queries:- [IDProcess, Win32_Process, Handle, CommandLine]

Пункт filter используется в конфигурации по умолчанию для ограничения получаемых метрик. Чтобы собрать метрики, либо установите фильтры на допустимые значения, либо отключите их, как показано выше.

Три элемента включены в определения метрики:

  • Свойство класса в WMI.
  • Имя метрики, отображаемое в Datadog.
  • Тип метрики.

На сервере Windows 2022 в приведенном ниже примере конфигурации отображается гораздо больше метрик.

init_config:instances:# Fetch the number of processes and users.- class:Win32_OperatingSystemmetrics:- [NumberOfProcesses, system.proc.count, gauge]- [NumberOfUsers, system.users.count, gauge]# Paging info- class:Win32_PerfFormattedData_PerfOS_Memorymetrics:- [PageFaultsPersec, system.mem.page.faults, gauge]- [PageReadsPersec, system.mem.page.reads, gauge]- [PagesInputPersec, system.mem.page.input, gauge]- [AvailableMBytes, system.mem.avail, gauge]- [CommitLimit, system.mem.limit, gauge]# Cache bytes metric for disk info- [CacheBytes, system.mem.fs_cache, gauge]# Paging file- class:Win32_PerfFormattedData_PerfOS_PagingFilemetrics:- [PercentUsage, system.mem.page.pct, gauge]tag_by:Name# Fetch the number of processes- class:Win32_PerfFormattedData_PerfOS_Systemmetrics:- [ProcessorQueueLength, system.proc.queue, gauge]- class:Win32_PerfFormattedData_PerfOS_Processormetrics:- [PercentProcessorTime, system.cpu.pct, gauge]- [PercentPrivilegedTime, system.cpu.priv.pct, gauge]- [PercentDPCTime, system.cpu.dpc.pct, gauge]- [PercentInterruptTime, system.cpu.interrupt.pct, gauge]- [DPCsQueuedPersec, system.cpu.dpc.queue, gauge]tag_by:Name# Context switches- class:Win32_PerfFormattedData_PerfProc_Threadmetrics:- [ContextSwitchesPersec, system.proc.context_switches, gauge]filters:- Name:_total/_total# Disk info- class:Win32_PerfFormattedData_PerfDisk_LogicalDiskmetrics:- [PercentFreeSpace, system.disk.free.pct, gauge]- [PercentIdleTime, system.disk.idle, gauge]- [AvgDisksecPerRead, system.disk.read_sec, gauge]- [AvgDisksecPerWrite, system.disk.write_sec, gauge]- [DiskWritesPersec, system.disk.writes, gauge]- [DiskReadsPersec, system.disk.reads, gauge]- [AvgDiskQueueLength, system.disk.queue, gauge]tag_by:Name- class:Win32_PerfFormattedData_Tcpip_TCPv4metrics:- [SegmentsRetransmittedPersec, system.net.tcp.retrans_seg, gauge]tag_by:Name

Configuration options

Начиная с версии агента 5.3, эта функция доступна.

Класс и метрика являются двумя из шести дополнительных опций для каждого запроса WMI, наряду с хостом, пространством имен, фильтрами, поставщиками, tag_by, constant_tags и tag_queries.

  • Class – это имя класса WMI, например Win32_PerfFormattedData_PerfProc_Process или Win32_OperatingSystem. Многие распространенные имена классов перечислены в документации MSDN. Многочисленные полезные счетчики производительности предоставляются по умолчанию классами Win32_FormattedData_*.

  • metrics is a list of metrics you want to capture, with each item in the
    list being a set of [<WMI_PROPERTY_NAME>, <METRIC_NAME>, <METRIC_TYPE>]:

  • Опциональная цель запроса WMI, хост, по умолчанию принимается за localhost. Перед установкой этого параметра убедитесь, что на целевом хосте включено удаленное управление. Более подробную информацию см. в разделе Настройка удаленного управления в диспетчере сервера.

  • Namespace – дополнительное пространство имен WMI для подключения (по умолчанию cimv2).

  • Filters – это список возможных фильтров запросов WMI. Например, для класса WMI, основанного на процессах, вам могут понадобиться метрики только для определенных процессов, активных на вашей машине, поэтому вы можете добавить фильтр для каждого имени процесса. Символ “%” также можно использовать в качестве подстановочного знака.

  • provider is the optional WMI provider (default to 32 on Datadog Agent 32-bit or 64). It is used to request WMI data from the non-default provider. Available options are: 32 or 64.
    See MSDN for more information.

  • Каждая метрика может быть помечена свойством из класса WMI, который вы используете, с помощью параметра tag_by. Это полезно только в том случае, если ваш WMI-запрос возвращает несколько значений.

  • При желании можно назначить набор фиксированных значений для каждой метрики с помощью тегов.

  • Вы можете указать список запросов в опции tag_queries для маркировки метрик со свойством целевого класса. Каждый элемент списка представляет собой набор [,,,], где:

    • Содержит значение ссылки
    • – класс, который нужно связать
    • – свойство целевого класса, которое нужно связать
    • Содержит значение, которое нужно пометить.

    It translates to a WMI query:
    SELECT '<TARGET_PROPERTY>' FROM '<TARGET_CLASS>' WHERE '<LINK_TARGET_CLASS_PROPERTY>' = '<LINK_SOURCE_PROPERTY>'

Events

В проверке WMI нет никаких событий.

:/>  IconPackager скачать бесплатно для Windows 10 (32/64 bit)

Full wmi repository reset

Чтобы заменить заводские настройки по умолчанию в хранилище WMI, выполните следующие действия:

winmgmt /salvagerepository

Сделайте полный сброс репозитория WMI, если это все равно не поможет.

winmgmt /resetrepository

Должно появиться сообщение “WMI Repository has been reset”. Попробуйте запустить команду снова, если это что-то другое. Вы также можете проверить “winmgmt switches” и дополнительные объяснения Microsoft.

Вы можете попробовать более старую технику, если она не подходит для ваших нужд. Создайте файл под названием “ResetWMI.cmd” со следующим текстом в нем.

Installation

Нет никаких шагов по установке, если вы просто собираете общие метрики из упакованного программного обеспечения, такого как Microsoft Windows. У вас есть несколько вариантов, если вам нужно определить новые метрики для сбора из вашего приложения:

  1. Загрузите счетчики производительности с помощью System.Diagnostics в .NET, а затем получите к ним доступ с помощью WMI.
  2. Реализуйте провайдер WMI на базе COM для вашего приложения. Обычно вы делаете это только в том случае, если используете язык, отличный от .NET.

Более подробную информацию об использовании System. Diagnostics смотрите в классе PerformanceCounter. После добавления ваша метрика должна быть доступна в WMI. Вы можете найти WMI Explorer полезным для просмотра пространств имен WMI. Используя Get-WmiObject в Powershell, вы можете найти те же данные. Просмотрите также данные в разделе Извлечение метрик WMI.

If you assign the new metric a category of My_New_Metric, the WMI path is
<ComputerName>ROOTCIMV2:Win32_PerfFormattedData_My_New_Metric

Попробуйте запустить winmgmt /resyncperf, чтобы заставить компьютер перерегистрировать библиотеки производительности в WMI, если метрика не отображается в WMI.

Metrics

Все метрики, собранные при проверке WMI, отправляются в Datadog как пользовательские метрики, что может повлиять на размер оплаты.

Overview

Используйте инструменты управления Windows Management Instrumentation (WMI) для получения метрик с серверов и приложений Windows в режиме реального времени.

  • Визуализируйте их достижения.
  • Коррелировать их активность с другими приложениями.

Примечание: Из-за значительно меньших накладных расходов и, соответственно, лучшей масштабируемости, всегда рекомендуется использовать вместо этого проверку счетчиков производительности Windows.

Service checks

В проверке WMI нет никаких служебных проверок.

Troubleshooting

Нужна поддержка? Обратитесь в службу поддержки Datadog.

Validation

Run the Agent’s status subcommand and look for wmi_check under the Checks section.

Wmi использует wimrm?

Приложения и сценарии, использующие функцию командной строки WinRM Scripting API, используются в конфигурации WMI. В операционной системе Windows данные о ресурсах можно собирать или управлять ими с помощью WMI.

Wmi объявлен устаревшим?

Хотя он был объявлен устаревшим, WMI все еще используется. Операции WMIC теперь доступны через PowerShell.

Архитектура инструментария управления windows

Устранение неполадок в WMI | Блог АДМИНИСТРАТОРА

Начиная с Windows 2000, все версии операционной системы поставляются с предустановленным набором инструментов WMI, который является компонентом операционной системы Windows. В состав WMI входят следующие компоненты:

  • Служба WMI – это реализация WMI в Windows. Этот процесс известен как ‘Windows Management Toolbox’ и является соединением между поставщиками WMI, репозиторием WMI и приложениями управления. Этот процесс запускается автоматически при включении компьютера.
  • Управляемые объекты – это любые логические или физические компоненты или службы, которые можно контролировать с помощью WMI. Такие объекты могут включать широкий спектр компонентов, поскольку WMI может получить доступ к любым параметрам или объектам, к которым имеют доступ другие инструменты Windows, например, System Monitor.
  • Провайдеры WMI – это объекты, которые отслеживают события и данные для определенного объекта. Существует множество различных типов провайдеров WMI, как общего назначения, так и специфичных для конкретного устройства. Многие из них уже встроены в Windows.
  • Провайдеры WMI используют классы WMI для отправки данных в службы WMI. Классы содержат события и свойства, которые позволяют получать и настраивать данные. Классы WMI предопределены и начинаются с двойного подчеркивания.
  • Методы, связанные с определенными классами, позволяют выполнять действия на основе данных, которые они содержат. Например, методы можно использовать для запуска и остановки процессов на удаленных компьютерах. Доступ к методам можно получить с помощью скриптов или приложений для управления сетью.
  • Репозиторий WMI – это база данных, в которой хранятся все статические данные, связанные с WMI. Динамические данные не хранятся в хранилище. Доступ к ним можно получить через класс провайдера WMI.
  • Менеджер объектов CMI – это система, которая находится между управляющим приложением и поставщиками WMI. Он запрашивает данные у этих провайдеров и затем передает их приложению.
  • WMI API выполняет эти операции и позволяет приложениям получать доступ к инфраструктуре WMI без привязки к типу используемого устройства.
  • Потребитель WMI – это устройство, которое посылает запросы к объектам через диспетчер объектов. Обычно потребителем WMI является приложение мониторинга, такое как PRTG Network Monitor, приложение управления или сценарий PowerShell.

Выполнение запросов wmi

Запуск WMIC в стандартной командной строке Windows – это самый простой способ выполнить запрос WMI. Чтобы узнать больше о процессоре локального компьютера, выполните следующие действия:

  1. Откройте командную строку
  2. Введите WMIC для вызова программы и нажмите клавишу Enter
  3. Появится окно командной строки WMIC
  4. В командной строке можно выполнять запросы WMI. Самый простой запрос — это просмотр информации о локальном процессоре, который можно выполнить с помощью следующей команды:
    WMIC CPU
  5. Результаты будут отображены в командной строке


Практически все команды, которые будут рассмотрены ниже, выполняются таким образом. Однако WMI позволяет получать гораздо более подробную информацию, чем сведения о процессоре, и в том числе от удаленных компьютеров и приложений.

:/>  Запустить диспетчер задач от имени администратора: отображать процессы всех пользователей по умолчанию

Выявление событий wmi, представляющих угрозу, с помощью sysmon и siem

В общем, вам придется смириться с тем, что события WMI уязвимы. К счастью, существуют более эффективные способы обнаружения подозрительных операций с событиями в Windows, включая постоянные события.

Познакомьтесь с Sysmon! Я не буду вдаваться в подробности об этом бесплатном инструменте для Windows, который можно загрузить. Скажу лишь, что вместо того, чтобы просматривать каждый журнал событий Windows по отдельности, вы можете получить полезные данные для анализа в одном месте.


Sysmon — удобная и понятная утилита для регистрации событий от Microsoft

Создание непрерывного события фильтра WMI получает от Sysmon идентификатор события 19, в то время как создание непрерывного события потребителя получает идентификатор события 20, а привязка WM получает идентификатор события 21. Журнал Sysmon можно найти в разделе Microsoft – Windows – Sysmon в Event Viewer.

Чтобы отслеживать постоянные события WMI, не следует вручную запускать средство просмотра событий. Почему бы не разработать фильтр постоянных событий WMI для отслеживания появления Постоянное событие WMI – это что такое?

Код для модификации этой операции можно найти в небольшом проекте на GitHub. Вот некоторый код, который можно использовать с фильтрами событий WMI для отслеживания создания. да, да. фильтр событий для wMI

$Filter = Set-WmiInstance -Namespace rootsubscription -Class __EventFilter -Arguments @{
EventNamespace = 'root/subscription'
Name = '_PersistenceEvent_'
Query = 'SELECT * FROM __InstanceCreationEvent WITHIN 5 Where TargetInstance ISA "__EventConsumer"'

QueryLanguage = 'WQL'
}

Тот факт, что доказательства скрыты в горах журналов, делает очевидным, что в этой ситуации потребуются инструменты информационной безопасности и управления событиями безопасности (SIEM). Я полагаю, вы это понимаете. Знаете ли вы, что вам понадобится?

Функции Sieme и функции дополнительных угроз объединены в инструменте анализа Sieme.

Для чего используется инструментарий управления windows

Прежде чем мы обсудим, как инсайдеры могут использовать WMI для слежки, важно отметить, что он имеет широкий спектр законных применений. Его главная цель – собрать все настройки устройств и приложений корпоративной сети. WMI полезен для:

Для каждой из этих операций, а также для интерфейса командной строки WMIC, это меню предлагает вход. Как видите, WMI имеет широкий спектр применения и позволяет просматривать и изменять широкий спектр сетевых параметров.

Интеграция netcat и wmi

Как получается, что сценарий возвращает горячую подсказку о том, что Круэлла вошла в целевой компьютер?

Вы можете поставить себе знак плюс, если поймете, что я использовал команды Netcat, упомянутые выше. Хорошо известный и легко адаптируемый инструмент под названием Netcat позволяет устанавливать соединения, хотя и не всегда в злонамеренных целях. Его можно использовать для восстановления соединения или просто для отправки сетевых сообщений. Я выбрал второй вариант.

Приведенный ниже сценарий выводит сообщение “Cruella is in” и отправляет резервное сообщение Netcat. Цель была достигнута.

Вы можете представить, как наш мошенник сбрасывает хэши на инструмент IMPacket secretsdump и запускает wmiexec для поиска еще более бесценной информации.

Код Register-WmiEvent можно запустить напрямую. Обратите внимание на отображаемый идентификатор события

Использование событий wmi для наблюдения за пользователями

Я ошибочно полагал, что являюсь единственным умным человеком, проводящим тесты на проникновение, но оказалось, что команда тестировщиков уже давно выяснила, как работает WMI. Что вы думаете о книге, которая звучит так интригующе?

В своей презентации на конференции Black Hat 2022 Мэтт Грэбер рассказывает о том, как хакеры могут использовать WMI и все его аппаратное обеспечение в качестве инструмента.

В моей сказке я представляю себе инсайдера, подобного Эдварду Сноудену, который обладает некоторыми техническими знаниями, но не глубокими хакерскими знаниями. Этот человек не знаком с WMI. Он не должен знать ничего, кроме того, что необходимо для управления компьютером, запускающим удаленные события.

Еще один интересный класс, который можно исследовать с помощью WM, – это файлы и объекты WMI. С помощью этого фундаментального объекта Windows можно определить местонахождение пользователей в системе.

Блок действий Register-WmiEvent затем можно использовать для запуска PowerShell при удаленном входе в систему. Улавливаете идею? Каждый раз, когда пользователь входит в целевую систему, злоумышленник может быть предупрежден.

Вот что я изложил:

Register-WMIEvent -Query "Select TargetInstance From __InstanceCreationEvent WITHIN 10 WHERE TargetInstance ISA 'win32_LogOnSession' AND TargetInstance.LogonType=3" –Action $action

Следующий вопрос – как запрограммировать выполнение блока сценария. В моей фантазии необычный инсайдер питает особую симпатию к Круэлле. Круэлла – объект исследования нашего злодея, и он намерен взломать ее рабочий аккаунт, используя ее рабочий аккаунт.

Задача блока сценария – определить, была ли вовлечена Круэлла. Хотя я создал несколько строк PowerShell специально для этой цели, это явно не лучший подход. Данные, которые отправляются в блок сценариев, не используются мной.

Только что я просмотрел полный список пользователей gwmi Win32_Process, который вернула сессия PowerShell. Если хотите, можете полюбоваться моим окончательным решением:

Использование функциональности wmiexec из impacket

W MI позволяет выполнять задачи, помимо управления событиями. На близких и удаленных компьютерах он может запускать процессы и выдавать команды. Попробуйте ввести команду ради интереса.

Чтобы открыть старую версию текстового редактора Microsoft в Windows XP, необходимо вызвать создание “notepad.exe” в сеансе PowerShell. Для этого используется фантастический инструмент командной строки wmic, который поставляется с каждой линейкой WMI.))) Разве это не здорово?

Я мог запустить Notepad на удаленном компьютере Windows с соответствующими разрешениями, если добавлял параметр /Node:, а затем имя машины. Важность Wmic для системных администраторов вполне естественна.

:/>  CMD. Управление пользователями в Windows. | Fun-Admin

Я знаю, что существует эквивалентный командлет PowerShell. Однако синтаксис WMI мне проще запомнить.

Скрытая оболочка, созданная wmiexec

К счастью для меня, Impacket позволяет это сделать. Я использовал свой любимый wmiexec для доступа к WMI через виртуальную машину Linux в тестовой среде Amazon. Каждый раз, когда клиент вводит команду, wmiexec предлагает создать поддельную оболочку.

Команда создается в средстве просмотра событий и выполняется удаленно инструментом wmiexec путем прямого запуска cmd.e. Обратите внимание, что мы избегаем привлекающих внимание служб Windows.

Поскольку он начинает процесс непосредственно с использования возможностей WMI, упомянутых выше, инструмент wmiexec вообще не влияет на службы. Специалисты по безопасности редко начинают с WMI при поиске потенциальных источников угроз, потому что службы обычно находятся в хорошем положении, чтобы начать искать подсказки. Отличная игра, wmiexec!

Какие порты использует wmi?

Динамические порты на порту TCP 135 включают узел SIP 1024-87537 (dinmic) и 49152-65535 (динамические порты RPC, 2008 и выше). Через встроенное ПО можно задать определенный диапазон портов для WMI.

Можно ли отключить постоянные события wmi?

И Т-специалисты могут, по крайней мере, быстро просмотреть зарегистрированные постоянные события WMI и начать изучать реальные сценарии событий на предмет признаков угроз. Вы можете считать, что WMI не нужен, поскольку являетесь опытным специалистом по ИТ-безопасности.

Вы можете попытаться отключить службу WinmgMt, которая обеспечивает работу wMI. На самом деле, это непростая задача. Мне никогда не удавалось остановить перезапуск этой службы самостоятельно.

В случае, если вы все-таки остановите его. WMI является критически важным компонентом административного программного обеспечения Windows, и если Winmgmt не работает, он не будет функционировать. Пользователи Интернета во множестве мест советуют отключить WMI. Я советую вам последовать их совету и проявить милосердие к WMI.

Перерегистрация библиотек wmi и перекомпиляция mof файлов

На одном компьютере следующий сценарий выполняет “мягкое” восстановление службы WMI (библиотеки dll и служба WMI перерегистрируются, а файлы mof загружаются). В этом случае система не изменится.

sc config winmgmt start= disabled

net stop winmgmt

cd %windir%system32wbem

for /f %%s in ('dir /b *.dll') do regsvr32 /s %%s

wmiprvse /regserver

winmgmt /regserver

sc config winmgmt start= auto

net start winmgmt

for /f %%s in ('dir /b *.mof') do mofcomp %%s

for /f %%s in ('dir /b *.mfl') do mofcomp %%s

Указанные команды можно запускать с правами администратора или просто вставив строку в командное поле. После завершения сценария систему следует перезагрузить и еще раз проверить WMI.

Пересоздание репозитория (хранилища) wmi

Вам придется прибегнуть к более экстремальному варианту восстановления службы WMI, если предыдущий метод не помог восстановить функциональность WMI.

База данных, содержащая метаданные классов, называется репозиторием WMI, и ее можно найти в каталоге %windir%System32WbemRepository. Иногда в хранилищах WMI можно найти статическую информацию о классах.

Если оживить WMI не удается, и вы подозреваете, что репозиторий WMI поврежден или не может быть создан, помните о последнем шаге.

Совет. Перестройка репозитория WMI может иногда вызывать проблемы с программным обеспечением сторонних производителей. Хотя этому нет объяснения, есть вторичный результат: все записи базы данных WMI очищаются (до состояния свежей системы). Скорее всего, для переустановки этой программы придется использовать режим восстановления.

Вы можете использовать следующую команду для проверки целостности WMI на Windows Vista и более поздних версиях:

winmgmt /verifyrepository

Попробуйте выполнить “мягкое” восстановление хранилища, если команда указывает, что база данных WMI находится в непоследовательном состоянии (INCONSISTENT):

Winmgmt /salvagerepository

Ru перезапустить службу wmi:

net stop Winmgmt
net start Winmgmt

Выполните жесткий сброс хранилища, если вышеупомянутая команда не сработала.

Winmgmt /resetrepository

Если команды WinMGMP/resetRepoint и WinMGMS/salvageRepository оказались безуспешными.

Постоянные события: советы для ит-администраторов

Устранение неполадок в WMI | Блог АДМИНИСТРАТОРА

Не информировать потенциальных хакеров или обиженных работников, желающих отомстить своему работодателю. Все, что я хочу сделать, это научить ИТ-специалистов думать как хакер, чтобы они могли использовать эти знания для защиты от попыток проникновения. Я объясняю вам, как использовать команду Set-WmiInstance, чтобы настроить для них объекты фильтра и потребителя:

Практикум по использованию событий wmi для наблюдения за системой

В этом разделе будет показано, как с помощью WMI выполнять команды и следить за процессами на удаленных компьютерах. Аналогичные методы могут быть использованы в большинстве случаев.

Автоматический мониторинг всех системных процессов

На какие явления может указывать подозрительное поведение или необычные события?

Устранение недочетов в механизме наблюдения wmi

Я хотел запустить полезную программу, которая уведомляла бы меня, когда определенный пользователь входил в систему (используя wmiexec). После этого я мог без риска взломать систему, сбросив ее учетные данные.

В этом случае мне следовало использовать параметр -noexit в командной строке PowerShell, чтобы заключить мою вульгарную и длинную команду Register-WMIEvent (ниже).

Часто задаваемые вопросы об инструментарии управления windows

Вполне реально реализовать систему наблюдения в вашей сети с помощью вышеупомянутых методов, но у вас все равно могут возникнуть вопросы о WMI. Наиболее типичные из них будут рассмотрены в этом разделе.

Заключение

W MI предоставляет администраторам мощный инструмент для наблюдения за удаленными компьютерами и процессами. Его также можно использовать для создания соглашений о мониторинге конечного пользователя (EUMA).

Оставьте комментарий

Adblock
detector