10 лучших инструментов мониторинга Windows Management Instrumentation (WMI)

Инструментарий управления Windows (WMI) является компонентом всех версий Windows начиная с Windows 2000. Это интерфейс, через который приложения могут отправлять уведомления пользователю компьютера..

Это часть всех вкусов Windows, в том числе Windows Server. Эта возможность не ограничивается служебными программами Microsoft и элементами операционной системы. Любой разработчик программного обеспечения может включить уведомления WMI в программу.

Если у вас нет времени, чтобы прочитать весь пост, вот наш список десяти лучших инструментов мониторинга WMI:

1. Монитор SolarWinds WMI с монитором сервера и приложений (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ) Специализируйте монитор WMI как часть монитора сервера и приложений, который работает на Windows Server.
2. Сервисный датчик Paessler WMI с PRTG Монитор WMI интегрирован в систему PRTG «три в одном», которая контролирует сети, серверы и приложения. Работает на Windows Server.
3. Sapien WMI Explorer Глубокий монитор WMI и Powershell для технически подкованных.
4. Нагиос XI Доступна комплексная система мониторинга сети с подключаемыми модулями WMI. Работает на Windows и Linux.
5. WMI Explorer Бесплатный браузер данных WMI доступен на GitHub.
6. Adrem Бесплатные инструменты WMI Бесплатный просмотрщик данных WMI и менеджер журналов событий.
7. Hyena WMI Inventory Reporting Tool Часть пакета анализа операционной системы. Этот инструмент обладает большими возможностями сбора данных.
8. NirSoft Простой WMI Viewer Средство просмотра данных WMI с интерфейсом сценариев.
9. Говерлан WMIX Бесплатный сборщик данных WMI со встроенным ассемблером запросов WQL.
10. Powershell WMI Explorer Сборщик данных WMI, который использует Powershell для получения информации.

Как работает WMI?

Механизм WMI основан на принципах, разработанных Целевая группа по распределенному управлению (DMTF) которые были определены в двух опубликованных протоколах:  Управление предприятием через Интернет (WBEM) и Общая информационная модель (CIM). По сути, они позволяют фоновым задачам проходить через постоянно работающую среду рабочего стола, включая подпрограмму проверки сообщений в программе управления рабочим столом среды..

Рутина предоставляет услугу, которая немного похожа на систему «ямок». Приложения, которые хотят, чтобы их уведомления отображались на рабочем столе, помещают их в определенную область памяти. Когда программа Desktop возвращается к точке, которая указывает ей проверять наличие сообщений, все ожидающие уведомления будут поочередно обрабатываться и отображаться на расширяемой панели справа на рабочем столе..

Проблемы с WMI

Область рабочего стола, которая содержит «опубликованные» уведомления, называется Центр событий. После обработки всех сообщений на рабочем столе появляется предупреждение для пользователя, информирующее о наличии уведомлений на боковой панели. Дизайн значка, который дает доступ к Центру действий, также изменяется, чтобы показать наличие непрочитанных уведомлений. Этот значок представляет собой квадратный речевой пузырь, который является пустым, если нет непрочитанных уведомлений, и сплошным, если таковые имеются. Эти два способа общения не обязательно позволять пользователю видеть эти уведомления.

Центр действий не виден постоянно, поэтому сообщения читаются только в том случае, если пользователь решил открыть боковую панель. Умышленно или из-за забвения, пользователь может никогда не открыть Центр действий и поэтому никогда не сможет прочитать эти уведомления. Контекстное меню на значке уведомлений на панели задач также позволяет пользователю сбрасывать уведомления из Центра поддержки независимо от того, были ли они прочитаны или нет..

Использование сообщений WMI является полезным каналом «не забывай меня» для разработчиков коммерческого программного обеспечения, а также возможность для веб-сайтов отправлять уведомления через WMI через WBEM. Это означает, что система уведомлений немного перегружена как метод напоминания потенциальным клиентам о доступности продукта. Это стало важным маркетинговым каналом. Поскольку люди склонны сопротивляться продажам, они привыкли к преимуществам Центра действий. Он может быть полон «спама», поэтому пользователи нередко регулярно удаляют уведомления в Центре действий, не читая ни одного из них, во многом так, как они удаляют все содержимое барахло папка в их почтовой системе.

Использует для WMI

Игнорирование сообщений Action Center является позором, особенно в коммерческих ситуациях. WMI используется рядом важных бизнес-приложений, и даже функции сетевого администрирования отправляют уведомления WMI. Например, SNMP можно настроить для обработки предупреждений в Центре действий через WMI. Так, Вы могли бы использовать WMI намного эффективнее чтобы помочь вам управлять вашей сетью, а также предупреждать конечных пользователей об ошибках на своих устройствах.

WMI включает в себя API, и если у вас есть поддержка программирования, вы можете использовать эту систему для связи с конечными пользователями через оповещения. Тем не менее, для того, чтобы изменить культуру и побудить пользователей отказаться от своих предубеждений против Центра действий как пустая трата времени, вам нужно отфильтровать нерелевантные сообщения и маркетинговые уловки.

Инструменты WMI

Вы можете использовать уведомления WMI для получения информации на вашем компьютере, сервере или в вашей сети, если вы можете правильно фильтровать и управлять этими сообщениями. К сожалению, Центр действий не содержит никаких элементов управления. Однако на рынке есть ряд полезных помощников WMI, которые могут помочь вам использовать информацию, содержащуюся в уведомлениях WMI, без необходимости разбираться со спамом..

В следующих разделах объясняются преимущества каждого из этих инструментов.

Лучшие инструменты мониторинга WMI

1. Монитор SolarWinds WMI с монитором сервера и приложений (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ)

SolarWinds производит ряд превосходных инструментов мониторинга инфраструктуры и Монитор сервера и приложений включает утилиту мониторинга WMI. Тем не менее, это платный продукт, и вы можете просто получить экспертизу SolarWinds WMI, загрузив бесплатный монитор WMI. бесплатная утилита не вырезано из монитора сервера и приложений. Это совершенно отдельный программный продукт, разработанный с нуля, как отдельная утилита.

Этот инструмент работает во всех средах Windows и постоянно бесплатен для использования. Инструмент контролирует только один сервер, но его не нужно устанавливать на тот же сервер, если компьютер, на котором вы запускаете это программное обеспечение, подключен к сети..

Этот инструмент будет направлять уведомления WMI только из коммерчески полезных приложений: Active Directory, SharePoint, Exchange Server, Информационные службы Интернета, и SQL Server. Таким образом, это сразу же исключает множество ненужных уведомлений о спаме. Настройка для фильтрации и управления уведомлениями является немного технической и вы можете настроить уведомления, если вы понимаете, как работают токены WMI. Вы даже можете написать свои собственные сценарии, если у вас есть возможности программирования. Однако, если у вас нет времени на все это, вы можете просто использовать шаблоны, которые поставляются с инструментом.

SolarWinds работает онлайн-форум для своего сообщества пользователей. Это называется колотить и любой может получить к нему доступ – вам не нужно платить или покупать продукты у SolarWinds. Вы можете получить дополнительные шаблоны для монитора WMI от пользователей THWACK бесплатно.  Шаблоны изменяют процедуры сбора уведомлений монитора. Они действуют как фильтры, а также генерируют оповещения на основе количества и частоты сообщений, а также комбинаций уведомлений. По сути, шаблоны являются базой знаний WMI Monitor, и они будут предоставлять вам индивидуальные, соответствующие предупреждения без необходимости написания сценариев. Вы можете оценить Сервер & Монитор приложений на 30-дневная бесплатная пробная версия.

Сервер SolarWinds & Монитор приложенийСкачать 30-дневную бесплатную пробную версию

2. Сервисный датчик Paessler WMI с PRTG (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ)

Paessler не производит много отдельных автономных инструментов. Вместо этого он отправляет один монолитный пакет, называемый PRTG Сетевой монитор, тот охватывает все мыслимые полезности что вы могли бы хотеть для мониторинга сетей, серверов и приложений. Этот бампер содержит серию «датчиков.«Функциональность PRTG зависит от датчиков, которые вы активируете. Итак, если вам нужен сетевой монитор, вы покупаете PRTG и включаете датчики сетевого мониторинга. Если вы хотите купить серверный монитор, просто включите датчики мониторинга сервера PRTG.

PRTG содержит датчики WMI, так что вы можете просто использовать пакет в качестве монитора WMI и оставить все остальные датчики выключенными. Большим преимуществом этой стратегии является то, что она вам ничего не будет стоить. Диапазоны тарификации Paessler для PRTG рассчитаны на количество датчиков, которые вы хотите использовать, и система бесплатно на 100 датчиков или меньше.

На приведенном выше снимке экрана показано, как PRTG интерпретирует уведомления WMI. В этом представлении вы можете увидеть графики производительности для уведомлений WMI и SNMP. Графики представляют объем сгенерированных уведомлений, и в этом представлении вы можете увидеть интерпретацию данных за весь год. Вид может быть уменьшен до двухдневного периода, давая вам объемы уведомлений в час. Оповещения также отображаются на графиках в виде точек, наложенных на линию производительности..

На рисунке показан только один способ использования данных уведомлений WMI.. Приборная панель полностью настраивается и вы также можете перейти к просмотру отдельных уведомлений. Вы также можете создавать собственные оповещения на основе сообщений WMI.

PRTG – это очень всеобъемлющий инструмент, и весьма вероятно, что вы захотите включить другие датчики помимо функций WMI. Например, пользователь на иллюстрации выше решил реализовать SNMP мониторинг также. Эта стратегия вполне осуществима и даже может управляться в пределах 100 датчиков в бесплатной версии. Если вы хотите полностью развернуть PRTG, вам придется заплатить за него. Ты можешь получить 30-дневная бесплатная пробная версия PRTG с неограниченной активацией датчика.

Сетевой монитор Paessler PRTGСкачать 30-дневную бесплатную пробную версию

3. Sapien WMI Explorer

Sapien создала полный инструмент управления WMI с помощью WMI Explorer. Это намного больше углубленный инструмент WMI чем другие в этом списке и фокусируется исключительно на уведомлениях WMI. Это также дает вам доступ к PowerShell. Это очень технический инструмент, и если вы понимаете, как работает PowerShell и как структурированы сообщения WMI, вам никогда не понадобится использовать какой-либо другой инструмент для доступа к системе WMI. Если вы не разбираетесь в концепциях программирования и плохо работаете с кодами и токенами, то вам будет сложно получить что-то значимое из этой утилиты..

Sapien WMI Explorer отбрасывает занавес дружественных интерфейсов пользователя и доставляет вас прямо в пропасть данных WMI. Это цифровой эквивалент грязных рук.

WMI хранит сообщения Action Center в базе данных и WMI Explorer доставит вас в этот источник данных напрямую. Вы можете просматривать данные с компьютера, на котором установлен Explorer, а также получать доступ к хранилищам WMI других компьютеров по сети. Программа будет даже кеш сообщений из удаленных систем, так что вы все еще можете просматривать их данные WMI, когда они не могут связаться.

Как вы читали выше, в глубине каждого компьютера с Windows скрывается большой объем уведомлений WMI, и вам необходимо сократить чрезмерный рост, прежде чем вы сможете обнаружить какую-либо значимую информацию.. Sapien очень хорошо предоставляет вам фильтры и средства поиска которые действуют как ваш мачете, когда вы копаетесь в джунглях WMI.

Инструмент включает в себя VBScript и PowerShell генератор сценариев для создания процедур сбора и форматирования данных. Опять таки, используйте их с осторожностью. Если вы не знакомы с PowerShell, вам лучше посмотреть шаблоны, которые предоставляет инструмент. Это предварительно написанные скрипты, которые автоматизируют сбор данных для вас.

Каждое уведомление в базе данных WMI, как правило, связано с объяснением, которое доступно онлайн в магазине программного обеспечения, который предоставил программу для генерирования уведомлений. Эта информация может предоставить более глубокие объяснения любых кодов ошибок содержится в сообщении WMI и даже предлагать решения. WMI Explorer использует эти руководства, чтобы помочь вам решить проблемы, о которых сообщается в сообщении WMI..

Данные могут быть экспортированы в HTML, XML, CSV, и простой текст. WMI Explorer не имеет необычного пользовательского интерфейса, поэтому разработчики ожидают, что пользователи будут передавать данные в другие приложения, такие как Excel для анализа..

WMI Explorer не бесплатный, но очень дешевый. Цена, которую вы платите, заставляет вас использовать программное обеспечение вечно, но дает вам поддержку только на один год. Эта поддержка не только служба поддержки, но и включает в себя патчи и обновления. Вы можете купить пакет поддержки на последующие годы.

4. Нагиос XI

Nagios Core является всемирно известная бесплатная система мониторинга сети. Существует также платная версия, которая называется Nagios XI. Обе версии могут быть улучшены с помощью дополнений, которые доступны бесплатно от очень активного сообщества пользователей. Обе версии Nagios используют WMI для сбора данных и представления их администраторам. Существует также ряд подключаемых модулей WMI, доступных в сообществе..

WMI классифицируется как безагентная система. Это означает, что программе мониторинга не нужно развертывать собственный клиентский компонент на каждом контролируемом оборудовании. Это связано с тем, что уведомления WMI в любом случае уже генерируются, поэтому все, что нужно любому разработчику монитора WMI, – это написать центральный менеджер для сбора этих сообщений.. В Nagios встроен такой менеджер.

Nagios работает на Windows и Linux. Однако не думайте, что вы не сможете собирать данные WMI, если устанавливаете монитор на компьютер с Linux, поскольку система обращается к сети, чтобы исследовать системные данные на каждом подключенном к нему компьютере. Это исследование включает сбор данных WMI.

Использование WMI Nagios специально не направлено на один экран в приборной панели, потому что инструмент использует систему WMI для сбора данных о производительности приложений и хоста, поэтому большая часть отзывов о текущих статусах, которые вы видите в инструменте, на самом деле основана на уведомлениях WMI.

5. WMI Explorer

Инструмент WMI иногда называют CodePlex WMI Explorer из-за того, что его код был доступен на CodePlex Платформа. Однако CodePlex – это не программное обеспечение, это архив кодов, и код теперь перемещен в GitHub.

Этот инструмент проект с открытым исходным кодом и ты можешь используйте это бесплатно. Он был разработан системным администратором, который не смог найти подходящий инструмент, позволяющий ему сортировать уведомления WMI, поэтому он написал его сам. Затем он сделал этот инструмент доступным для других.

Это браузер данных WMI. Макет интерфейса похож на Windows Проводник. Он имеет древовидную структуру на панели слева от окна, которая выглядит как панель каталогов в проводнике. Следующая панель позволяет вам сузить записи по классам, а затем вы получите панель поиска для дальнейшей фильтрации результатов. Самая правая панель на экране – это средство просмотра данных, отображающее сведения о выбранном в данный момент объекте.

То, что эти различные панели на самом деле показывают, являются элементами Язык запросов WMI. Итак, когда вы выбираете опции из каждого списка, вы действительно собираете WQL-запрос. Интерфейс собирает запрос в строку внизу экрана, так что это на самом деле также учебник по WQL. По мере использования WMI Explorer вы лучше узнаете язык.

Это очень простой интерфейс, и вам не нужны специальные навыки для его использования. Вы можете исследовать любой компьютер удаленно по сети, если у вас есть пароль администратора. Наряду со сборкой запроса WQL, инструмент сгенерирует скрипт PowerShell для доставки и выполнения запроса в базе данных WMI и возврата результатов.. Этот инструмент берет на себя всю программную работу, необходимую для извлечения данных WMI.

6. Adrem Бесплатные инструменты WMI

Бесплатные инструменты WMI от Adrem это единый интерфейс, который включает в себя различные инструменты управления WMI, доступ к которым осуществляется через боковое меню. Инструмент способен мои данные WMI на машине, на которой он установлен, и он также может запрашивать любой другой компьютер, с которым можно связаться по сети – вам потребуется пароль администратора для других компьютеров, хотя.

Инструменты WMI включают доступ к журналам событий, и они также могут статусы системы запросов для вас. Эти утилиты делают это бесплатный пакет утилит в легкий инструмент для мониторинга системы, который позволит вам не просто просматривать сообщения WMI или собирать статистику по их источникам и частоте.

Представления, доступные в интерфейсе:

• обзор – дать общее резюме системы
• Процессы – показывает все текущие, активные процессы на проверяемой машине
• Сервисы – список всех установленных сервисов и их статус, включая неактивные сервисы
• Журналы событий – список всех журналов событий на машине
• аппаратные средства – живые детали аппаратных статусов
• Операционная система – все активные компоненты ОС
• WMI Explorer – интерпретатор языка запросов WMI

Этот набор инструментов дает вам очень полный контроль над машинами Windows в вашем бизнесе. Единственным недостатком структуры инструментария является то, что он может одновременно отображать только один компьютер..

Экраны интерпретации данных означают, что вам очень редко нужно переходить к WMI Explorer инструмент для проведения прямых исследований на необработанных данных. Для многих людей, визуализация состояния системы и хорошо спланированное расположение данных предоставит достаточную информацию.

Если бы Adrem когда-либо создавал консолидированную версию этой утилиты, это была бы полноценная система мониторинга инфраструктуры. приятный графический интерфейс, вместе с его ограничениями зрения делает этот инструмент хорошо подходит для небольших сетей, где, возможно, владелец-оператор должен будет взять на себя ответственность за администрирование системы. Вам не понадобятся какие-либо технические навыки для установки и использования этого замечательного пакета утилит для мониторинга системы.

7. Hyena WMI Inventory Reporting Tool

Hyena – это пакет мониторинга системы, созданный System Tools Software. Enterprise Edition этот пакет включает в себя WMI Inventory Reporting Tool. Это интерпретатор запросов и Генератор VBScript. Утилита снимает все требования программирования с задачи мониторинга WMI, представляя каждый элемент запроса в виде серии списков. Пользователь собирает запрос, используя параметры «укажи и щелкни», а затем инструмент упакует собранный запрос в VBScript, чтобы доставить его в базу данных WMI и получить результаты..

Прежде чем вы прибегаете к Ассемблер WMI-запросов, Вы можете просматривать библиотеку предварительно написанные запросы, один из которых вполне может удовлетворить вашу цель. Независимо от того, выполняете ли вы запрос к библиотеке или создаете свой собственный, у вас есть возможность запустить расследование на своем собственном компьютере, или на удаленном компьютере, или даже на группах компьютеров. Вам понадобятся права администратора всех компьютеров, к которым вы обращаетесь.

Утилита называется «инструмент отчетности инвентаризации”И вы можете использовать его для записи многих деталей о каждом Windows компьютер, который вы подключили к своей сети.

Типы информации, которые могут быть собраны с помощью инструмента, включают в себя:

• Марка компьютера, модель и идентификатор системы
• Тип процессора, архитектура, емкость и загрузка
• Объем памяти и использование
• Операционная система, уровень пакета обновления и серийный номер
• MAC-адреса и IP-адрес компьютера, а также данные DHCP
• Установленные приложения, исправления и обновления безопасности

Инструмент включает в себя функция выполнения действия, который позволяет вам запускать программы, которые работают с собранными данными WMI. Эта задача автоматизации включает в себя управление журналом, Управление адресом DHCP, запуск или уничтожение процессов, удаление приложений, создание процедур запуска системы, и командование перезагрузками или выключениями. Все действия гиены могут быть зарегистрированы для целей аудита.

Одним из слабых мест гиены является ее интерфейс. Он очень хорошо собирает данные, но не очень хорошо отображает их, и в утилите не так много аналитических функций. Однако вы можете экспортировать данные из Hyena в Access или Excel для анализа там.

Гиена не бесплатный инструмент, но вы можете попробовать его на 30-дневной бесплатной пробной версии.

8. NirSoft SimpleWMIView

Нирсофт предлагает бесплатный интерфейс базы данных WMI, называется SimpleWMIView. Этот инструмент отображает записи, с которыми он сталкивается в заданном пространстве имен WMI на данном компьютере. Инструмент табулирует записи WMI для удобного просмотра, и это форматирование также позволяет легко записывать записи в CSV файлы для импорта в другие инструменты, такие как Excel. Также можно выписать простой текст, TAB-разделители, HTML, XML, и JSON форматы.

Загрузка для утилиты – это ее исполняемый файл, поэтому она не требует какого-либо процесса установки. Вы просто запускаете загруженный файл, чтобы запустить интерфейс. SimpleWMIView также может быть запустить в командной строке с рядом опций, которые передают ваши данные WMI в файл, не открывая интерфейс.

Программа получит доступ к записям WMI, хранящимся на том же компьютере, на котором установлено программное обеспечение SimpleWMIView. тем не мение, возможно подключение к другим компьютерам по сети через интерфейс.

Интерфейс включает в себя несколько простых фильтров, и вы можете настроить ваши собственные фильтры данных WQL если у вас есть знание языка запросов. Интерфейс также может сортировать данные по любому из столбцов, показанных в интерфейсе. Все эти действия манипуляции с данными также могут быть указаны в командной строке.

Возможность сбора данных с помощью команды позволяет интегрировать эту утилиту в пакетное задание и периодически выполнять запросы. Это хороший вариант, если вы хотите архивировать сообщения WMI в файлы журналов. Таким образом, вы можете создать свой собственный файл-файл журнала WMI с помощью этого инструмента.

Утилита работает хорошо, если вы ищете инструмент обработки необработанных данных. Это действительно не инструмент анализа WMI. Однако диапазон форматов экспорта, предоставляемых этим инструментом, означает, что он будет хорошим бэкэндом для любого другого инструмента, который мог бы обеспечить лучшие функции анализа.

9. Говерлан WMIX

Основным продуктом Goverlan является инструмент сетевого мониторинга, который называется Reach. Компания также производит ряд дополнительных инструментов, и WMIX является одним из них. WMIX – бесплатный сборщик данных WMI.

Как и некоторые другие инструменты в этом списке, WMIX просто представляет элементы поиска языка запросов WMI в интерфейсе GUI. Как вы выбираете элементы из каждой панели параметров, Вы увидите, что WQL-запрос собирается в поле внизу экрана.. Так что это хороший способ познакомиться с WQL..

Запросы WMI обычно управляются через PowerShell VBScript. Интерфейс упаковывает ваши операторы WQL в сценарии, так что вам не нужно беспокоиться об изучении командного языка этих двух систем. Если вы заинтересованы в написании собственных сценариев для будущего мониторинга WMI, вы можете собрать WQL-запросы в интерфейсе WMIX, а затем извлечь их для включения в ваши скрипты.

Средство просмотра данных представляет записи WMI в древовидной структуре, что позволяет детализировать категории сообщений, раскрывая каждый узел, чтобы раскрыть более подробные свойства. Боковая панель объясняет атрибуты каждого узла. Этот макет позволяет очень легко изучить состояния и свойства вашего компьютера с Windows.

WMIX – очень привлекательный генератор запросов и скриптов. Он работает как руководство и учебный инструмент, а также интерфейс доступа к данным. Этот инструмент подойдет для администраторов сетей любого размера, но он будет особенно интересен менеджерам небольших систем, которые используют компьютеры Windows..

10. Powershell WMI Explorer

Powershell WMI Explorer является бесплатный разработанный WMI интерфейс для энтузиастов. Этот инструмент существует уже давно и был одним из первых доступных интерпретаторов WMI. Хотя интерфейс не очень сложный, он более или менее начал целую категорию программного обеспечения переводчиков WMI и повлиял на развитие всех других инструментов в этом списке. Иногда его называют именем разработчика, поэтому этот инструмент может называться WMI Explorer от Marc van Orsouw. Г-н Ван Орсоу также идентифицирует себя как «/ \ / \ O \ / \ /», поэтому другое имя, которое иногда используется для этого инструмента, – MoW WMI Explorer.

Проводник может получать доступ к данным WMI на локальном компьютере или подключаться через сеть для доступа к данным WMI на других компьютерах. Интерфейс не поддерживает одновременную выборку из нескольких источников. Однако вы можете собирать записи WMI из каждого источника, записывать их в файл, а затем объединять эти файлы, если вам нужен единый обзор активности WMI в вашей сети..

Интерфейс содержит четыре основные панели – две индексные панели слева и две более широкие панели доступа к данным справа. Первая индексная панель отображает в виде проводника файловое пространство имен, доступное на компьютере. На второй левой панели перечислены все параметры класса данных для WMI. Нижняя правая панель объясняет выбранную категорию, а также показывает все доступные свойства. Верхняя правая панель позволяет вам собрать запрос и затем выполнить его.

Извлечение данных WMI автоматически осуществляется через PowerShell, так что вам не нужно писать какие-либо собственные процедуры для сбора данных.

Панель справки в инструменте особенно полезна, потому что она объясняет, что означает каждый класс данных. Существует множество классов, поэтому данное справочное руководство может оказаться очень полезным, даже если вы не собираетесь использовать инструмент для непосредственного запроса к WMI..

Проблемы WMI

Многие склонны игнорировать уведомления Центра поддержки подарок хакерам. так же, системы обнаружения вторжений часто пропускают уведомления WMI как слишком обыденный, чтобы облегчить атаки. тем не мение, WMI может использоваться на каждом этапе стратегии атаки и его сочетание с PowerShell для передачи данных и запросов по сетям делает этот инструмент отличный канал для кражи данных на виду.

Сообщения WMI обычно не превращаются в физические файлы. Это означает, что они никогда не станут исходным материалом для хост-системы обнаружения вторжений (HIDS) и никогда не рассматривается менеджеры по безопасности информации (SIMs) которые являются частью SIEM. Таким образом, простой сброс сообщений WMI в файлы периодически (ежедневно), начнет отслеживать эти уведомления WMI до тех пор, пока вы найдете HIDS или SIM-карту, которая может обрабатывать формат файлов журналов, создаваемых процессом вашего сервера журналов.

PowerShell вездесущ в системах Windows и любая попытка заблокировать этот метод обслуживания отключит полезность вашего компьютера, потому что он используется слишком многими приложениями, чтобы считаться дополнительной системой. Итак, несмотря на очевидную привлекательность PowerShell для хакеров, сетевые системы обнаружения вторжений (NIDS) не всегда пристально смотрят на деятельность этой важной службы.

Методы работы WMI включают в себя средство, называемое «подписка.Это перезапустит процесс WMI, если он будет убит. Таким образом, это обеспечило бы полезный механизм для продвинутой постоянной угрозы (APT) для продолжайте работать на компьютере даже после перезагрузки или очистки системы антивирусным программным обеспечением.

Комбинация WMI и PowerShell обеспечивает эффективный способ сохранения активности вредоносных программ на компьютере даже после устранения исходной инфекции. Однако, возможно, нет необходимости в начальной, прослеживаемой инфекции. Сайты могут push-уведомления WMI, реализовано с разрешения пользователя. Этот механизм позволяет веб-сайту отправлять уведомления пользователям, даже если веб-сайт больше не открыт в браузере на компьютере. Так, злонамеренная атака может быть легко направлена ​​удаленным командным центром через систему WMI. Процесс Desktop может быть использован для передачи вредоносных инструкций на каждый компьютер Windows путем доставки предупреждений, запрошенных с удаленного сайта по постоянной подписке WMI.. Общесетевую деятельность можно координировать с помощью безобидных процедур PowerShell..

Все пользователи компьютеров осторожны при разрешении уведомлений с малоизвестных веб-сайтов. Тем не менее, хакеры были известны комбинированный их распространение вирусов через сайты доверенных сайтов. Обновление зараженного или поддельного продукта еще один известный метод распространения вирусов, и если модификация системы реализована как настройка уведомлений WMI без сохранения каких-либо файлов на компьютере, антивирусные системы не заметят.

Монитор WMI

Инструментарий управления Windows широко используется поставщиками программного обеспечения и веб-сайтами для передачи информации об ошибках и публикации событий пользователям компьютеров Windows. Владельцы компьютеров менее заинтересованы в возможностях WMI, но они должны обратить на это внимание.

Как вы прочитали в этом руководстве. WMI является хорошим источником полезной системной информации, которая может быть полезна частным пользователям компьютеров, а также администраторам коммерческих сетей. тем не мение, подавляющее количество ненужных сообщений часто может заглушить полезность системы WMI.

Если вы списали WMI как несущественную, то подумай еще раз. Системные администраторы компании должны особенно начать прочесывать пространства имен WMI для получения информации об активности системы. Если вы стали предметом постоянная постоянная угроза, Вы не будете знать о вторжении, пока не найдете его – такова природа APT. APT – это скрытая инфекция, которая может оставаться незамеченной годами. Этот тип вторжения нарушает целостность вашей системы, раскрывает данные и предоставляет хакеру достаточно времени для изучения каждого уголка вашего бизнеса, установки ловушек, изменения данных и сбора учетных данных для аутентификации..

Знакомство с системой WMI, ее структурами форматирования данных и информационным ландшафтом – это первый шаг в использовании возможностей инструментария управления Windows. Ваша следующая задача – начать практические операции, и любой из инструментов в нашем списке обеспечит вам отличную поддержку, когда вы узнаете о Классы WMI, Язык запросов WMI и PowerShell и VBScript доступ к хранилищам данных.

Как только вы освоитесь с процессами WMI, Вы будете в лучшем положении, чтобы оценить, являются ли ваши нынешние системы безопасности достаточными для того, чтобы защитить вашу компанию от атак вредоносных программ и постоянных угроз. Если вы не можете найти систему SIEM, которая в настоящее время собирает данные WMI, написать свою собственную процедуру управления журналом WMI и передать их в основанную на хосте систему обнаружения вторжений. И то и другое вредоносная программа без файлов и АСТ Это быстрорастущие стратегии проникновения, и вам нужно опередить эти проблемы, чтобы защитить пользователей и данные в вашей системе..

Контролируете ли вы свою систему WMI? Вы обнаружили APT, работающий через WMI и PowerShell? Вам было трудно избавиться от вторжения? Вы нашли IDS, которая включает мониторинг WMI? Оставьте сообщение в Комментарии раздел ниже, чтобы поделиться своим опытом с сообществом.