10 найкращих інструментів моніторингу інструментів управління Windows (WMI)

Найкращі засоби моніторингу інструментів управління Windows (WMI)


Інструментація управління Windows (WMI) є компонентом усіх версій Windows з Windows 2000. Це інтерфейс, за допомогою якого програми можуть надсилати сповіщення користувачеві комп’ютера.

Це частина всіх ароматів Windows, включаючи Windows Server. Ця можливість не обмежується лише утилітами та елементами операційної системи Microsoft. Будь-який розробник програмного забезпечення може включати сповіщення WMI в програму.

Якщо ви не встигли прочитати цілий пост, ось ось наш список з десяти найкращих засобів моніторингу WMI:

  1. Монітор SolarWinds WMI з монітором сервера та додатків (БЕЗКОШТОВНА ПРОБЛЕМА) Спеціалізуйте монітор WMI як частина монітора серверів та додатків, який працює на Windows Server.
  2. Paessler WMI Service Sensor з PRTG Монітор WMI інтегрований у PRTG «три в одному», який відстежує мережі, сервери та програми. Працює на Windows Server.
  3. Sapien WMI Explorer Поглиблений монітор WMI та Powershell для забезпечення технологій.
  4. Нагіос XI Комплексна система моніторингу мережі з модулями WMI доступна. Працює в Windows та Linux.
  5. Провідник WMI Безкоштовний браузер даних WMI доступний на GitHub.
  6. Безкоштовні засоби WMI для Adrem Безкоштовний переглядач даних WMI та менеджер журналу подій.
  7. Hyena WMI Інструмент звітності про запаси Частина пакета аналізу операційної системи. Цей інструмент має чудові можливості збору даних.
  8. NirSoft Simple WMI Viewer Переглядач даних WMI з інтерфейсом сценаріїв.
  9. Goverlan WMIX Безкоштовний збір даних WMI із вбудованим асемблером WQL запитів.
  10. Powershell WMI Explorer Збір даних WMI, який використовує Powershell для отримання інформації.

Як працює WMI?

Механізм WMI заснований на принципах, розроблених Розподілена робоча група управління (DMTF), які були визначені у двох опублікованих протоколах:  Веб-управління підприємством (WBEM) та Загальна інформаційна модель (CIM). По суті, вони дозволяють фоновим завданням пройти через постійно працююче середовище робочого столу, включивши процедуру перевірки повідомлень у програму управління настільним середовищем..

Запропонований сервіс забезпечує послугу, яка трохи нагадує систему голубів. Програми, які хочуть відображати свої сповіщення на робочому столі, розміщують їх у певній області пам’яті. Коли програма Desktop повернеться до тієї точки, яка наказує їй перевірити наявність повідомлень, усі сподівання на очікування будуть оброблені по черзі та відображені на панелі, що розгортається, у правій частині робочого столу.

Проблеми з WMI

Область Робочого столу, яка містить “опубліковані” сповіщення, називається Центр дій. Після того, як всі повідомлення будуть оброблені, Настільний демонструє сповіщення користувачу, інформуючи про наявність сповіщень на бічній панелі. Дизайн піктограми, що надає доступ до Центру дій, також змінюється, щоб показати наявність непрочитаних повідомлень. Цей значок – це квадратний міхур, який є порожнім, якщо немає непрочитаних повідомлень, і суцільний, якщо він є. Ці два способи спілкування не обов’язково дозволяти користувачеві бачити ці сповіщення.

Центр дій не відображається постійно, тому повідомлення читаються лише тоді, коли користувач вирішить відкрити бічну панель. Або навмисно, або через забудькуватість, користувач може ніколи не відкривати Центр дій і тому вони ніколи не можуть читати ці сповіщення. Контекстне меню на піктограмі сповіщень у системному треї також дозволяє користувачеві переправляти сповіщення з Центру дій незалежно від того, чи були вони прочитані чи ні.

Використання WMI-повідомлень є корисним каналом «забудь мене не» для розробників комерційного програмного забезпечення, і це також можливість веб-сайтів надсилати сповіщення через WMI через WBEM. Це означає, що система сповіщень трохи експлуатується як метод нагадування потенційним клієнтам про доступність товару. Це стало важливим маркетинговим каналом. Оскільки люди прагнуть протистояти продажам, вони отримали впевненість у перевагах Центру дій. Він може отримати повний “спам”, тому не рідко для користувачів регулярно спорожнювати сповіщення Центру дій, не читаючи жодного з них, значно тим, що вони видаляють весь вміст Небажана папки в їхній системі електронної пошти.

Використання для WMI

Нехтування повідомленнями Центру дій соромно, особливо в комерційних ситуаціях. WMI використовується низкою важливих бізнес-додатків і навіть функції адміністрування мережі надсилають сповіщення WMI. Наприклад, SNMP може бути налаштований на обробку сповіщень у Центр дій через WMI. Тому, ви могли б використовувати WMI набагато ефективніше щоб допомогти вам керувати вашою мережею, а також сповістити кінцевих користувачів про помилки на їхніх пристроях.

WMI включає API, і якщо у вас є підтримка програмування, ви можете використовувати цю систему для спілкування з кінцевими користувачами через оповіщення. Однак, щоб змінити культуру та спонукати користувачів відкинути свої забобони щодо Центру дій як марну трату часу, вам потрібно відфільтрувати невідповідні повідомлення та маркетингові сюжети.

Інструменти WMI

Ви можете використовувати сповіщення WMI для отримання інформації на своєму комп’ютері, сервері або в мережі, якщо ви можете правильно фільтрувати та керувати цими повідомленнями. На жаль,, Центр дій не включає жодних елементів керування. Однак на ринку є ряд корисних помічників WMI, які можуть допомогти вам використати інформацію, що міститься в сповіщеннях WMI, не проникаючи через спам.

У наступних розділах пояснюються переваги кожного з цих інструментів.

Найкращі інструменти моніторингу WMI

1. Монітор SolarWinds WMI з монітором сервера та додатків (БЕЗКОШТОВНИЙ ПЕРІОД ВИПРОБОВУВАННЯ)

SolarWinds випускає цілий ряд чудових інструментів моніторингу інфраструктури та їх інших Монітор сервера та додатків включає утиліту моніторингу WMI. Однак це платний продукт, і ви можете просто отримати досвід SolarWinds WMI, завантаживши безкоштовний WMI Monitor. The безкоштовна утиліта не є шматочком, вирізаним з монітора сервера та додатків. Це абсолютно окремий програмний продукт, розроблений з нуля як автономна утиліта.

Цей інструмент працює у всіх середовищах Windows і постійно користується ним. Інструмент контролює лише один сервер, але його не потрібно встановлювати на тому самому сервері до тих пір, поки комп’ютер, на якому запущено це програмне забезпечення, підключений до мережі.

Цей інструмент буде каналізувати сповіщення WMI лише від комерційно корисних програм: Активна Директорія, Поділитись думкою, Сервер обміну, Інтернет-інформаційні послуги, і SQL Server. Таким чином, це вирізає відразу багато неактуальних сповіщень про спам. Налаштування для фільтрування та керування сповіщеннями мало технічне і Ви можете налаштувати сповіщення, якщо розумієте, як працюють маркери WMI. Ви навіть можете писати власні сценарії, якщо у вас є можливості програмування. Однак якщо у вас немає часу на все це, ви можете просто скористатися шаблони, що постачаються з інструментом.

SolarWinds працює онлайн-форум для своєї спільноти користувачів. Це називається ТЕХНІЧ і кожен може отримати доступ до нього – вам не потрібно платити чи купувати товари від SolarWinds. Ви можете отримати додаткові шаблони для WMI Monitor від користувачів THWACK безкоштовно.  Шаблони змінюють процедури збирання сповіщень Монітора. Вони діють як фільтри, а також створюватимуть сповіщення на основі кількості повідомлень та частоти, а також комбінацій сповіщень. По суті, шаблони є базою знань WMI Monitor, і вони нададуть вам спеціалізовані відповідні сповіщення без необхідності писати сценарії. Ви можете оцінити Сервер & Монітор програм на a 30-денна безкоштовна пробна версія.

Сервер SolarWinds & Завантаження додатка MonitorDownload 30-денна безкоштовна пробна версія

2. Paessler WMI Service Sensor з PRTG (БЕЗКОШТОВНА ПРОБЛЕМА)

Paessler PRTG

Paessler не виробляє багато індивідуальних інструментів. Натомість він доставляє один монолітний пакет, який називається PRTG Network Monitor, що охоплює кожну уявну утиліту що ви, можливо, захочете, щоб контролювати мережі, сервери та програми. Цей комплект бампера містить серію “датчики.”Функціонал PRTG залежить від датчиків, які ви активуєте. Отже, якщо ви хочете мережевий монітор, ви купуєте PRTG та включаєте датчики моніторингу мережі. Якщо ви продаєте серверний монітор, просто увімкніть датчики моніторингу сервера PRTG.

PRTG містить датчики WMI, тож ви можете просто використовувати пакет як монітор WMI і залишити всі інші датчики вимкненими. Велика перевага цієї стратегії полягає в тому, що вона нічого не обійдеться. Діапазони зарядки Paessler для PRTG розраховуються на кількість датчиків, які ви хочете використовувати, і система безкоштовно для 100 датчиків або менше.

На знімку екрана видно, як PRTG інтерпретує сповіщення WMI. У цьому поданні можна побачити графіки ефективності як для сповіщень WMI, так і для SNMP. Графіки представляють обсяг сформованих сповіщень, і в цьому поданні ви можете бачити інтерпретовані дані на цілий рік. Перегляд можна зменшити до дводенного часового періоду, даючи вам обсяги сповіщень за годину. Попередження також зображені на графіках, представлених як точки, накладені на лінію ефективності.

На ілюстрації показано лише один із способів використання даних сповіщення WMI. Приладова панель повністю настроюється а також можна переглядати окремі сповіщення. Ви також можете створювати власні сповіщення на основі WMI-повідомлень.

PRTG – це дуже всебічний інструмент, і велика ймовірність, що ви захочете включити інші датчики, окрім функцій WMI. Наприклад, користувач із наведеної вище ілюстрації вибрав реалізацію Моніторинг SNMP так само. Ця стратегія є цілком здійсненною і може бути керована навіть у межах 100 датчиків у безкоштовній версії. Якщо ви хочете повністю розгорнути PRTG, вам доведеться заплатити за нього. Ти можеш отримати 30-денний безкоштовний пробний термін PRTG з необмеженою активацією датчика.

Paessler PRTG Network MonitorЗавантажте 30-денну безкоштовну пробну версію

3. Sapien WMI Explorer

Sapien WMI Explorer

Sapien створив повний інструмент управління WMI за допомогою свого WMI Explorer. Це набагато більше поглиблений інструмент WMI ніж інші в цьому списку і зосереджується виключно на сповіщеннях WMI. Це також дає вам доступ до PowerShell. Це дуже технічний інструмент, і якщо ви розумієте, як працює PowerShell і як структуровані повідомлення WMI, ви ніколи не захочете використовувати будь-який інший інструмент для доступу до системи WMI. Якщо ви не вмієте з поняттями програмування і не працюєте добре з кодами та маркерами, то ви будете намагатися вийти з цього утиліти нічого значимого..

Sapien WMI Explorer відкидає завісу зручних передніх вершин і потрапляє прямо в яму даних WMI. Це цифровий еквівалент забруднення рук.

WMI зберігає повідомлення Центру дій у базі даних та WMI Explorer потрапляє безпосередньо до цього джерела даних. Ви можете вивчити дані з комп’ютера, на якому встановлений Провідник, а також отримати доступ до сховищ WMI інших комп’ютерів по мережі. Програма буде рівною кеш-повідомлення з віддалених систем, тож ви все ще можете вивчити їх дані WMI, коли з ними неможливо зв’язатися.

Як ви читали вище, існує великий обсяг сповіщень WMI, що ховається в глибині всіх комп’ютерів Windows, і вам потрібно скоротити заростання, перш ніж ви зможете виявити будь-яку змістовну інформацію. Sapien дуже добре надає вам фільтри та засоби пошуку які діють як ваш мачете, коли ви заглиблюєтесь у джунглі WMI.

Інструмент включає в себе: VBScript і PowerShell генератор скриптів для створення процедур збору та форматування даних. Знову, використовуйте їх обережно. Якщо ви не знайомі з PowerShell, вам було б краще переглянути шаблони, які надає інструмент. Це заздалегідь написані сценарії, які автоматизують збір даних для вас.

Кожне повідомлення в базі даних WMI зазвичай пов’язується з поясненнями, які надаються в Інтернеті програмним домом, який надав програму, що генерує сповіщення. Ця інформація може надати більш глибокі пояснення будь-яких кодів помилок містяться у повідомленні WMI і навіть пропонують рішення. Провідник WMI містить ці посібники, щоб допомогти вам вирішити проблеми, про які повідомляє повідомлення WMI.

Дані можна експортувати в HTML, XML, CSV, і простий текст. У WMI Explorer немає привабливого користувальницького інтерфейсу, тому розробники очікують, що користувачі можуть передавати дані в інші додатки, наприклад, Excel для аналізу.

WMI Explorer не є безкоштовним, але він дуже дешевий. Ціна, яку ви платите, отримує програмне забезпечення, яке ви можете використовувати назавжди, але воно дає вам підтримку лише на один рік. Ця підтримка – це не лише Служба підтримки, але й включає виправлення та оновлення. Ви можете придбати пакет підтримки на наступні роки.

4. Нагіос XI

Нагіос XI

Nagios Core є всесвітня система моніторингу безкоштовних мереж. Існує також платна версія, яка називається Nagios XI. Обидві версії можна покращити за допомогою додатків, які доступні безкоштовно дуже активним спільнотою користувачів. Обидві версії Nagios використовують WMI для збору даних та надання їх адміністраторам. Також існує декілька плагінів, пов’язаних із WMI, доступними у громади.

WMI віднесено до категорії система “без агентів”. Це означає, що програмі моніторингу не потрібно розгортати власний клієнтський компонент на кожному елементі моніторингу. Це пояснюється тим, що сповіщення про WMI все одно генеруються, тому кожен розробник WMI-монітора повинен зробити це написати центральний менеджер для збору цих повідомлень. У Nagios інтегрований такий менеджер.

Нагіос біжить далі Windows і Linux. Однак не думайте, що ви не можете збирати дані WMI, якщо встановити монітор на комп’ютер Linux, оскільки система охоплює мережу для вивчення системних даних на кожному підключеному до нього комп’ютері. Це дослідження включає збір даних WMI.

Використання WMI Nagios спеціально не спрямоване на один екран на панелі приладів, оскільки інструмент експлуатує систему WMI збирати дані про програму та продуктивність хостів, тому багато відгуків про стан статусів, які ви бачите в інструменті, насправді засновані на сповіщеннях WMI.

5. Провідник WMI

WMI Explorer GitHub

Інструмент WMI іноді називають CodePlex WMI Explorer через те, що його код раніше був доступний на CodePlex платформа. Однак CodePlex – це не програмне забезпечення, це архів кодів, і цей код тепер переміщено до GitHub.

Цей інструмент є проект з відкритим кодом і ти можеш користуйтеся ним безкоштовно. Він був розроблений системним адміністратором, який не зміг знайти потрібний інструмент, щоб дозволити йому розбиратись через сповіщення WMI, тому він написав його сам. Потім він зробив цей інструмент доступним для інших.

Це є браузер даних WMI. Схема інтерфейсу схожа на Windows Провідник файлів. Вона має структуру дерева на панелі зліва від вікна, яка виглядає як панель каталогів у File Explorer. Наступна панель дозволяє звузити записи за класом, а потім ви отримаєте панель пошуку, щоб ще більше відфільтрувати результати. Найбільш правою панеллю екрана є переглядач даних, на якому показано реквізити обраного на даний момент об’єкта.

Що насправді показують ці різні панелі, є елементами Мова запитів WMI. Отже, вибираючи параметри з кожного списку, ви дійсно збираєтеся WQL-запит. Інтерфейс збирає запит у рядку внизу екрану, так що це насправді також навчальний посібник WQL. Під час використання провідника WMI ви ознайомитеся з мовою.

Це дуже простий інтерфейс, і для його використання вам не потрібні спеціальні навички. Ви можете досліджувати будь-який комп’ютер віддалено по мережі, якщо у вас є пароль адміністратора. Окрім збирання WQL-запиту, інструмент генерує скрипт PowerShell для доставки та виконання запиту в базі даних WMI та повернення результатів. Цей інструмент піклується про всі програми програмування, необхідні для отримання даних WMI.

6. Безкоштовні засоби WMI для Adrem

Безкоштовні засоби WMI для Adrem

Безкоштовні інструменти WMI від Адрем це єдиний інтерфейс, який включає різноманітні інструменти для управління WMI, доступ до яких здійснюється через бічне меню. Інструмент вміє мої дані WMI на машині, на якій він встановлений, і він також може запитувати будь-який інший комп’ютер, з яким можна зв’язатися через мережу – вам знадобиться пароль адміністратора для цих інших комп’ютерів, хоча.

Інструменти WMI включають доступ до журналів подій, і вони також можуть стану запитів системи для вас. Ці утиліти роблять це безкоштовний пакет комунальних послуг в легкий інструмент моніторингу системи, що дозволяє вам далеко не просто переглядати WMI-повідомлення або збирати статику за їх джерелами та частотою.

Доступні перегляди в інтерфейсі:

  • Огляд – надання загального зведення системи
  • Процеси – показує всі поточні, активні процеси на машині, що перевіряється
  • Послуги – перелік усіх встановлених сервісів та їх статус, включаючи неактивні послуги
  • Журнали подій – список усіх журналів подій на машині
  • Обладнання – живі деталі статусів обладнання
  • Операційна система – всі активні компоненти ОС
  • Провідник WMI – інтерпретатор мови запитів WMI

Цей набір інструментів дає вам дуже всебічний контроль над машинами Windows у вашому бізнесі. Єдиний мінус у структурі набору інструментів – це те, що він може одночасно переглядати лише один комп’ютер.

Екрани інтерпретації даних означають, що вам дуже рідко потрібно звертатися до Провідник WMI інструмент для прямого розслідування необроблених даних. Для більшості людей, візуалізація стану системи та добре спланований макет даних забезпечив би достатню інформацію.

Якби Adrem коли-небудь створив консолідовану версію цієї утиліти, це була б повноцінна система моніторингу інфраструктури. The приємний інтерфейс GUI, разом із обмеженнями перегляду робить цей інструмент добре підходить для невеликих мереж, де можливо власник-оператор повинен взяти на себе відповідальність за адміністрування системи. Вам не знадобляться якісь технічні навички для встановлення та використання цього чудового пакету утиліт моніторингу системи.

7. Hyena WMI Інструмент звітності про запаси

Hyena WMI Інструмент звітності про запаси

Hyena – це пакет системного моніторингу, створений програмним забезпеченням System Tools. The Enterprise Edition до цієї упаковки входить Інструмент звітності про запаси WMI. Це інтерпретатор запитів і Генератор VBScript. Утиліта виймає всі вимоги до програмування із завдання моніторингу WMI, представляючи кожен елемент запиту у ряді списків. Користувач збирає запит, використовуючи параметри точки і клацання, і тоді інструмент буде пакувати зібраний запит у VBScript для доставки його до бази даних WMI та отримання результатів.

Перш ніж звернутися до Асемблер запитів WMI, ви можете переглядати бібліотеку заздалегідь написані запити, один з яких цілком може задовольнити вашу мету. Незалежно від того, запускаєте ви бібліотечний запит чи створюєте свій власний, у вас є можливість запустити розслідування на власному комп’ютері, на віддаленому комп’ютері, або навіть на групах комп’ютерів. Вам знадобляться права адміністратора всіх комп’ютерів, до яких ви отримуєте доступ.

Утиліта називається “інструмент звітності про запаси“, І ви можете використовувати його для запису багатьох відомостей про кожну Windows комп’ютер, який ви підключили до своєї мережі.

Типи інформації, яку можна зібрати за допомогою інструмента, включають:

  • Ідентифікатор виготовлення комп’ютера, моделі та системного активу
  • Тип процесора, архітектура, потужність та використання
  • Ємність і використання пам’яті
  • Операційна система, рівень пакету обслуговування та серійний номер
  • MAC-адреси комп’ютера та IP-адреса плюс дані DHCP
  • Встановлені програми, виправлення та оновлення безпеки

Засіб включає функція виконання дій, що дозволяє виконувати програми, що діють на зібрані дані WMI. Ця автоматизація завдань включає управління журналом, Управління адресами DHCP, запуск або вбивство процесів, видалення додатків, створення системних процедур запуску, і командування перезавантаження або відключення. Усі заходи гієни можуть реєструватися для аудиторських цілей.

Одним із слабких моментів Гієни є її інтерфейс. Він дуже добре збирає дані, але не дуже добре їх відображає, і в програмі не так багато аналітичних функцій. Однак ви можете експортувати дані з Hyena в Access або Excel для аналізу там.

Гієна не є безкоштовним інструментом, але ви можете спробувати її на 30-денній безкоштовній пробній версії.

8. NirSoft SimpleWMIView

NirSoft SimpleWMIView

NirSoft пропонує передня частина вільної бази даних WMI, називається SimpleWMIView. Цей інструмент відображає записи, з якими він стикається у заданому просторі імен WMI на даному комп’ютері. Інструмент складається з таблиць WMI-записів для легкого перегляду, і це форматування також робить записи, які легко виписати CSV файли для імпорту в інші інструменти, такі як Excel. Можна також виписати простий текст, тab-обмежено, HTML, XML, і JSON формати.

Завантаження для утиліти – це її виконуваний файл, тому він не потребує жодного процесу встановлення. Ви просто запустіть завантажений файл, щоб запустити інтерфейс. SimpleWMIView також може бути запустити в командному рядку з низкою параметрів, які отримують ваші дані WMI у файл без відкриття інтерфейсу.

Програма отримає доступ до записів WMI, що зберігаються на тому ж комп’ютері, на якому встановлено програмне забезпечення SimpleWMIView. Однак, можливе підключення до інших комп’ютерів через мережу через інтерфейс.

Інтерфейс включає кілька простих фільтрів, і ви можете налаштувати власні фільтри даних WQL якщо ви володієте мовою запиту. Інтерфейс також може сортувати дані по будь-якому з стовпців, показаних в інтерфейсі. Усі ці дії щодо маніпулювання даними також можна вказати в командному рядку.

Можливість збирання даних за допомогою команди дає можливість інтегрувати цю утиліту в пакетне завдання та періодично виконувати запити. Це хороший варіант, якщо ви хочете архівувати повідомлення WMI у файли журналу. Отже, ви можете створити власний сервер файлів журналу WMI за допомогою цього інструменту.

Утиліта працює добре, якщо ви шукаєте інструмент для маніпулювання необробленими даними. Це насправді не є інструментом аналізу WMI. Однак діапазон форматів експорту, який надає цей інструмент, означає, що це був би гарний бек-енд для будь-якого іншого інструменту, який міг би забезпечити кращі функції аналізу.

9. Goverlan WMIX

Goverlan WMIX

Основний продукт Goverlan – це мережевий інструмент моніторингу, який називається Досягай. Компанія також виробляє ряд додаткових інструментів, і WMIX є одним із таких. The WMIX – це безкоштовний збір даних WMI.

Як і деякі інші інструменти цього списку, WMIX просто представляє елементи пошуку мови запитів WMI в передній частині GUI. Вибираючи елементи з кожної панелі параметрів, ви побачите WQL-запит, який збирається в полі внизу екрана. Отже, він пропонує хороший спосіб ознайомитись із WQL.

Запити WMI зазвичай управляються через PowerShell VBScript. Інтерфейс пакує ваші WQL заяви у скрипті, щоб вам не довелося переживати за вивчення мови команд цих двох систем. Якщо вам цікаво написати власні сценарії для майбутнього моніторингу WMI, ви можете зібрати WQL-запити в інтерфейсі WMIX, а потім витягніть їх для включення у ваші сценарії.

Переглядач даних представляє записи WMI в структурі дерева, що дозволяє вам прокручувати категорії повідомлень, розширюючи кожен вузол, щоб виявити більш детальні властивості. Бічна панель пояснює атрибути кожного вузла. Цей макет дозволяє дуже легко вивчити статуси та властивості комп’ютера Windows.

WMIX – це дуже привабливий генератор запитів та скриптів. Він працює як керівництво та навчальний інструмент, так і інтерфейс доступу до даних. Цей інструмент підходить адміністраторам будь-якої розмірної мережі, але він буде особливо цікавий для менеджерів невеликих систем, які покладаються на комп’ютери Windows.

10. Powershell WMI Explorer

Powershell WMI Explorer

Провідник Powershell WMI безкоштовний розроблений для ентузіастів інтерфейс WMI. Цей інструмент існує давно і був одним із перших доступних інтерпретаторів WMI. Хоча інтерфейс не дуже складний, він більш-менш запустив всю категорію програмного забезпечення інтерпретаторів WMI і вплинуло на розробку всіх інших інструментів цього списку. Іноді його називають іменем його розробника, тому ви можете бачити цей інструмент як Wc Explorer Марка ван Орсува. Пан Ван Орсув також ідентифікує себе як “/ \ / \ O \ / \ /”, тому іншим ім’ям, яке інколи використовується для цього інструменту, є MoW WMI Explorer.

Провідник може отримати доступ до даних WMI на локальному комп’ютері, або він може підключитися через мережу для доступу до даних WMI на інших комп’ютерах. Інтерфейс не дозволяє одночасно отримувати дані з кількох джерел. Однак ви можете збирати записи WMI з кожного джерела, записувати їх у файл, а потім об’єднувати ці файли, якщо ви хочете уніфікувати огляд діяльності WMI у вашій мережі.

Інтерфейс містить чотири основні панелі – дві панелі покажчиків зліва та дві ширші панелі доступу до даних праворуч. На першій панелі покажчиків відображається вид файлового провідника просторів імен, доступних на комп’ютері. На другій панелі ліворуч перелічені всі параметри класу даних для WMI. Нижня панель праворуч пояснює вибрану категорію, а також показує всі доступні властивості. Верхня панель праворуч дозволяє зібрати запит та виконати його.

Вибір даних WMI автоматично проводиться через PowerShell, тож вам не потрібно писати жодних власних процедур для збору даних.

Панель довідки в цьому інструменті особливо корисна, оскільки пояснює, що означає кожен клас даних. Класів дуже багато, тому цей посібник може бути дуже корисним, навіть якщо ви не збираєтесь використовувати інструмент для запиту WMI безпосередньо.

Проблеми WMI

Схильність багатьох ігнорувати сповіщення Центру дій є подарунок хакерам. Аналогічно, системи виявлення вторгнень часто не помічають сповіщення WMI як надто мирський, щоб полегшити атаки. Однак, WMI може використовуватися в кожній фазі стратегії атаки і його поєднання з PowerShell для транспортування даних та запитів по мережах робить цей інструмент чудовий канал для крадіжок даних просто на очах.

Повідомлення WMI зазвичай не перетворюють їх у фізичні файли. Це означає, що вони ніколи не стають вихідним матеріалом хост-системи виявлення вторгнень (HIDS) і ніколи не розглядаються менеджери інформації з безпеки (SIM-карти), що входять до складу SIEM. Отже, почнеться просто скидання повідомлень WMI у файли періодично (щодня) відстежувати сповіщення WMI доки ви знайдете HIDS або SIM, який може обробляти формат файлів журналів, які створює ваш процес журнального сервера.

PowerShell є всюдисущим у системах Windows і будь-яка спроба заблокувати цей спосіб обслуговування призведе до відключення корисності вашого комп’ютера, оскільки його використовують занадто багато додатків, щоб вважати необов’язковою системою. Тож, незважаючи на очевидну привабливість PowerShell до хакерів, мережеві системи виявлення вторгнень (NIDS) не завжди пильно придивляються до діяльності цієї основної служби.

Методи роботи WMI включають засоби, які називаються “передплати.Це відновить процес WMI, якщо він буде вбитий. Таким чином, це забезпечить корисний механізм для вдосконаленої постійної загрози (APT) для продовжуйте працювати на комп’ютері навіть після перезавантаження або очищення системи за допомогою програмного забезпечення antimalware.

Поєднання WMI та PowerShell забезпечує ефективний спосіб збереження безпілотного програмного забезпечення на комп’ютері навіть у випадку очищення оригінальної інфекції. Однак може не знадобитися початкова інфекція, що простежується. Веб-сайти можуть натисніть сповіщення WMI, реалізовано з дозволу користувача. Цей механізм дозволяє веб-сайту надсилати сповіщення користувачам, навіть коли веб-сайт більше не відкритий у браузері на комп’ютері. Тому, зловмисну ​​атаку може легко направити віддалений командний центр через систему WMI. Процес робочого столу можна маніпулювати перевезенням шкідливих інструкцій на кожен комп’ютер Windows шляхом доставки сповіщень, що вимагаються з віддаленого сайту, за допомогою постійної підписки на WMI. Діяльність у межах мережі може бути координована через нешкідливі процедури PowerShell.

Усі користувачі комп’ютерів з обережністю дозволяють отримувати сповіщення з маловідомих веб-сайтів. Однак хакерам було відомо скарбничка їх поширення вірусів через веб-сайти довірених сайтів. Заражене або прямо підроблене оновлення продукту є ще один відомий спосіб поширення вірусів, і якщо модифікація системи реалізована як налаштування сповіщення WMI без збереження файлів на комп’ютері, антивірусні системи цього не помітять.

Монітор WMI

Програмне забезпечення управління Windows широко використовується постачальниками програмного забезпечення та веб-сайтами для передачі інформації про помилки та публічності подій користувачам комп’ютерів Windows. Власники комп’ютерів здаються менш зацікавленими у можливостях WMI, але вони повинні на це звернути увагу.

Як ви читали в цьому посібнику. WMI – це гарне джерело корисної системної інформації, яка може бути корисною приватним користувачам комп’ютерів, а також адміністраторам комерційних мереж. Однак, переважна кількість несуттєвих повідомлень часто може заглушити корисність системи WMI.

Якщо ви списали WMI як нерелевантний, тоді подумати ще раз. Адміністраторам мережевих систем компанії слід особливо почати комбінувати через простори імен WMI для інформації про системну діяльність. Якщо ви стали предметом передові стійкі загрози, ви не дізнаєтесь про вторгнення, поки не будете шукати – така природа APT. APT – це прихована інфекція, яка може залишатися непоміченою роками. Цей тип вторгнення компрометує цілісність вашої системи, виставляє дані до розкриття та надає хакеру достатньо часу для вивчення кожного куточка вашого бізнесу, встановлення пасток, зміни даних та збирання даних автентифікації.

Ознайомлення з системою WMI, її структурами форматування даних та інформаційним ландшафтом – це перший крок у використанні потужностей Windows Management Instrumentation. Наступне ваше завдання – почати практичні операції, і будь-який інструмент у нашому списку надасть вам чудову підтримку, коли ви дізнаєтесь Класи WMI, Мова запитів WMI і PowerShell і VBScript доступ до сховищ даних.

Після того, як вам зручні процеси WMI, Ви зможете оцінити, чи достатньо ваших поточних систем безпеки щоб захистити вашу компанію від безфайлових нападів шкідливих програм та вдосконалених постійних загроз Якщо ви не можете знайти систему SIEM, яка наразі збирає дані WMI, написати власну програму управління журналом WMI і подавати їх у систему виявлення вторгнень на основі хоста. І те й інше шкідливе програмне забезпечення без файлів і APT це швидко зростаючі стратегії вторгнення, і вам потрібно випереджати ці проблеми, щоб захистити користувачів та дані вашої системи.

Ви контролюєте свою систему WMI? Ви виявили APT, що працює через WMI та PowerShell? Чи вам було важко позбутися від вторгнення? Ви знайшли IDS, який включає моніторинг WMI? Залиште повідомлення в Коментарі розділ нижче, щоб поділитися своїм досвідом із громадою.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map