Czytelnicy tacy jak ty pomagają wspierać MUO. Kiedy dokonujesz zakupu za pomocą linków na naszej stronie, możemy otrzymać prowizję partnerską.
Firma Microsoft stworzyła Instrumentację zarządzania Windows (WMI) do obsługi sposobu, w jaki komputery z systemem Windows przydzielają zasoby w środowisku operacyjnym. WMI robi też inną ważną rzecz: ułatwia lokalny i zdalny dostęp do sieci komputerowych.
Niestety, hakerzy w czarnych kapeluszach mogą przejąć tę funkcję w złośliwych celach za pomocą ataku uporczywego. W związku z tym, oto jak usunąć trwałość WMI z systemu Windows i zapewnić sobie bezpieczeństwo.
Co to jest trwałość WMI i dlaczego jest niebezpieczna?
Trwałość usługi WMI odnosi się do osoby atakującej instalującej skrypt, w szczególności odbiornika zdarzeń, który jest zawsze wyzwalany, gdy wystąpi zdarzenie usługi WMI. Na przykład nastąpi to, gdy system uruchomi się lub administrator systemu zrobi coś na komputerze, na przykład otworzy folder lub użyje programu.
Ataki persystentne są niebezpieczne, ponieważ są ukryte. Jak wyjaśniono na
Skrypty Microsoftuatakujący tworzy stałą subskrypcję zdarzenia WMI, która wykonuje ładunek działający jako proces systemowy i czyści dzienniki jego wykonania; techniczny odpowiednik pomysłowego uchylacza. Dzięki temu wektorowi ataku osoba atakująca może uniknąć wykrycia poprzez audyt z wiersza poleceń.Jak zapobiegać i usuwać trwałość WMI
Subskrypcje zdarzeń WMI są sprytnie skryptowane, aby uniknąć wykrycia. Najlepszym sposobem uniknięcia ataków uporczywych jest wyłączenie usługi WMI. Nie powinno to wpłynąć na ogólne wrażenia użytkownika, chyba że jesteś zaawansowanym użytkownikiem.
Następną najlepszą opcją jest zablokowanie portów protokołu WMI przez skonfigurowanie modelu DCOM do używania pojedynczego portu statycznego i zablokowanie tego portu. Możesz sprawdzić nasz przewodnik nt jak zamknąć wrażliwe porty aby uzyskać więcej instrukcji, jak to zrobić.
Ten środek umożliwia lokalną pracę usługi WMI przy jednoczesnym blokowaniu dostępu zdalnego. To dobry pomysł, zwłaszcza że zdalny dostęp do komputera wiąże się z pewnym ryzykiem.
Na koniec możesz skonfigurować WMI do skanowania i ostrzegania o zagrożeniach, jak pokazał Chad Tilbury w tej prezentacji:
Władza, która nie powinna znaleźć się w niewłaściwych rękach
WMI to potężny menedżer systemu, który w niepowołanych rękach staje się niebezpiecznym narzędziem. Co gorsza, do przeprowadzenia ataku persystentnego nie jest potrzebna wiedza techniczna. Instrukcje dotyczące tworzenia i uruchamiania ataków uporczywych WMI są swobodnie dostępne w Internecie.
Tak więc każdy, kto ma taką wiedzę i krótki dostęp do Twojej sieci, może zdalnie Cię szpiegować lub kraść dane, nie pozostawiając śladu cyfrowego. Jednak dobrą wiadomością jest to, że w technologii i bezpieczeństwie cybernetycznym nie ma absolutów. Nadal możliwe jest zapobieganie i usuwanie trwałości WMI, zanim atakujący wyrządzi duże szkody.
