As 10 melhores ferramentas de monitoramento da WMI (Instrumentação de Gerenciamento do Windows)

A Instrumentação de Gerenciamento do Windows (WMI) é um componente de todas as versões do Windows desde o Windows 2000. É uma interface através da qual os aplicativos podem enviar notificações ao usuário do computador.

É uma parte de todos os sabores do Windows, incluindo o Windows Server. Esse recurso não está restrito aos utilitários da Microsoft e aos elementos do sistema operacional. Qualquer desenvolvedor de software pode incluir notificações WMI em um programa.

Se você não tem tempo para ler a postagem inteira, aqui está nossa lista das dez melhores ferramentas de monitoramento WMI:

1. SolarWinds WMI Monitor com servidor e monitor de aplicativos (TESTE GRATUITO) Especialize o monitor WMI como parte do Server and Application Monitor, que é executado no Windows Server.
2. Sensor de serviço WMI Paessler com PRTG Monitor WMI integrado ao PRTG três em um, que monitora redes, servidores e aplicativos. Executa no Windows Server.
3. Sapien WMI Explorer Monitor detalhado de WMI e Powershell para especialistas em tecnologia.
4. Nagios XI Sistema de monitoramento de rede abrangente com plug-ins WMI disponíveis. Executa no Windows e Linux.
5. WMI Explorer Navegador de dados WMI gratuito disponível no GitHub.
6. Ferramentas WMI do Adrem Visualizador de dados WMI e gerenciador de log de eventos gratuitos.
7. Ferramenta de geração de relatórios de hiena WMI Parte de um pacote configurável de análise do sistema operacional. Essa ferramenta possui ótimos recursos de coleta de dados.
8. NirSoft Simple WMI Viewer Visualizador de dados WMI com uma interface de script.
9. Goverlan WMIX Coletor de dados WMI gratuito com um montador de consultas WQL embutido.
10. Powershell WMI Explorer Coletor de dados WMI que usa o Powershell para obter informações.

Como funciona o WMI?

O mecanismo WMI é baseado em princípios projetados pelo Grupo de Trabalho de Gerenciamento Distribuído (DMTF), definidos em dois protocolos publicados:  Gerenciamento corporativo baseado na Web (WBEM) e o Modelo de Informação Comum (CIM) Essencialmente, eles permitem que tarefas em segundo plano passem pelo ambiente de desktop em execução constante, incluindo uma rotina de verificação de mensagens no programa de gerenciamento de desktop do ambiente.

A rotina fornece um serviço que é um pouco como um sistema de pombos. Os aplicativos que desejam exibir suas notificações na área de trabalho os colocam em uma área específica da memória. Quando o programa da área de trabalho retorna ao ponto que a instrui a verificar mensagens, todas as notificações em espera serão processadas por vez e exibidas no painel expansível no lado direito da área de trabalho.

Problemas com o WMI

A área da área de trabalho que contém notificações “publicadas” é chamada de Centro de Ação. Depois que todas as mensagens foram processadas, a área de trabalho mostra um alerta ao usuário, informando sobre a presença de notificações no painel lateral. O design do ícone que dá acesso ao Centro de Ação também muda para mostrar a presença de notificações não lidas. Este ícone é um balão de fala quadrado que é oco se não houver notificações não lidas e sólido se houver. Esses dois métodos de comunicação não permitem necessariamente que o usuário veja essas notificações.

O Centro de Ação não está permanentemente visível e, portanto, as mensagens são lidas apenas se o usuário optar por abrir o painel lateral. Intencionalmente ou através do esquecimento, o usuário pode nunca abrir o Centro de Ação e, portanto, talvez nunca leia essas notificações. Um menu de contexto no ícone de notificações na bandeja do sistema também permite que o usuário libere as notificações do Centro de Ação, independentemente de terem sido lidas ou não..

O uso de mensagens WMI é um canal útil “não me esqueça” para os desenvolvedores de software comercial e também é possível que os sites enviem notificações por WMI via WBEM. Isso significa que o sistema de notificações é um pouco explorado em excesso como um método para lembrar os clientes em potencial da disponibilidade de um produto. Tornou-se um importante canal de marketing. Como as pessoas tendem a resistir às propostas de vendas, elas se tornam atraídas pelos benefícios do Centro de Ação. Ele pode ficar cheio de “spam”, portanto, não é incomum que os usuários esvaziem regularmente as notificações da Central de Ações sem ler nenhuma, da mesma maneira que excluem todo o conteúdo do Lixo pasta no sistema de email.

Usa para WMI

A desconsideração das mensagens do Action Center é uma vergonha, principalmente em situações comerciais. O WMI é usado por vários aplicativos comerciais importantes e até mesmo as funções de administração de rede enviam notificações WMI. O SNMP, por exemplo, pode ser configurado para processar alertas no Centro de Ação por meio do WMI. então, você poderia estar usando o WMI com muito mais eficiência para ajudá-lo a gerenciar sua rede e também para alertar os usuários finais sobre erros em seus dispositivos.

O WMI inclui APIs e, se você tiver suporte à programação, poderá usar esse sistema para se comunicar com os usuários finais por meio de alertas. No entanto, para mudar a cultura e incentivar os usuários a abandonar seus preconceitos contra o Centro de Ação como uma perda de tempo, você precisa filtrar mensagens irrelevantes e manobras de marketing.

Ferramentas WMI

Você pode explorar as notificações WMI para obter informações no seu computador, servidor ou rede, se conseguir filtrar e gerenciar adequadamente essas mensagens. Infelizmente, o Centro de Ação não inclui nenhum controle. No entanto, existem vários assistentes WMI úteis no mercado que podem ajudá-lo a aproveitar as informações contidas nas notificações WMI sem precisar passar por spam.

As seções a seguir explicam os benefícios de cada uma dessas ferramentas.

Melhores ferramentas de monitoramento WMI

1. SolarWinds WMI Monitor com servidor e monitor de aplicativos (TESTE GRÁTIS)

A SolarWinds produz uma variedade de excelentes ferramentas de monitoramento de infraestrutura e seus Monitor de servidor e aplicativo inclui um utilitário de monitoramento WMI. No entanto, esse é um produto pago e você pode obter a experiência do SolarWinds WMI baixando o Monitor WMI grátis. o utilitário gratuito não é um recorte do Server and Application Monitor. É um software completamente separado, desenvolvido desde o início como um utilitário independente.

Essa ferramenta é executada em todos os ambientes Windows e é permanentemente gratuita para uso. A ferramenta monitora apenas um servidor, mas não precisa ser instalada no mesmo servidor, desde que o computador em que você executa este software esteja conectado à rede.

Essa ferramenta canaliza apenas notificações WMI de aplicativos comercialmente úteis: Diretório ativo, SharePoint, Exchange Server, Serviços de Informação da Internet, e servidor SQL. Portanto, isso elimina muitas das notificações de spam irrelevantes imediatamente. A configuração da filtragem e gerenciamento de notificações é um pouco técnica e você pode personalizar as notificações se entender como os tokens WMI funcionam. Você pode até escrever seus próprios scripts se tiver recursos de programação. No entanto, se você não tiver tempo para tudo isso, poderá usar os modelos fornecidos com a ferramenta.

SolarWinds opera um fórum on-line para sua comunidade de usuários. Isso é chamado PAULADA e qualquer pessoa pode ter acesso a ele – você não precisa pagar ou comprar produtos da SolarWinds. Você pode obter modelos extras para o Monitor WMI de usuários THWACK de graça.  Os modelos modificam as rotinas de coleta de notificações do Monitor. Eles atuam como filtros e também geram alertas com base na contagem de mensagens e na frequência, além de combinações de notificações. Essencialmente, os modelos são a base de conhecimento do WMI Monitor e fornecerão alertas personalizados e relevantes, sem a necessidade de escrever scripts. Você pode avaliar o servidor & Application Monitor em um Avaliação gratuita de 30 dias.

Servidor SolarWinds & Faça o download da avaliação gratuita de 30 dias

2. Sensor de serviço WMI Paessler com PRTG (TESTE GRATUITO)

Paessler não produz muitas ferramentas independentes. Em vez disso, ele envia um pacote monolítico, chamado Monitor de rede PRTG, naquela cobre todas as utilidades imagináveis que você poderia desejar para monitorar redes, servidores e aplicativos. Este pacote de pára-choques contém uma série de “sensores.”A funcionalidade do PRTG depende dos sensores que você ativa. Portanto, se você deseja um monitor de rede, compra o PRTG e ativa os sensores de monitoramento de rede. Se você está no mercado para um monitor de servidor, basta ativar os sensores de monitoramento de servidor do PRTG.

O PRTG contém sensores WMI, então você pode simplesmente usar o pacote como um monitor WMI e deixar todos os outros sensores desligados. Um grande benefício dessa estratégia é que ela não lhe custará nada. As faixas de carregamento de Paessler para o PRTG são calculadas com base no número de sensores que você deseja usar e o sistema é grátis para 100 sensores ou menos.

A captura de tela acima mostra como o PRTG interpreta as notificações WMI. Nesta exibição, você pode ver gráficos de desempenho para notificações WMI e SNMP. Os gráficos representam o volume de notificações geradas e, nessa visualização, você pode ver o valor de um ano inteiro de dados interpretados. A visualização pode ser reduzida para um período de dois dias, dando a você volumes de notificação por hora. Os alertas também são representados nos gráficos, representados como pontos impostos na linha de desempenho.

A ilustração mostra apenas uma maneira de usar os dados de notificação WMI. O painel é completamente personalizável e você também pode fazer uma busca detalhada para visualizar notificações individuais. Você também pode criar alertas personalizados com base em mensagens WMI.

O PRTG é uma ferramenta muito abrangente e é altamente provável que você deseje ativar outros sensores ao lado dos recursos WMI. Por exemplo, o usuário na ilustração acima escolheu implementar Monitoramento SNMP também. Essa estratégia é perfeitamente viável e pode até ser gerenciada dentro do limite de 100 sensores na versão gratuita. Se você deseja implantar o PRTG totalmente, precisará pagar por isso. Você pode ter uma avaliação gratuita de 30 dias do PRTG com ativação ilimitada do sensor.

Paessler PRTG Network MonitorDownload gratuito de 30 dias

3. Sapien WMI Explorer

A Sapien produziu uma ferramenta completa de gerenciamento WMI com seu WMI Explorer. Isso é muito mais ferramenta WMI detalhada que os outros nesta lista e se concentra exclusivamente nas notificações WMI. Também lhe dá acesso a PowerShell. Essa é uma ferramenta muito técnica e, se você entender como o PowerShell funciona e como as mensagens WMI são estruturadas, nunca mais usará nenhuma outra ferramenta para acessar o sistema WMI. Se você não é adepto dos conceitos de programação e não trabalha bem com códigos e tokens, terá dificuldade em obter algo significativo desse utilitário.

O Sapien WMI Explorer retira a cortina dos front-ends fáceis de usar e coloca você diretamente no poço de dados WMI. Este é o equivalente digital de sujar as mãos.

O WMI armazena mensagens do Action Center em um banco de dados e O WMI Explorer leva você diretamente a essa fonte de dados. Você pode examinar os dados do computador em que o Explorer está instalado e também acessar os repositórios WMI de outros computadores em uma rede. O programa ainda cache de mensagens de sistemas remotos para que você ainda possa explorar os dados WMI quando eles não puderem ser contatados.

Como você leu acima, há um grande volume de notificações WMI ocultas nas profundezas de todos os computadores Windows e você precisa reduzir o crescimento excessivo antes de poder detectar qualquer informação significativa. O Sapien é muito bom em fornecer filtros e recursos de pesquisa que agem como seu facão enquanto você mergulha na selva do WMI.

A ferramenta inclui um VBScript e PowerShell gerador de scripts para criar procedimentos de coleta e formatação de dados. Novamente, use-os com cuidado. Se você não estiver familiarizado com o PowerShell, seria melhor analisar os modelos que a ferramenta fornece. Estes são scripts pré-escritos que automatizarão a coleta de dados para você.

Cada notificação no banco de dados WMI geralmente é vinculada a uma explicação disponibilizada on-line pela empresa de software que forneceu o programa de geração de notificação. Esta informação pode fornecer explicações mais profundas para quaisquer códigos de erro contido na mensagem WMI e até propor soluções. O WMI Explorer utiliza esses guias para ajudá-lo a corrigir os problemas que a mensagem WMI alerta.

Os dados podem ser exportados em HTML, XML, CSV, e texto simples. O WMI Explorer não possui uma interface de usuário sofisticada; portanto, os desenvolvedores esperam que os usuários transfiram dados para outros aplicativos, como o Excel para análise.

O WMI Explorer não é gratuito, mas é muito barato. O preço pago permite que você use o software para sempre, mas oferece suporte apenas por um ano. Esse suporte não é apenas um suporte técnico, mas também inclui patches e atualizações. Você pode comprar um pacote de suporte para os anos seguintes.

4. Nagios XI

Nagios Core é um sistema de monitoramento de rede gratuito de ponta mundial. Há também uma versão paga, chamada Nagios XI. Ambas as versões podem ser aprimoradas com complementos disponíveis gratuitamente a partir de uma comunidade de usuários muito ativa. Ambas as versões do Nagios empregam o WMI para coletar dados e apresentá-los aos administradores. Há também vários plug-ins relacionados à WMI disponíveis na comunidade.

WMI é classificado como um sistema “sem agente”. Isso significa que um programa de monitoramento não precisa implantar seu próprio componente de cliente em cada peça de equipamento que está sendo monitorada. Isso ocorre porque as notificações WMI já estão sendo geradas de qualquer maneira, portanto, todo desenvolvedor de um monitor WMI precisa escrever um gerente central para coletar essas mensagens. Nagios tem um gerente assim integrado.

Nagios é executado em janelas e Linux. No entanto, não pense que você não pode coletar dados WMI se instalar o monitor em um computador Linux, porque o sistema se estende pela rede para explorar os dados do sistema em todos os computadores conectados a ele. Essa exploração inclui a coleta de dados WMI.

O uso WMI do Nagios não é canalizado especificamente para uma tela no painel porque a ferramenta explora o sistema WMI para coletar dados sobre o desempenho do aplicativo e do host, portanto, muitos dos comentários de status ativos que você vê na ferramenta são baseados em notificações WMI.

5. WMI Explorer

A ferramenta WMI às vezes é chamada de CodePlex WMI Explorer devido ao fato de seu código estar disponível no CodePlex plataforma. No entanto, o CodePlex não é uma casa de software, é um arquivo de códigos e o código agora foi movido para GitHub.

Esta ferramenta é um projeto de código aberto e você pode use-o gratuitamente. Ele foi desenvolvido por um administrador de sistemas que não conseguiu encontrar a ferramenta certa para permitir que ele classificasse as notificações WMI, então ele mesmo escreveu uma. Ele então disponibilizou essa ferramenta para outras pessoas.

Isto é um navegador de dados WMI. O layout da interface é semelhante ao Windows Explorador de arquivos. Ele possui uma estrutura em árvore em um painel à esquerda da janela, que se parece com o painel de diretórios no Gerenciador de Arquivos. O próximo painel permite restringir os registros por classe e, em seguida, você obtém um painel de pesquisa para filtrar ainda mais os resultados. O painel mais à direita na tela é um visualizador de dados, mostrando o detalhes do objeto atualmente selecionado.

O que esses diferentes painéis realmente mostram são os elementos do Idioma de consulta WMI. Então, ao selecionar opções de cada lista, você está realmente montando uma consulta WQL. A interface monta a consulta em uma linha na parte inferior da tela, então isso também é realmente um tutorial do WQL. Ao usar o WMI Explorer, você se familiarizará com o idioma.

Essa é uma interface muito direta e você não precisa de habilidades especializadas para usá-la. Você pode explorar qualquer computador remotamente através de uma rede, desde que tenha a senha de administrador. Além de montar a consulta WQL, a ferramenta irá gerar um script do PowerShell para entregar e executar a consulta no banco de dados WMI e retornar os resultados. Essa ferramenta cuida de todo o trabalho de programação necessário para buscar dados WMI.

6. Ferramentas WMI do Adrem

Ferramentas WMI gratuitas Adrem é uma interface única que inclui uma variedade de ferramentas de manipulação WMI, todas acessadas através de um menu lateral. A ferramenta é capaz de meus dados WMI na máquina em que está instalado e também pode consultar qualquer outro computador que possa ser contatado por uma rede – você precisaria da senha de administrador para esses outros computadores..

As ferramentas WMI incluem acesso a logs de eventos e também podem status do sistema de consulta para voce. Esses utilitários tornam isso pacote gratuito de utilitários em uma ferramenta leve de monitoramento de sistema, levando muito além da simples visualização de mensagens WMI ou coleta de estática em suas fontes e frequência.

As visualizações disponíveis na interface são:

• Visão geral – dando um resumo geral do sistema
• Processos – mostra todos os processos ativos atuais na máquina que está sendo examinada
• Serviços – uma lista de todos os serviços instalados e seu status, incluindo serviços inativos
• Logs de Eventos – uma lista de todos os logs de eventos na máquina
• Hardware – detalhes ao vivo de status de hardware
• Sistema operacional – todos os componentes ativos do SO
• WMI Explorer – um intérprete WMI Query Language

Este conjunto de ferramentas oferece a você controles muito abrangentes nas máquinas Windows da sua empresa. A única desvantagem da forma como o conjunto de ferramentas é estruturado é que ele só pode fornecer visualizações em um computador por vez.

As telas de interpretação de dados significam que você raramente precisará ir ao WMI Explorer ferramenta para fazer investigações diretas sobre os dados brutos. Para a maioria das pessoas, a visualização do status do sistema e o layout de dados bem planejado forneceria informações suficientes.

Se o Adrem criar uma versão consolidada desse utilitário, ele será um sistema de monitoramento de infraestrutura completo. o interface GUI agradável, juntamente com suas limitações de visualização, torna essa ferramenta adequado para pequenas redes, onde possivelmente um proprietário-operador teria que assumir a responsabilidade pela administração do sistema. Você não precisaria de nenhum conhecimento técnico para instalar e usar este ótimo pacote de utilitários de monitoramento do sistema.

7. Ferramenta de geração de relatórios de hiena WMI

Hiena é um pacote de monitoramento de sistema criado pelo System Tools Software. o Enterprise Edition deste pacote inclui o Ferramenta de relatórios de inventário WMI. Este é um intérprete de consulta e Gerador VBScript. O utilitário tira todos os requisitos de programação da tarefa de monitorar o WMI, apresentando cada elemento de consulta em uma série de listas. O usuário monta uma consulta usando as opções de apontar e clicar e a ferramenta empacota a consulta montada no VBScript para entregá-la ao banco de dados WMI e recuperar resultados.

Antes de recorrer ao Montador de consultas WMI, você pode navegar por uma biblioteca de consultas pré-escritas, um dos quais já pode atender ao seu objetivo. Independentemente de você executar uma consulta de biblioteca ou criar sua própria, você tem a opção de executar a investigação em seu próprio computador, ou em um computador remoto, ou mesmo em grupos de computadores. Você precisará das permissões de administrador de todos os computadores que acessa.

O utilitário é chamado de “ferramenta de relatório de inventário”E você pode usá-lo para registrar muitos detalhes sobre cada janelas computador que você conectou à sua rede.

Os tipos de informações que podem ser coletadas com a ferramenta incluem:

• Marca do computador, modelo e ID do ativo do sistema
• Tipo, arquitetura, capacidade e utilização de CPU
• Capacidade e utilização de memória
• Sistema operacional, nível do service pack e número de série
• Endereços MAC e endereço IP do computador mais detalhes do DHCP
• Aplicativos instalados, hotfixes e atualizações de segurança

A ferramenta inclui uma função de execução de ação, que permite executar programas que atuam nos dados WMI coletados. Essa automação de tarefas inclui gerenciamento de log, Gerenciamento de endereço DHCP, processos de lançamento ou morte, removendo aplicativos, criando rotinas de inicialização do sistema, e comandando reinicializações ou desligamentos. Todas as atividades da Hiena podem ser registradas para fins de auditoria.

Um ponto fraco da hiena é sua interface. É muito bom na coleta de dados, mas não na exibição e não há muitos recursos analíticos no utilitário. No entanto, você pode exportar dados da Hiena para o Access ou Excel para análise lá.

A hiena não é uma ferramenta gratuita, mas você pode experimentá-la em uma avaliação gratuita de 30 dias.

8. NirSoft SimpleWMIView

NirSoft oferece um front end gratuito do banco de dados WMI, chamado SimpleWMIView. Essa ferramenta exibe os registros que encontra em um determinado espaço para nome WMI em um determinado computador. A ferramenta tabula os registros WMI para facilitar a visualização e essa formatação também facilita a gravação dos registros. Arquivos CSV para importar para outras ferramentas, como o Excel. Também é possível escrever texto simples, tdelimitado, HTML, XML, e JSON formatos.

O download do utilitário é seu arquivo executável e, portanto, não requer nenhum processo de instalação. Você acabou de executar o arquivo baixado para obter a interface em execução. O SimpleWMIView também pode ser executar na linha de comando com uma série de opções que colocam seus dados WMI em um arquivo sem abrir a interface.

O programa acessará os registros WMI armazenados no mesmo computador em que o software SimpleWMIView está instalado. Contudo, é possível conectar a outros computadores através da rede através da interface.

A interface inclui alguns filtros diretos e você pode configurar seus próprios filtros de dados WQL se você tiver conhecimento da linguagem de consulta. A interface também pode classificar dados em qualquer uma das colunas mostradas na interface. Todas essas ações de manipulação de dados também podem ser especificadas na linha de comando.

A capacidade de coletar dados por meio de um comando torna possível integrar esse utilitário a um trabalho em lotes e executar consultas periodicamente. Essa é uma boa opção se você deseja arquivar mensagens WMI em arquivos de log. Portanto, você pode criar seu próprio servidor de arquivos de log WMI com esta ferramenta.

O utilitário funciona bem se você estiver procurando uma ferramenta de manipulação de dados brutos. Ele realmente não é classificado como uma ferramenta de análise WMI. No entanto, a variedade de formatos de exportação fornecidos pela ferramenta significa que seria um bom back-end para qualquer outra ferramenta, o que poderia fornecer melhores funções de análise.

9. Goverlan WMIX

O principal produto de Goverlan é uma ferramenta de monitoramento de rede, chamada Alcance. A empresa também produz várias ferramentas complementares e o WMIX é uma delas. o WMIX é um coletor de dados WMI gratuito.

Como algumas das outras ferramentas nesta lista, o WMIX simplesmente representa os elementos de uma pesquisa no WMI Query Language em um front end da GUI. Conforme você seleciona elementos de cada painel de opções, você verá a consulta WQL montada em um campo na parte inferior da tela. Portanto, oferece uma boa maneira de você se familiarizar com o WQL.

As consultas WMI geralmente são gerenciadas pelo PowerShell do VBScript. A interface empacota suas instruções WQL em script para que você não precise se preocupar em aprender a linguagem de comando desses dois sistemas. Se você estiver interessado em escrever seus próprios scripts para monitoramento WMI futuro, poderá montar as consultas WQL na interface WMIX e, em seguida, extraí-los para inclusão em seus scripts.

O visualizador de dados apresenta registros WMI em uma estrutura em árvore, permitindo que você faça uma busca detalhada por categorias de mensagens, expandindo cada nó para revelar propriedades mais detalhadas. Um painel lateral explica os atributos de cada nó. Esse layout facilita a exploração dos status e propriedades do seu computador Windows.

WMIX é um gerador de consultas e scripts muito atraente. Ele funciona como um guia e uma ferramenta de ensino, bem como uma interface de acesso a dados. Essa ferramenta seria adequada para administradores de qualquer tamanho de rede, mas seria de particular interesse para os gerentes de pequenos sistemas que dependem de computadores Windows.

10. Powershell WMI Explorer

O Powershell WMI Explorer é uma interface WMI gratuita desenvolvida pelo entusiasta. Essa ferramenta existe há muito tempo e foi um dos primeiros intérpretes WMI disponíveis. Embora a interface não seja muito sofisticada, ela é mais ou menos iniciou toda a categoria de software de intérpretes WMI e influenciou o desenvolvimento de todas as outras ferramentas nesta lista. Às vezes, é referido pelo nome do desenvolvedor, portanto, você pode ver essa ferramenta como o WMI Explorer de Marc van Orsouw. Van Orsouw também se identifica como “/ \ / \ O \ / \ /”, portanto outro nome que às vezes é usado para essa ferramenta é MoW WMI Explorer.

O Explorer pode acessar dados WMI no computador local ou pode se conectar via rede para acessar dados WMI em outros computadores. A interface não permite a busca simultânea de várias fontes. No entanto, você pode coletar registros WMI de cada origem, gravá-los em arquivo e mesclar esses arquivos se desejar uma visão geral unificada da atividade WMI em sua rede.

A interface contém quatro painéis principais – dois painéis de índice à esquerda e dois painéis de acesso a dados mais amplos à direita. O primeiro painel de índice mostra uma exibição do tipo Explorador de Arquivos dos espaços para nome disponíveis no computador. O segundo painel esquerdo lista todas as opções de classe de dados para WMI. O painel inferior direito explica a categoria selecionada e também mostra todas as propriedades disponíveis. O painel superior direito permite montar uma consulta e executá-la.

As buscas de dados WMI são realizadas automaticamente via PowerShell, então você não precisa escrever nenhum de seus próprios procedimentos para coletar dados.

O painel Ajuda da ferramenta é particularmente útil porque explica o que significa cada classe de dados. Existem muitas classes e, portanto, este manual de referência pode ser realmente útil, mesmo que você não pretenda usar a ferramenta para consultar diretamente o WMI.

Problemas de WMI

A tendência de muitos ignorar as notificações do Action Center é um presente para hackers. similarmente, sistemas de detecção de intrusão geralmente ignoram as notificações WMI como sendo mundano demais para facilitar ataques. Contudo, O WMI pode ser usado em todas as fases de uma estratégia de ataque e sua combinação com o PowerShell para transportar dados e consultas entre redes torna essa ferramenta um ótimo canal para roubo de dados à vista de todos.

As mensagens WMI geralmente não fazem isso em arquivos físicos. Isso significa que eles nunca se tornam material de origem para sistemas de detecção de intrusão baseados em host (HIDS) e nunca seja considerado por gerenciadores de informações de segurança (SIMs) que fazem parte de SIEM. Portanto, simplesmente despejar mensagens WMI em arquivos periodicamente (diariamente) começará a rastrear as notificações WMI desde que você encontre um HIDS ou um SIM que possa lidar com o formato dos arquivos de log que o processo do servidor de log produz.

O PowerShell é onipresente nos sistemas Windows e qualquer tentativa de bloquear esse método de serviço desabilitaria a utilidade do seu computador porque ele é usado por muitos aplicativos para ser considerado um sistema opcional. Portanto, apesar da atração óbvia do PowerShell pelos hackers, sistemas de detecção de intrusão baseados em rede (NIDS) nem sempre olha muito de perto as atividades deste serviço essencial.

Os métodos operacionais do WMI incluem um recurso chamado “inscrição.”Isso reiniciará um processo WMI se ele for eliminado. Portanto, isso forneceria um mecanismo útil para uma ameaça persistente avançada (APT) continue em execução no computador mesmo após a reinicialização ou a limpeza do sistema ser realizada pelo software antimalware.

Uma combinação de WMI e PowerShell fornece uma maneira eficiente de malware sem arquivo permanecer ativo em um computador, mesmo quando a infecção original foi limpa. No entanto, pode não ser necessário haver uma infecção inicial rastreável. Os sites são capazes de notificações push WMI, implementado com a permissão do usuário. Esse mecanismo permite que o site envie notificações aos usuários, mesmo quando o site não estiver mais aberto em um navegador no computador. então, um ataque malicioso pode ser facilmente direcionado por um centro de comando remoto através do sistema WMI. O processo da área de trabalho pode ser manipulado para transportar instruções maliciosas para cada computador Windows, entregando os alertas solicitados de um site remoto por uma assinatura WMI persistente.. A atividade em toda a rede pode ser coordenada por meio de rotinas inócuas do PowerShell.

Todos os usuários de computador são cautelosos ao permitir notificações de sites pouco conhecidos. No entanto, os hackers são conhecidos por pegar carona sua distribuição de vírus nos sites de sites confiáveis. Uma atualização falsa ou infectada do produto é outro método bem conhecido de distribuição de vírus, e se a modificação do sistema for implementada como uma configuração de notificação WMI sem armazenar nenhum arquivo no computador, sistemas antivírus não identificariam.

Monitorar WMI

A Instrumentação de Gerenciamento do Windows é amplamente usada por fornecedores de software e sites para comunicar informações de erros e publicidade de eventos aos usuários de computadores Windows. Os proprietários de computadores parecem menos interessados ​​nos recursos do WMI, mas eles devem prestar atenção nisso.

Como você leu neste guia. O WMI é uma boa fonte de informações úteis do sistema que podem ser úteis para usuários de computadores particulares e também para administradores de redes comerciais. Contudo, o enorme volume de mensagens não essenciais pode muitas vezes abafar a utilidade do sistema WMI.

Se você escreveu o WMI como irrelevante, então pense de novo. Os administradores de sistemas de rede da empresa devem começar a vasculhar os namespaces WMI para obter informações sobre a atividade do sistema. Se você se tornou sujeito de um Ameaça persistente avançada, você não saberá sobre a invasão até procurá-la – essa é a natureza dos APTs. Um APT é uma infecção oculta que pode passar despercebida por anos. Esse tipo de invasão compromete a integridade do sistema, expõe os dados à divulgação e oferece ao hacker tempo suficiente para explorar todos os cantos da sua empresa, definir traps, alterar dados e coletar credenciais de autenticação.

Familiarizar-se com o sistema WMI, suas estruturas de formatação de dados e o cenário das informações é o primeiro passo para aproveitar o poder da Instrumentação de Gerenciamento do Windows. Sua próxima tarefa é iniciar operações práticas, e qualquer uma das ferramentas da nossa lista fornecerá excelente suporte ao aprender sobre Classes WMI, Idioma de consulta WMI e PowerShell e VBScript acesso a armazenamentos de dados.

Quando estiver familiarizado com os processos WMI, você estará em uma posição melhor para avaliar se seus sistemas de segurança atuais são suficientes para proteger sua empresa contra ataques de malware sem arquivo e ameaças persistentes avançadas. Se você não conseguir encontrar um sistema SIEM que atualmente reúne dados WMI, escreva sua própria rotina de gerenciamento de log WMI e alimente-os em um sistema de detecção de intrusão baseado em host. Ambos malware sem arquivo e APTs são estratégias de intrusão em rápido crescimento e você precisa se antecipar a esses problemas para proteger os usuários e os dados em seu sistema.

Você monitora seu sistema WMI? Você descobriu um APT operando através do WMI e do PowerShell? Você achou a intrusão difícil de se livrar? Você encontrou um IDS que inclui monitoramento WMI? Deixe uma mensagem no Comentários seção abaixo para compartilhar suas experiências com a comunidade.