Las 10 mejores herramientas de monitoreo de Instrumental de administración de Windows (WMI)

Windows Management Instrumentation (WMI) ha sido un componente de todas las versiones de Windows desde Windows 2000. Es una interfaz a través de la cual las aplicaciones pueden enviar notificaciones al usuario de la computadora.

Es parte de todos los sabores de Windows, incluyendo Windows Server Esta capacidad no está restringida a las utilidades de Microsoft y los elementos del sistema operativo. Cualquier desarrollador de software puede incluir notificaciones WMI en un programa.

Si no tienes tiempo para leer la publicación completa, aquí tienes Nuestra lista de las diez mejores herramientas de monitoreo de WMI:

1. SolarWinds WMI Monitor con servidor y Monitor de aplicación (PRUEBA GRATUITA) Especialice el monitor WMI como parte del Servidor y el Monitor de aplicaciones, que se ejecuta en Windows Server.
2. Sensor de servicio Paessler WMI con PRTG Monitor WMI integrado en el PRTG tres en uno, que monitorea redes, servidores y aplicaciones. Se ejecuta en Windows Server.
3. Sapien WMI Explorer Monitor WMI y Powershell en profundidad para los expertos en tecnología.
4. Nagios XI Sistema completo de monitoreo de red con complementos WMI disponibles. Se ejecuta en Windows y Linux.
5. WMI Explorer Navegador de datos WMI gratuito disponible en GitHub.
6. Herramientas WMI gratuitas de Adrem Visor de datos WMI gratuito y administrador de registro de eventos.
7. Hyena WMI Inventory Reporting Tool Parte de un paquete de análisis del sistema operativo. Esta herramienta tiene excelentes capacidades de recopilación de datos.
8. NirSoft Simple WMI Viewer Visor de datos WMI con una interfaz de secuencias de comandos.
9. Goverlan WMIX Recopilador de datos WMI gratuito con un ensamblador de consultas WQL incorporado.
10. Powershell WMI Explorer Recopilador de datos WMI que usa Powershell para obtener información.

¿Cómo funciona WMI??

El mecanismo WMI se basa en principios diseñados por el Grupo de trabajo de gestión distribuida (DMTF) que se definieron en dos protocolos publicados:  Gestión empresarial basada en web (WBEM) y el Modelo de información común (CIM) Esencialmente, permiten que las tareas en segundo plano pasen por el entorno de escritorio que se ejecuta constantemente al incluir una rutina de verificación de mensajes dentro del programa de administración de escritorio del entorno.

La rutina proporciona un servicio que es un poco como un sistema de casillero. Las aplicaciones que desean que sus notificaciones se muestren en el escritorio las colocan en un área específica de la memoria. Cuando el programa de escritorio vuelve al punto que le indica que busque mensajes, todas las notificaciones en espera se procesarán a su vez y se mostrarán en el panel expandible en el lado derecho del escritorio.

Problemas con WMI

El área de escritorio que contiene notificaciones “publicadas” se denomina Centro de Acción. Una vez que se han procesado todos los mensajes, el Escritorio muestra una alerta al usuario, informando sobre la presencia de notificaciones en el panel lateral. El diseño del icono que da acceso al Centro de acción también cambia para mostrar la presencia de notificaciones no leídas. Este icono es un globo de diálogo cuadrado que es hueco si no hay notificaciones no leídas y sólido si las hay. Estos dos métodos de comunicación. no necesariamente permite que el usuario vea esas notificaciones.

El Centro de actividades no está visible permanentemente, por lo que los mensajes solo se leen si el usuario elige abrir el panel lateral. Ya sea intencionalmente o por olvido, Es posible que el usuario nunca abra el Centro de actividades y entonces tal vez nunca lea esas notificaciones. Un menú contextual en el icono de notificaciones en la bandeja del sistema también permite al usuario eliminar las notificaciones del Centro de actividades, independientemente de si se han leído o no..

El uso de la mensajería WMI es un canal útil de “no me olvides” para los desarrolladores de software comercial y también es posible que los sitios web envíen notificaciones a través de WMI a través de WBEM. Esto significa que el sistema de notificaciones está un poco sobreexplotado como un método para recordar a los clientes potenciales la disponibilidad de un producto. Se ha convertido en un importante canal de comercialización. A medida que las personas tienden a resistir los argumentos de venta, se han acostumbrado a los beneficios del Centro de Acción. Puede llenarse de “spam”, por lo que no es inusual que los usuarios vacíen regularmente las notificaciones del Centro de actividades sin leer ninguna de ellas, de la misma manera que eliminan todo el contenido del Basura carpeta en su sistema de correo electrónico.

Usos para WMI

La ignorancia de los mensajes del Centro de Acción es una pena, particularmente en situaciones comerciales.. WMI es utilizado por varias aplicaciones comerciales importantes e incluso las funciones de administración de red envían notificaciones WMI. SNMP, por ejemplo, se puede configurar para procesar alertas en el Centro de actividades a través de WMI. Entonces, podrías estar usando WMI mucho más efectivamente para ayudarlo a administrar su red y también para alertar a los usuarios finales de errores en sus dispositivos.

WMI incluye API y si tiene soporte de programación, puede usar este sistema para comunicarse con los usuarios finales a través de alertas. Sin embargo, para cambiar la cultura y alentar a los usuarios a abandonar sus prejuicios contra el Centro de Acción como una pérdida de tiempo., necesita filtrar mensajes irrelevantes y tácticas de marketing.

Herramientas WMI

Puede explotar las notificaciones de WMI para obtener información en su computadora, su servidor o su red si puede filtrar y administrar adecuadamente esos mensajes. Desafortunadamente, el Centro de acción no incluye ningún control. Sin embargo, hay varios asistentes de WMI útiles en el mercado que pueden ayudarlo a aprovechar la información contenida en las notificaciones de WMI sin tener que atravesar el correo no deseado..

Las siguientes secciones explican los beneficios de cada una de estas herramientas..

Las mejores herramientas de monitoreo de WMI

1. SolarWinds WMI Monitor con servidor y Monitor de aplicaciones (PRUEBA GRATIS)

SolarWinds produce una gama de excelentes herramientas de monitoreo de infraestructura y su Servidor y Monitor de aplicaciones incluye una utilidad de monitoreo WMI. Sin embargo, es un producto pago y puede obtener la experiencia de SolarWinds WMI descargando el Monitor WMI gratis. los utilidad gratuita no es una pieza cortada del Servidor y el Monitor de aplicaciones. Es un software completamente separado desarrollado desde cero como una utilidad independiente.

Esta herramienta se ejecuta en todos los entornos de Windows y es de uso permanente gratuito. La herramienta solo monitorea un servidor, pero no tiene que instalarse en ese mismo servidor siempre que la computadora en la que ejecuta este software esté conectada a la red.

Esta herramienta solo canalizará notificaciones WMI de aplicaciones comercialmente útiles: Directorio Activo, SharePoint, Servidor de intercambio, Servicios de Información de Internet, y servidor SQL. Entonces, eso elimina muchas de las notificaciones de spam irrelevantes de inmediato. La configuración para el filtrado y la gestión de notificaciones es un poco técnica y puede personalizar las notificaciones si comprende cómo funcionan los tokens WMI. Incluso puede escribir sus propios scripts si tiene capacidades de programación. Sin embargo, si no tiene tiempo para todo eso, simplemente puede usar las plantillas que se envían con la herramienta.

SolarWinds opera un foro en línea para su comunidad de usuarios. Se llama APORREAR y cualquiera puede acceder a él, no tiene que pagar ni comprar productos de SolarWinds. Puede obtener plantillas adicionales para el monitor WMI de los usuarios de THWACK gratis.  Las plantillas modifican las rutinas de recopilación de notificaciones del Monitor. Actúan como filtros y también generarán alertas basadas en la cantidad y frecuencia de mensajes y también en combinaciones de notificaciones. Esencialmente, las plantillas son la base de conocimiento del Monitor WMI y le proporcionarán alertas relevantes y personalizadas sin la necesidad de escribir scripts. Puedes evaluar el servidor & Monitor de aplicaciones en un Prueba gratuita de 30 días.

Servidor SolarWinds & Monitor de aplicación: descargue una prueba GRATUITA de 30 días

2. Sensor de servicio Paessler WMI con PRTG (PRUEBA GRATUITA)

Paessler no produce muchas herramientas independientes individuales. En cambio, envía un paquete monolítico, llamado PRTG Network Monitor, ese cubre todas las utilidades imaginables que posiblemente desee para monitorear redes, servidores y aplicaciones. Este paquete de parachoques contiene una serie de “sensores.”La funcionalidad de PRTG depende de los sensores que active. Entonces, si desea un monitor de red, compre PRTG y active los sensores de monitoreo de red. Si está buscando un monitor de servidor, simplemente active los sensores de monitoreo de servidor de PRTG.

PRTG contiene sensores WMI, así que puede usar el paquete como monitor WMI y dejar todos los demás sensores apagados. Un gran beneficio de esa estrategia es que no le costará nada. Las bandas de carga de Paessler para PRTG se calculan en función del número de sensores que desea utilizar y el sistema está gratis para 100 sensores o menos.

La captura de pantalla anterior muestra cómo PRTG interpreta las notificaciones WMI. En esta vista, puede ver gráficos de rendimiento para las notificaciones WMI y SNMP. Los gráficos representan el volumen de notificaciones generadas y en esta vista, puede ver los datos de todo un año interpretados. La vista se puede reducir a un período de dos días., dándole volúmenes de notificación por hora. Las alertas también se representan en los gráficos, representados como puntos impuestos en la línea de rendimiento..

La ilustración muestra solo una forma de utilizar los datos de notificación de WMI. El tablero de instrumentos es completamente personalizable. y también puede profundizar para ver notificaciones individuales. También puede crear alertas personalizadas basadas en mensajes WMI.

PRTG es una herramienta muy completa y es muy probable que desee activar otros sensores además de las funciones de WMI. Por ejemplo, el usuario en la ilustración anterior eligió implementar Monitoreo SNMP también. Esta estrategia es perfectamente factible e incluso podría gestionarse dentro del límite de 100 sensores en la versión gratuita. Si desea implementar PRTG por completo, deberá pagarlo. Puedes obtener una prueba gratuita de 30 días de PRTG con activación ilimitada del sensor.

Paessler PRTG Network MonitorDescargar 30 días de prueba GRATUITA

3. Sapien WMI Explorer

Sapien produjo una herramienta de administración de WMI completa con su WMI Explorer. Esto es mucho más herramienta WMI en profundidad que los demás en esta lista y se centra exclusivamente en las notificaciones de WMI. También te da acceso a Potencia Shell. Esta es una herramienta muy técnica y si comprende cómo funciona PowerShell y cómo están estructurados los mensajes WMI, nunca querrá utilizar ninguna otra herramienta para acceder al sistema WMI. Si no eres experto en conceptos de programación y no trabajas bien con códigos y tokens, entonces tendrás dificultades para obtener algo significativo de esta utilidad.

Sapien WMI Explorer abre la cortina de los front-end fáciles de usar y lo lleva directamente al pozo de los datos de WMI. Este es el equivalente digital de ensuciarse las manos.

WMI almacena mensajes del Centro de actividades en una base de datos y WMI Explorer te lleva directamente a esa fuente de datos. Puede examinar los datos de la computadora en la que tiene instalado el Explorer y también acceder a las tiendas WMI de otras computadoras a través de una red. El programa incluso mensajes de caché desde sistemas remotos para que aún pueda explorar sus datos WMI cuando no se puede contactar con ellos.

Como leyó anteriormente, hay un gran volumen de notificaciones WMI que acechan en las profundidades de todas las computadoras con Windows y necesita reducir el crecimiento excesivo antes de poder detectar cualquier información significativa. Sapien es muy bueno para proporcionarle filtros e instalaciones de búsqueda. que actúan como tu machete mientras te adentras en la jungla de WMI.

La herramienta incluye un VBScript y Potencia Shell generador de scripts para crear procedimientos de recopilación y formateo de datos. De nuevo, úselos con precaución. Si no está familiarizado con PowerShell, sería mejor que mire las plantillas que proporciona la herramienta. Estos son scripts escritos previamente que automatizarán la recopilación de datos por usted.

Cada notificación en la base de datos WMI generalmente está vinculada a una explicación que está disponible en línea por la empresa de software que proporcionó el programa generador de notificaciones. Esta información puede proporcionar explicaciones más profundas para cualquier código de error contenido en el mensaje de WMI e incluso proponer soluciones. WMI Explorer saca esas guías para ayudarlo a solucionar los problemas que alerta el mensaje de WMI.

Los datos se pueden exportar a HTML, XML, CSV, y Texto sin formato. WMI Explorer no tiene una interfaz de usuario elegante, por lo que los desarrolladores esperan que los usuarios transfieran datos a otras aplicaciones, como Excel para su análisis.

WMI Explorer no es gratuito, pero es muy barato. El precio que paga le permite usar el software para siempre, pero solo le brinda soporte durante un año. Ese soporte no es solo una mesa de ayuda, sino también incluye parches y actualizaciones. Puedes comprar un paquete de soporte para los años siguientes.

4 4. Nagios XI

Nagios Core es un sistema de monitoreo de red gratuito de primer nivel mundial. También hay una versión paga, llamada Nagios XI. Ambas versiones se pueden mejorar con complementos que están disponibles de forma gratuita en una comunidad de usuarios muy activa.. Ambas versiones de Nagios emplean WMI para recopilar datos y presentarlos a los administradores. También hay una serie de complementos relacionados con WMI disponibles en la comunidad.

WMI se clasifica como un sistema “sin agente”. Eso significa que un programa de monitoreo no necesita implementar su propio componente de cliente en cada equipo que se monitorea. Esto se debe a que las notificaciones WMI ya se están generando de todos modos, por lo que todo desarrollador de un monitor WMI debe escribir un administrador central para recopilar esos mensajes.. Nagios tiene un administrador integrado.

Nagios corre sobre Ventanas y Linux. Sin embargo, no piense que no puede recopilar datos WMI si instala el monitor en una computadora Linux porque el sistema se extiende a través de la red para explorar los datos del sistema en cada computadora conectada a él. Esa exploración incluye la recopilación de datos WMI.

El uso de WMI de Nagios no se canaliza específicamente hacia una pantalla en el tablero porque la herramienta explota el sistema WMI para recopilar datos sobre el rendimiento de la aplicación y el host, por lo que muchos de los comentarios de los estados en vivo que ve en la herramienta se basan en notificaciones WMI.

5 5. WMI Explorer

La herramienta WMI a veces se denomina CodePlex WMI Explorer debido a que su código solía estar disponible en el CodePlex plataforma. Sin embargo, CodePlex no es una casa de software, es un archivo de código y el código ahora se ha movido a GitHub.

Esta herramienta es un proyecto de código abierto y tu puedes úsalo gratis. Fue desarrollado por un administrador de sistemas que no pudo encontrar la herramienta adecuada para permitirle clasificar las notificaciones de WMI, así que él mismo escribió una. Luego puso esta herramienta a disposición de otros.

Esto es un navegador de datos WMI. El diseño de la interfaz es similar a Windows Explorador de archivos. Tiene una estructura de árbol en un panel a la izquierda de la ventana, que se parece al panel de directorio en el Explorador de archivos. El siguiente panel le permite reducir los registros por clase y luego obtiene un panel de búsqueda para filtrar los resultados aún más. El panel de la derecha en la pantalla es un visor de datos, que muestra el detalles del objeto seleccionado actualmente.

Lo que estos paneles muestran realmente son los elementos de Lenguaje de consulta WMI. Entonces, a medida que selecciona opciones de cada lista, realmente está ensamblando una consulta WQL. La interfaz ensambla la consulta en una línea en la parte inferior de la pantalla, por lo que esto también es un tutorial de WQL. A medida que utilice WMI Explorer, se familiarizará más con el idioma..

Esta es una interfaz muy sencilla y no necesita habilidades especializadas para usarla. Puede explorar cualquier computadora de forma remota a través de una red, siempre que tenga la contraseña de administrador. Además de ensamblar la consulta WQL, la herramienta generará un script de PowerShell para entregar y ejecutar la consulta en la base de datos WMI y devolver los resultados. Esta herramienta se encarga de todo el trabajo de programación necesario para obtener datos WMI.

6 6. Herramientas WMI gratuitas de Adrem

Herramientas WMI gratuitas de Adrem es una interfaz única que incluye una variedad de herramientas de manipulación de WMI, a las que se accede a través de un menú lateral. La herramienta es capaz de mina de datos WMI en la máquina en la que está instalado y también puede consultar cualquier otra computadora con la que se pueda contactar a través de una red; sin embargo, necesitaría la contraseña de administrador para esas otras computadoras.

Las herramientas de WMI incluyen acceso a registros de eventos y también pueden consultar estados del sistema para ti. Estas utilidades hacen que esto paquete gratuito de utilidades en una herramienta de monitoreo de sistema liviana, que lo lleva mucho más allá de simplemente ver mensajes WMI o recopilar estadísticas sobre sus fuentes y frecuencia.

Las vistas disponibles en la interfaz son:

• Visión general – dando un resumen general del sistema
• Procesos – muestra todos los procesos activos actuales en la máquina que se está examinando
• Servicios – una lista de todos los servicios instalados y su estado, incluidos los servicios inactivos
• Registros de eventos – una lista de todos los registros de eventos en la máquina
• Hardware – detalles en vivo de los estados de hardware
• Sistema operativo – todos los componentes activos del sistema operativo
• WMI Explorer – un intérprete de lenguaje de consulta WMI

Este conjunto de herramientas te brinda controles muy completos sobre las máquinas de Windows en su negocio. La única desventaja de la forma en que está estructurado el conjunto de herramientas es que solo puede proporcionar vistas en una computadora a la vez.

Las pantallas de interpretación de datos significan que rara vez necesitará ir al WMI Explorer herramienta para realizar investigaciones directas sobre los datos en bruto. Para la mayoria de la gente, la visualización del estado del sistema y el diseño de datos bien planificado proporcionaría información suficiente.

Si Adrem alguna vez creó una versión consolidada de esta utilidad, sería un sistema de monitoreo de infraestructura completo. los interfaz GUI agradable, junto con sus limitaciones de vista hace que esta herramienta muy adecuado para redes pequeñas, donde posiblemente un propietario-operador tendría que asumir la responsabilidad de administrar el sistema. No necesitaría ninguna habilidad técnica para instalar y usar este gran paquete de utilidades de monitoreo del sistema.

7 7. Hyena WMI Inventory Reporting Tool

Hyena es un paquete de monitoreo del sistema creado por System Tools Software. los Edición de Empresa de este paquete incluye el Herramienta de informes de inventario de WMI. Este es un intérprete de consultas y Generador de VBScript. La utilidad elimina todos los requisitos de programación de la tarea de monitorear WMI al presentar cada elemento de consulta en una serie de listas. El usuario ensambla una consulta usando las opciones de apuntar y hacer clic y luego la herramienta empaquetará la consulta ensamblada en VBScript para entregarla a la base de datos WMI y recuperar resultados.

Antes de recurrir a la Ensamblador de consultas WMI, podrías navegar a través de una biblioteca de consultas preescritas, uno de los cuales bien puede satisfacer su objetivo. Ya sea que ejecute una consulta de biblioteca o cree la suya propia, tiene la opción de ejecutar la investigación en su propia computadora o en una computadora remota, o incluso en grupos de computadoras. Necesitará los permisos de administrador de todas las computadoras a las que acceda.

La utilidad se llama “herramienta de informes de inventario“Y puede usarlo para registrar muchos detalles sobre cada Ventanas computadora que ha conectado a su red.

Los tipos de información que se pueden recopilar con la herramienta incluyen:

• Marca de computadora, modelo e identificación de activos del sistema
• Tipo de CPU, arquitectura, capacidad y utilización
• Capacidad de memoria y utilización
• Sistema operativo, nivel de paquete de servicio y número de serie
• Direcciones MAC de la computadora y dirección IP más detalles de DHCP
• Aplicaciones instaladas, revisiones y actualizaciones de seguridad.

La herramienta incluye una función de ejecución de acción, que le permite ejecutar programas que actúan sobre los datos WMI recopilados. Esta automatización de tareas incluye gestión de registros, Gestión de direcciones DHCP, procesos de lanzamiento o muerte, eliminar aplicaciones, crear rutinas de inicio del sistema, y reiniciar o apagar. Todas las actividades de Hyena se pueden registrar con fines de auditoría..

Un punto débil de Hyena es su interfaz. Es muy bueno para recopilar datos, pero no es muy bueno para mostrarlos y no hay muchas características analíticas en la utilidad. Sin embargo, puede exportar datos de Hyena a Access o Excel para analizarlos allí.

Hyena no es una herramienta gratuita, pero puedes probarla en una prueba gratuita de 30 días.

8. NirSoft SimpleWMIView

Ofertas de NirSoft una base de datos WMI gratuita, llamado SimpleWMIView. Esta herramienta muestra los registros que encuentra en un espacio de nombres WMI dado en una computadora determinada. La herramienta tabula los registros WMI para una fácil visualización y este formato también facilita la escritura de los registros Archivos CSV para importar a otras herramientas, como Excel. También es posible escribir Texto sin formato, tdelimitado por ab, HTML, XML, y JSON formatos.

La descarga de la utilidad es su archivo ejecutable, por lo que no requiere ningún proceso de instalación. Simplemente ejecute el archivo descargado para ejecutar la interfaz. SimpleWMIView también puede ser correr en la línea de comando con una serie de opciones que llevan sus datos WMI a un archivo sin abrir la interfaz.

El programa accederá a los registros WMI almacenados en la misma computadora en la que está instalado el software SimpleWMIView. sin embargo, es posible conectarse a otras computadoras a través de la red a través de la interfaz.

La interfaz incluye algunos filtros sencillos y puede configurar sus propios filtros de datos WQL Si tiene conocimiento del lenguaje de consulta. La interfaz también puede ordenar datos en cualquiera de las columnas que se muestran en la interfaz. Todas estas acciones de manipulación de datos también se pueden especificar en la línea de comando.

La capacidad de recopilar datos a través de un comando hace posible integrar esta utilidad en un trabajo por lotes y ejecutar consultas periódicamente. Esta es una buena opción si desea archivar mensajes WMI en archivos de registro. Por lo tanto, puede crear su propio servidor de archivos de registro WMI con esta herramienta.

La utilidad funciona bien si estás buscando una herramienta de manipulación de datos sin procesar. Realmente no se clasifica como una herramienta de análisis WMI. Sin embargo, la gama de formatos de exportación que proporciona la herramienta significa que sería un buen back-end para cualquier otra herramienta, que podría proporcionar mejores funciones de análisis..

9 9. Goverlan WMIX

El producto principal de Goverlan es una herramienta de monitoreo de red, llamada Alcanzar. La compañía también produce una serie de herramientas complementarias y WMIX es una de ellas. los WMIX es un recopilador de datos WMI gratuito.

Al igual que algunas de las otras herramientas en esta lista, WMIX simplemente representa los elementos de una búsqueda de WMI Query Language en una interfaz gráfica de usuario. A medida que selecciona elementos de cada panel de opciones, verá la consulta WQL ensamblada en un campo en la parte inferior de la pantalla. Por lo tanto, ofrece una buena manera de familiarizarse con WQL.

Las consultas WMI generalmente se administran a través de PowerShell de VBScript. La interfaz empaqueta sus declaraciones WQL en script para que no tenga que preocuparse por aprender el lenguaje de comandos de estos dos sistemas. Si está interesado en escribir sus propios scripts para la futura supervisión de WMI, puede ensamblar las consultas WQL en la interfaz WMIX y luego extraerlos para incluirlos en sus scripts.

El visor de datos presenta registros WMI en una estructura de árbol, lo que le permite profundizar en las categorías de mensajes, expandiendo cada nodo para revelar propiedades más detalladas. Un panel lateral explica los atributos de cada nodo. Este diseño hace que sea muy fácil explorar los estados y propiedades de su computadora con Windows.

WMIX es un generador de scripts y consultas muy atractivo. Funciona como una guía y una herramienta de enseñanza, así como una interfaz de acceso a datos. Esta herramienta sería adecuada para administradores de redes de cualquier tamaño, pero sería de particular interés para los administradores de sistemas pequeños que dependen de computadoras con Windows.

10. Powershell WMI Explorer

El Powershell WMI Explorer es una interfaz WMI desarrollada por entusiastas gratis. Esta herramienta ha existido durante mucho tiempo y fue uno de los primeros intérpretes de WMI disponibles. Aunque la interfaz no es muy sofisticada, más o menos comenzó toda la categoría de software de intérpretes WMI e influyó en el desarrollo de todas las otras herramientas en esta lista. A veces se hace referencia a él por el nombre de su desarrollador, por lo que puede ver esta herramienta denominada WMI Explorer de Marc van Orsouw. El Sr. Van Orsouw también se identifica a sí mismo como “/ \ / \ O \ / \ /”, por lo que otro nombre que a veces se usa para esta herramienta es MoW WMI Explorer.

El Explorer puede acceder a datos WMI en la computadora local o puede conectarse a través de una red para acceder a datos WMI en otras computadoras. La interfaz no permite la recuperación simultánea de varias fuentes. Sin embargo, puede recopilar registros WMI de cada fuente, escribirlos en un archivo y luego fusionar esos archivos si desea una visión general unificada de la actividad WMI en su red.

La interfaz contiene cuatro paneles principales: dos paneles de índice a la izquierda y dos paneles de acceso a datos más amplios a la derecha. El primer panel de índice muestra una vista de tipo Explorador de archivos de los espacios de nombres disponibles en la computadora. El segundo panel de la izquierda enumera todas las opciones de clase de datos para WMI. El panel inferior derecho explica la categoría seleccionada y también muestra todas las propiedades disponibles. El panel superior derecho le permite armar una consulta y luego ejecutarla.

Las recuperaciones de datos WMI se realizan automáticamente a través de Potencia Shell, para que no tenga que escribir ninguno de sus propios procedimientos para recopilar datos.

El panel de Ayuda en la herramienta es particularmente útil porque explica lo que significa cada clase de datos. Hay muchas clases y, por lo tanto, este manual de referencia puede ser realmente útil incluso si no tiene la intención de utilizar la herramienta para consultar WMI directamente.

Problemas de WMI

La tendencia de muchos a ignorar las notificaciones del Centro de actividades es un regalo para los hackers. similar, los sistemas de detección de intrusos a menudo pasan por alto las notificaciones WMI como demasiado mundano para facilitar los ataques. sin embargo, WMI se puede usar en cada fase de una estrategia de ataque y su combinación con PowerShell para transportar datos y consultas a través de redes hace que esta herramienta un gran conducto para el robo de datos a la vista.

Los mensajes WMI generalmente no se convierten en archivos físicos. Esto significa que nunca se convierten en material de origen para sistemas de detección de intrusos basados ​​en host (HIDS) y nunca ser considerado por gerentes de información de seguridad (SIMs) que forman parte de SIEM. Entonces, simplemente volcar mensajes WMI en archivos periódicamente (diariamente), comenzará a obtener seguimiento de esas notificaciones WMI siempre que encuentre un HIDS o una SIM que pueda manejar el formato de los archivos de registro que produce el proceso del servidor de registro.

PowerShell es ubicuo en los sistemas Windows y cualquier intento de bloquear este método de servicio deshabilitaría la utilidad de su computadora porque es utilizada por demasiadas aplicaciones para ser considerada un sistema opcional. Entonces, a pesar de la obvia atracción de PowerShell para los hackers, sistemas de detección de intrusos basados ​​en red (NIDS) no siempre mire demasiado de cerca las actividades de este servicio esencial.

Los métodos operativos de WMI incluyen una instalación llamada “suscripción.”Esto reiniciará un proceso WMI si se elimina. Entonces, eso proporcionaría un mecanismo útil para una amenaza persistente avanzada (APT) para siga ejecutándose en una computadora incluso después de un reinicio o una limpieza del sistema realizada por un software antimalware.

Una combinación de WMI y PowerShell proporciona una manera eficiente para que el malware sin archivos permanezca activo en una computadora, incluso cuando se ha limpiado la infección original. Sin embargo, puede que no sea necesario que haya una infección inicial rastreable. Los sitios web pueden notificaciones WMI push, implementado con el permiso del usuario. Ese mecanismo permite que el sitio web envíe notificaciones a los usuarios, incluso cuando el sitio web ya no está abierto en un navegador en la computadora. Entonces, un ataque malicioso podría ser dirigido fácilmente por un centro de comando remoto a través del sistema WMI. El proceso de escritorio podría manipularse para transportar instrucciones maliciosas a cada computadora con Windows mediante la entrega de las alertas solicitadas desde un sitio remoto mediante una suscripción persistente a WMI. La actividad de toda la red podría coordinarse a través de rutinas inocuas de PowerShell.

Todos los usuarios de computadoras son cautelosos al permitir las notificaciones de sitios web poco conocidos. Sin embargo, los hackers han sido conocidos por a cuestas su distribución de virus a través de los sitios web de sitios de confianza. Una actualización de producto falso infectada o directamente es otro método bien conocido de distribución de virus, y si la modificación del sistema se implementa como una configuración de notificación WMI sin almacenar ningún archivo en la computadora, los sistemas antivirus no lo detectarían.

Monitor WMI

La instrumentación de administración de Windows es ampliamente utilizada por los proveedores de software y sitios web para comunicar información de errores y publicidad de eventos a los usuarios de computadoras con Windows. Los propietarios de computadoras parecen menos interesados ​​en las capacidades de WMI, pero deberían prestarle atención.

Como has leído en esta guía. WMI es una buena fuente de información útil del sistema que puede ser útil para usuarios de computadoras privadas y también para administradores de redes comerciales. sin embargo, el abrumador volumen de mensajes no esenciales a menudo puede ahogar la utilidad del sistema WMI.

Si descartó WMI como irrelevante, entonces piensa otra vez. Los administradores de sistemas de red de la empresa deberían comenzar a buscar en los espacios de nombres WMI para obtener información sobre la actividad del sistema. Si te has convertido en el sujeto de un Amenaza Persistente Avanzada, no sabrá sobre la intrusión hasta que la busque, esa es la naturaleza de las APT. Una APT es una infección oculta que puede pasar desapercibida durante años.. Este tipo de intrusión compromete la integridad de su sistema, expone los datos a la divulgación y ofrece a un pirata informático el tiempo suficiente para explorar cada rincón de su negocio, establecer trampas, alterar datos y obtener credenciales de autenticación.

Familiarizarse con el sistema WMI, sus estructuras de formato de datos y el panorama de la información es el primer paso para aprovechar el poder de la Instrumentación de administración de Windows. Su próxima tarea es iniciar operaciones prácticas, y cualquiera de las herramientas de nuestra lista le proporcionará un excelente soporte a medida que aprenda Clases de WMI, Lenguaje de consulta WMI y Potencia Shell y VBScript acceso a almacenes de datos.

Una vez que se sienta cómodo con los procesos de WMI, estará en una mejor posición para evaluar si sus sistemas de seguridad actuales son suficientes para proteger a su empresa de ataques de malware sin archivos y amenazas persistentes avanzadas. Si no puede encontrar un sistema SIEM que actualmente reúna datos WMI, escriba su propia rutina de gestión de registros WMI y alimentarlos en un sistema de detección de intrusos basado en host. Ambos malware sin archivos y APT son estrategias de intrusión de rápido crecimiento y necesita adelantarse a estos problemas para proteger a los usuarios y los datos de su sistema.

¿Monitorea su sistema WMI? ¿Has descubierto un APT que funciona a través de WMI y PowerShell? ¿Le resultó difícil deshacerse de la intrusión? ¿Ha encontrado un IDS que incluye monitoreo de WMI? Deja un mensaje en el Comentarios sección a continuación para compartir sus experiencias con la comunidad.