Les 10 meilleurs outils de surveillance WMI (Windows Management Instrumentation)

Windows Management Instrumentation (WMI) est un composant de toutes les versions de Windows depuis Windows 2000. Il s’agit d’une interface à travers laquelle les applications peuvent envoyer des notifications à l’utilisateur de l’ordinateur..

Il fait partie de toutes les saveurs de Windows, y compris Windows Server. Cette capacité n’est pas limitée aux utilitaires Microsoft et aux éléments du système d’exploitation. Tout développeur de logiciels peut inclure des notifications WMI dans un programme.

Si vous n’avez pas le temps de lire l’intégralité du message, voici notre liste des dix meilleurs outils de surveillance WMI:

1. Moniteur WMI SolarWinds avec serveur et moniteur d’application (ESSAI GRATUIT) Spécialisez le moniteur WMI dans le cadre du Server and Application Monitor, qui s’exécute sur Windows Server.
2. Capteur de service Paessler WMI avec PRTG Moniteur WMI intégré au PRTG trois en un, qui surveille les réseaux, les serveurs et les applications. Fonctionne sur Windows Server.
3. Sapien WMI Explorer Moniteur WMI et Powershell approfondi pour les amateurs de technologie.
4. Nagios XI Système de surveillance de réseau complet avec plug-ins WMI disponibles. Fonctionne sur Windows et Linux.
5. Explorateur WMI Navigateur de données WMI gratuit disponible sur GitHub.
6. Outils WMI gratuits Adrem Visionneuse de données WMI gratuite et gestionnaire de journal des événements.
7. Hyena WMI Inventory Reporting Tool Fait partie d’un ensemble d’analyse de système d’exploitation. Cet outil a de grandes capacités de collecte de données.
8. NirSoft Simple WMI Viewer Visionneuse de données WMI avec une interface de script.
9. Goverlan WMIX Collecte de données WMI gratuite avec un assembleur de requêtes WQL intégré.
10. Powershell WMI Explorer Rassembleur de données WMI qui utilise Powershell pour récupérer des informations.

Comment fonctionne WMI?

Le mécanisme WMI est basé sur des principes conçus par le Groupe de travail sur la gestion distribuée (DMTF), définis dans deux protocoles publiés:  Gestion d’entreprise basée sur le Web (WBEM) et le Modèle d’information commun (CIM). Essentiellement, ils permettent aux tâches d’arrière-plan de passer à travers l’environnement de bureau en fonctionnement continu en incluant une routine de vérification des messages dans le programme de gestion de bureau de l’environnement.

La routine fournit un service qui est un peu comme un système de pigeonnier. Les applications qui souhaitent afficher leurs notifications sur le bureau les placent dans une zone de mémoire spécifique. Lorsque le programme Desktop retourne au point qui lui demande de vérifier les messages, toutes les notifications en attente sont traitées tour à tour et affichées dans le panneau extensible sur le côté droit du bureau.

Problèmes avec WMI

La zone Bureau qui contient des notifications «publiées» est appelée Centre d’action. Une fois que tous les messages ont été traités, le bureau affiche une alerte à l’utilisateur, informant de la présence de notifications dans le panneau latéral. La conception de l’icône qui donne accès à l’Action Center change également pour montrer la présence de notifications non lues. Cette icône est une bulle de dialogue carrée qui est creuse s’il n’y a pas de notifications non lues et solide s’il y en a. Ces deux modes de communication ne permettent pas nécessairement à l’utilisateur de voir ces notifications.

Le centre d’action n’est pas visible en permanence et les messages ne sont donc lus que si l’utilisateur choisit d’ouvrir le panneau latéral. Soit intentionnellement, soit par oubli, l’utilisateur pourrait ne jamais ouvrir le Centre de maintenance et il se peut donc que vous ne lisiez jamais ces notifications. Un menu contextuel sur l’icône des notifications dans la barre d’état système permet également à l’utilisateur de vider les notifications du Centre de maintenance, qu’elles aient ou non été lues.

L’utilisation de la messagerie WMI est un canal utile “ne m’oubliez pas” pour les développeurs de logiciels commerciaux et c’est aussi possibilité pour les sites Web d’envoyer des notifications via WMI via WBEM. Cela signifie que le système de notifications est un peu surexploité comme méthode pour rappeler aux clients potentiels la disponibilité d’un produit. C’est devenu un important canal de commercialisation. Comme les gens ont tendance à résister aux arguments de vente, ils sont devenus habitués aux avantages du Centre d’action. Il peut être rempli de «spam», il n’est donc pas inhabituel pour les utilisateurs de vider régulièrement les notifications du Centre d’action sans en lire aucune, de la même manière qu’ils suppriment tout le contenu du Déchet dossier dans leur système de messagerie.

Utilisations pour WMI

Le mépris des messages du Centre d’action est une honte, en particulier dans les situations commerciales. WMI est utilisé par un certain nombre d’applications professionnelles importantes et même des fonctions d’administration réseau envoient des notifications WMI. SNMP, par exemple, peut être configuré pour traiter les alertes dans l’Action Center via WMI. Donc, vous pourriez utiliser WMI beaucoup plus efficacement pour vous aider à gérer votre réseau et également pour alerter les utilisateurs finaux des erreurs sur leurs appareils.

WMI inclut des API et si vous avez un support de programmation, vous pouvez utiliser ce système pour communiquer avec les utilisateurs finaux via des alertes. Cependant, afin de changer la culture et d’encourager les utilisateurs à abandonner leurs préjugés contre le Centre d’action comme une perte de temps, vous devez filtrer les messages non pertinents et les stratagèmes de marketing.

Outils WMI

Vous pouvez exploiter les notifications WMI pour obtenir des informations sur votre ordinateur, votre serveur ou votre réseau si vous pouvez filtrer et gérer correctement ces messages. Malheureusement, l’Action Center n’inclut aucun contrôle. Cependant, il existe un certain nombre d’assistants WMI utiles sur le marché qui peuvent vous aider à exploiter les informations contenues dans les notifications WMI sans avoir à parcourir le spam..

Les sections suivantes expliquent les avantages de chacun de ces outils.

Meilleurs outils de surveillance WMI

1. SolarWinds WMI Monitor avec Server et Application Monitor (ESSAI GRATUIT)

SolarWinds produit une gamme d’excellents outils de surveillance des infrastructures et ses Serveur et moniteur d’application inclut un utilitaire de surveillance WMI. Cependant, c’est un produit payant et vous pouvez simplement obtenir l’expertise SolarWinds WMI en téléchargeant le moniteur WMI gratuit. le utilitaire gratuit n’est pas un morceau découpé du serveur et du moniteur d’application. Il s’agit d’un logiciel complètement distinct développé à partir de zéro un utilitaire autonome.

Cet outil fonctionne sur tous les environnements Windows et est gratuit en permanence. L’outil ne surveille qu’un seul serveur, mais il n’a pas besoin d’être installé sur ce même serveur tant que l’ordinateur sur lequel vous exécutez ce logiciel est connecté au réseau.

Cet outil ne canalisera que les notifications WMI à partir d’applications commercialement utiles: Active Directory, SharePoint, Serveur d’échange, les services de l’information de l’Internet, et serveur SQL. Ainsi, cela élimine immédiatement une grande partie des notifications de spam non pertinentes. La configuration du filtrage et de la gestion des notifications est un peu technique et vous pouvez personnaliser les notifications si vous comprenez comment fonctionnent les jetons WMI. Vous pouvez même écrire vos propres scripts si vous avez des capacités de programmation. Cependant, si vous n’avez pas le temps pour tout cela, vous pouvez simplement utiliser les modèles fournis avec l’outil.

SolarWinds gère un forum en ligne pour sa communauté d’utilisateurs. C’est appelé CLAQUEMENT et tout le monde peut y accéder – vous n’avez pas à payer ou à acheter des produits de SolarWinds. Vous pouvez obtenir des modèles supplémentaires pour le moniteur WMI auprès des utilisateurs de THWACK gratuitement.  Les modèles modifient les routines de collecte des notifications du moniteur. Ils agissent comme des filtres et ils génèrent également des alertes en fonction du nombre et de la fréquence des messages ainsi que des combinaisons de notifications. Essentiellement, les modèles sont la base de connaissances du moniteur WMI et ils vous fourniront des alertes personnalisées et pertinentes sans avoir besoin d’écrire des scripts. Vous pouvez évaluer le serveur & Moniteur d’application sur un Essai gratuit de 30 jours.

Serveur SolarWinds & Application MonitorTéléchargez la version d’essai gratuite de 30 jours

2. Capteur de service WMI Paessler avec PRTG (ESSAI GRATUIT)

Paessler ne produit pas de nombreux outils autonomes individuels. Au lieu de cela, il expédie un package monolithique, appelé Moniteur réseau PRTG, cette couvre tous les utilitaires imaginables que vous pourriez souhaiter pour surveiller les réseaux, les serveurs et les applications. Ce pare-chocs contient une série de «capteurs.”La fonctionnalité de PRTG dépend des capteurs que vous activez. Donc, si vous voulez un moniteur réseau, vous achetez PRTG et allumez les capteurs de surveillance réseau. Si vous êtes à la recherche d’un moniteur de serveur, il vous suffit d’activer les capteurs de surveillance de serveur de PRTG.

PRTG contient des capteurs WMI, vous pouvez donc simplement utiliser le package en tant que moniteur WMI et laisser tous les autres capteurs désactivés. Un grand avantage de cette stratégie est qu’elle ne vous coûtera rien. Les bandes de charge de Paessler pour PRTG sont calculées sur le nombre de capteurs que vous souhaitez utiliser et le système est gratuit pour 100 capteurs ou moins.

La capture d’écran ci-dessus montre comment PRTG interprète les notifications WMI. Dans cette vue, vous pouvez voir des graphiques de performances pour les notifications WMI et SNMP. Les graphiques représentent le volume des notifications générées et dans cette vue, vous pouvez voir la valeur d’une année entière de données interprétées. La vue peut être réduite à une période de deux jours, vous donnant des volumes de notification par heure. Les alertes sont également représentées sur les graphiques, représentées par des points imposés sur la ligne de performance.

L’illustration montre une seule façon d’utiliser les données de notification WMI. Le tableau de bord est entièrement personnalisable et vous pouvez également explorer pour afficher des notifications individuelles. Vous pouvez également créer des alertes personnalisées en fonction des messages WMI.

PRTG est un outil très complet et il est fort probable que vous souhaitiez activer d’autres capteurs à côté des fonctionnalités WMI. Par exemple, l’utilisateur dans l’illustration ci-dessus a choisi d’implémenter Surveillance SNMP ainsi que. Cette stratégie est parfaitement réalisable et pourrait même être gérée dans la limite de 100 capteurs sur la version gratuite. Si vous souhaitez déployer PRTG entièrement, vous devrez payer pour cela. Tu peux recevoir un essai gratuit de 30 jours de PRTG avec activation illimitée du capteur.

Moniteur réseau Paessler PRTGTéléchargez la version d’essai gratuite de 30 jours

3. Sapien WMI Explorer

Sapien a produit un outil de gestion WMI complet avec son explorateur WMI. C’est beaucoup plus outil WMI approfondi que les autres sur cette liste et se concentre uniquement sur les notifications WMI. Il vous donne également accès à PowerShell. Il s’agit d’un outil très technique et si vous comprenez comment PowerShell fonctionne et comment les messages WMI sont structurés, vous ne voudrez plus jamais utiliser d’autre outil pour accéder au système WMI. Si vous n’êtes pas adepte des concepts de programmation et que vous ne travaillez pas bien avec les codes et les jetons, vous aurez du mal à tirer quelque chose de significatif de cet utilitaire..

Sapien WMI Explorer renverse le rideau des frontaux conviviaux et vous emmène directement dans la fosse des données WMI. C’est l’équivalent numérique de se salir les mains.

WMI stocke les messages Action Center dans une base de données et WMI Explorer vous permet d’accéder directement à cette source de données. Vous pouvez examiner les données de l’ordinateur sur lequel l’Explorateur est installé et également accéder aux magasins WMI d’autres ordinateurs via un réseau. Le programme sera même messages de cache à partir de systèmes distants afin que vous puissiez toujours explorer leurs données WMI lorsqu’ils ne peuvent pas être contactés.

Comme vous l’avez lu ci-dessus, un grand volume de notifications WMI se cache dans les profondeurs de tous les ordinateurs Windows et vous devez réduire la prolifération avant de pouvoir détecter toute information significative. Sapien est très doué pour vous fournir des filtres et des outils de recherche qui agissent comme votre machette pendant que vous plongez dans la jungle de WMI.

L’outil comprend un VBScript et PowerShell générateur de scripts pour créer des procédures de collecte et de formatage des données. Encore, utilisez-les avec prudence. Si vous n’êtes pas familier avec PowerShell, vous feriez mieux de regarder les modèles fournis par l’outil. Ce sont des scripts pré-écrits qui automatiseront la collecte de données pour vous.

Chaque notification dans la base de données WMI est généralement liée à une explication qui est mise à disposition en ligne par la société de logiciels qui a fourni le programme générateur de notification. Ces informations peuvent fournir des explications plus approfondies pour tous les codes d’erreur contenues dans le message WMI et même proposer des solutions. WMI Explorer extrait ces guides pour vous aider à résoudre les problèmes signalés par le message WMI.

Les données peuvent être exportées dans HTML, XML, CSV, et texte brut. WMI Explorer ne dispose pas d’une interface utilisateur sophistiquée, les développeurs s’attendent donc à ce que les utilisateurs transfèrent des données vers d’autres applications, comme Excel pour analyse.

WMI Explorer n’est pas gratuit, mais il est très bon marché. Le prix que vous payez vous permet d’utiliser le logiciel pour toujours, mais il ne vous offre une assistance que pour un an. Ce support n’est pas seulement un Help Desk, mais aussi comprend des correctifs et des mises à jour. Vous pouvez acheter un package de support pour les années suivantes.

4. Nagios XI

Nagios Core est un système de surveillance de réseau gratuit de classe mondiale. Il existe également une version payante, appelée Nagios XI. Les deux versions peuvent être améliorées par des modules complémentaires disponibles gratuitement auprès d’une communauté d’utilisateurs très active. Les deux versions de Nagios utilisent WMI pour collecter des données et les présenter aux administrateurs. Il existe également un certain nombre de plug-ins liés à WMI disponibles dans la communauté.

WMI est classé comme un système «sans agent». Cela signifie qu’un programme de surveillance n’a pas besoin de déployer son propre composant client sur chaque équipement surveillé. C’est parce que les notifications WMI sont déjà générées de toute façon, donc tout développeur d’un moniteur WMI doit faire est d’écrire un gestionnaire central pour collecter ces messages. Nagios a un tel gestionnaire intégré.

Nagios fonctionne les fenêtres et Linux. Cependant, ne pensez pas que vous ne pouvez pas collecter de données WMI si vous installez le moniteur sur un ordinateur Linux, car le système tend la main sur le réseau pour explorer les données système sur chaque ordinateur qui lui est connecté. Cette exploration comprend la collecte de données WMI.

L’utilisation WMI de Nagios n’est pas spécifiquement canalisée vers un écran du tableau de bord car l’outil exploite le système WMI pour collecter des données sur les performances des applications et de l’hôte, donc une grande partie du retour des statuts en direct que vous voyez dans l’outil est en fait basé sur les notifications WMI.

5. Explorateur WMI

L’outil WMI est parfois appelé Explorateur CodePlex WMI en raison du fait que son code était auparavant disponible sur le CodePlex Plate-forme. Cependant, CodePlex n’est pas une maison de logiciels, c’est une archive de code et le code a maintenant été déplacé vers GitHub.

Cet outil est un projet open source et tu peux l’utiliser gratuitement. Il a été développé par un administrateur système qui n’a pas pu trouver le bon outil pour lui permettre de trier les notifications WMI, il en a donc rédigé un lui-même. Il a ensuite mis cet outil à la disposition des autres.

C’est un navigateur de données WMI. La disposition de l’interface est similaire à Windows Explorateur de fichiers. Il a une structure arborescente dans un panneau à gauche de la fenêtre, qui ressemble au panneau de répertoire dans l’Explorateur de fichiers. Le panneau suivant vous permet d’affiner les enregistrements par classe, puis vous obtenez un panneau de recherche pour filtrer encore plus les résultats. Le panneau le plus à droite de l’écran est un visualiseur de données, détails de l’objet actuellement sélectionné.

Ce que ces différents panneaux montrent en réalité, ce sont les éléments Langage de requête WMI. Donc, lorsque vous sélectionnez des options dans chaque liste, vous assemblez vraiment une requête WQL. L’interface assemble la requête sur une ligne en bas de l’écran, c’est donc également un tutoriel WQL. En utilisant l’explorateur WMI, vous vous familiariserez avec la langue.

Il s’agit d’une interface très simple et vous n’avez pas besoin de compétences spécialisées pour l’utiliser. Vous pouvez explorer n’importe quel ordinateur à distance sur un réseau tant que vous en avez le mot de passe administrateur. En plus d’assembler la requête WQL, l’outil générera un script PowerShell pour livrer et exécuter la requête dans la base de données WMI et retourner les résultats. Cet outil prend en charge tout le travail de programmation nécessaire pour récupérer les données WMI.

6. Outils WMI gratuits Adrem

Outils WMI gratuits à partir de Adrem est une interface unique qui comprend une variété d’outils de manipulation WMI, tous accessibles via un menu latéral. L’outil est capable de mes données WMI sur la machine sur laquelle il est installé et il peut également interroger tout autre ordinateur qui peut être contacté via un réseau – vous auriez cependant besoin du mot de passe administrateur pour ces autres ordinateurs.

Les outils WMI incluent l’accès aux journaux d’événements et ils peuvent également interroger les statuts du système pour vous. Ces utilitaires en font pack gratuit d’utilitaires dans un outil de surveillance de système léger, vous emmenant bien au-delà de la simple visualisation de messages WMI ou de la collecte de statistiques sur leurs sources et leur fréquence.

Les vues disponibles dans l’interface sont:

• Aperçu – donner un résumé général du système
• Processus – affiche tous les processus actifs et en cours sur la machine en cours d’examen
• Prestations de service – une liste de tous les services installés et de leur statut, y compris les services inactifs
• Journaux des événements – une liste de tous les journaux d’événements sur la machine
• Matériel – détails en direct des statuts du matériel
• Système opérateur – tous les composants OS actifs
• Explorateur WMI – un interprète WMI Query Language

Cet ensemble d’outils vous donne contrôles très complets sur les machines Windows de votre entreprise. Le seul inconvénient de la structure du jeu d’outils est qu’il ne peut donner des vues que sur un ordinateur à la fois.

Les écrans d’interprétation des données signifient que vous aurez très rarement besoin d’aller Explorateur WMI outil pour effectuer des recherches directes sur les données brutes. Pour la plupart des gens, la visualisation de l’état du système et une disposition des données bien planifiée fournirait suffisamment d’informations.

Si Adrem créait une version consolidée de cet utilitaire, ce serait un système de surveillance d’infrastructure à part entière. le interface graphique agréable, avec ses limitations de vue rend cet outil bien adapté aux petits réseaux, où éventuellement un propriétaire-exploitant devrait assumer la responsabilité de l’administration du système. Vous n’auriez pas besoin de compétences techniques pour installer et utiliser ce formidable pack d’utilitaires de surveillance du système.

sept. Hyena WMI Inventory Reporting Tool

Hyena est un package de surveillance du système créé par le logiciel System Tools. le Edition pour entreprise de ce pack comprend le Outil de rapport d’inventaire WMI. Ceci est un interpréteur de requêtes et Générateur VBScript. L’utilitaire supprime toutes les exigences de programmation de la tâche de surveillance de WMI en présentant chaque élément de requête dans une série de listes. L’utilisateur assemble une requête à l’aide des options pointer-cliquer, puis l’outil compile la requête assemblée dans VBScript pour la livrer à la base de données WMI et récupérer les résultats.

Avant de recourir au Assembleur de requêtes WMI, vous pouvez parcourir une bibliothèque de requêtes pré-écrites, dont l’un pourrait déjà répondre à votre objectif. Que vous exécutiez une requête de bibliothèque ou créiez la vôtre, vous avez la possibilité d’exécuter l’enquête sur votre propre ordinateur, ou un ordinateur distant, ou même sur des groupes d’ordinateurs. Vous aurez besoin des autorisations d’administrateur de tous les ordinateurs auxquels vous accédez.

L’utilitaire est appelé «outil de rapport d’inventaire“Et vous pouvez l’utiliser pour enregistrer de nombreux détails sur chacun les fenêtres ordinateur que vous avez connecté à votre réseau.

Les types d’informations pouvant être collectées avec l’outil incluent:

• Marque de l’ordinateur, modèle et ID d’actif du système
• Type de CPU, architecture, capacité et utilisation
• Capacité et utilisation de la mémoire
• Système d’exploitation, niveau du Service Pack et numéro de série
• Adresses MAC et adresse IP de l’ordinateur, plus détails DHCP
• Applications, correctifs et mises à jour de sécurité installés

L’outil comprend une fonction d’exécution d’action, qui vous permet d’exécuter des programmes qui agissent sur les données WMI collectées. Cette automatisation des tâches comprend gestion des journaux, Gestion des adresses DHCP, lancer ou tuer des processus, suppression d’applications, création de routines de démarrage du système, et commander des redémarrages ou des arrêts. Toutes les activités de Hyena peuvent être enregistrées à des fins d’audit.

Un point faible de Hyena est son interface. Il est très bon pour rassembler des données mais il n’est pas très bon pour les afficher et il n’y a pas beaucoup de fonctionnalités analytiques dans l’utilitaire. Cependant, vous pouvez exporter des données de Hyena vers Access ou Excel pour y analyser.

Hyena n’est pas un outil gratuit, mais vous pouvez l’essayer lors d’un essai gratuit de 30 jours.

8. NirSoft SimpleWMIView

Offres NirSoft un front-end de base de données WMI gratuit, appelé SimpleWMIView. Cet outil affiche les enregistrements qu’il rencontre dans un espace de noms WMI donné sur un ordinateur donné. L’outil tabule les enregistrements WMI pour une visualisation facile et cette mise en forme facilite également l’écriture des enregistrements dans Fichiers CSV pour l’importation dans d’autres outils, comme Excel. Il est également possible d’écrire texte brut, tdélimité ab, HTML, XML, et JSON formats.

Le téléchargement de l’utilitaire est son fichier exécutable, il ne nécessite donc aucun processus d’installation. Vous venez d’exécuter le fichier téléchargé pour faire fonctionner l’interface. SimpleWMIView peut également être exécuter sur la ligne de commande avec une série d’options qui obtiennent vos données WMI dans un fichier sans ouvrir l’interface.

Le programme accède aux enregistrements WMI stockés sur le même ordinateur sur lequel le logiciel SimpleWMIView est installé. pourtant, il est possible de se connecter à d’autres ordinateurs sur le réseau via l’interface.

L’interface comprend des filtres simples et vous pouvez configurer vos propres filtres de données WQL si vous avez une connaissance du langage de requête. L’interface est également en mesure de trier les données sur l’une des colonnes affichées dans l’interface. Toutes ces actions de manipulation de données peuvent également être spécifiées sur la ligne de commande.

La possibilité de collecter des données via une commande permet de intégrer cet utilitaire dans un travail par lots et exécuter périodiquement des requêtes. C’est une bonne option si vous souhaitez archiver les messages WMI dans des fichiers journaux. Ainsi, vous pouvez créer votre propre serveur de fichiers journaux WMI avec cet outil.

L’utilitaire fonctionne bien si vous recherchez un outil de manipulation de données brutes. Il n’est pas vraiment un outil d’analyse WMI. Cependant, la gamme de formats d’exportation fournis par l’outil signifie qu’il serait un bon back-end pour tout autre outil, qui pourrait fournir de meilleures fonctions d’analyse.

9. Goverlan WMIX

Le produit principal de Goverlan est un outil de surveillance de réseau, appelé Atteindre. L’entreprise produit également un certain nombre d’outils complémentaires et WMIX en fait partie. le WMIX est un rassembleur de données WMI gratuit.

Comme certains des autres outils de cette liste, WMIX représente simplement les éléments d’une recherche WMI Query Language dans une interface graphique. Lorsque vous sélectionnez des éléments dans chaque panneau d’options, vous verrez la requête WQL assembler dans un champ en bas de l’écran. Donc, il vous offre un bon moyen de vous familiariser avec WQL.

Les requêtes WMI sont généralement gérées via PowerShell de VBScript. L’interface regroupe vos instructions WQL dans un script afin que vous n’ayez pas à vous soucier de l’apprentissage du langage de commande de ces deux systèmes. Si vous souhaitez écrire vos propres scripts pour une future surveillance WMI, vous pouvez assembler les requêtes WQL dans l’interface WMIX, puis les extraire pour les inclure dans vos scripts.

Le visualiseur de données présente les enregistrements WMI dans une arborescence, vous permettant de parcourir les catégories de messages, en développant chaque nœud pour révéler des propriétés plus détaillées. Un panneau latéral explique les attributs de chaque nœud. Cette disposition permet d’explorer très facilement les statuts et les propriétés de votre ordinateur Windows.

WMIX est un générateur de scripts et de requêtes très attractif. Il fonctionne à la fois comme un guide et un outil pédagogique ainsi qu’une interface d’accès aux données. Cet outil conviendrait aux administrateurs de réseaux de toute taille mais serait particulièrement intéressant pour les gestionnaires de petits systèmes qui reposent sur des ordinateurs Windows.

dix. Powershell WMI Explorer

Le Powershell WMI Explorer est une interface WMI gratuite développée par des passionnés. Cet outil existe depuis longtemps et a été l’un des premiers interprètes WMI disponibles. Bien que l’interface ne soit pas très sophistiquée, elle est plus ou moins a commencé toute la catégorie des logiciels d’interprètes WMI et influencé le développement de tous les autres outils de cette liste. Il est parfois désigné par le nom de son développeur, vous pouvez donc voir cet outil facturé comme l’explorateur WMI de Marc van Orsouw. M. Van Orsouw s’identifie également comme «/ \ / \ O \ / \ /» donc un autre nom qui est parfois utilisé pour cet outil est MoW WMI Explorer.

L’Explorateur peut accéder aux données WMI sur l’ordinateur local ou il peut se connecter via un réseau pour accéder aux données WMI sur d’autres ordinateurs. L’interface ne permet pas la récupération simultanée à partir de plusieurs sources. Cependant, vous pouvez collecter des enregistrements WMI de chaque source, les écrire dans un fichier, puis fusionner ces fichiers si vous souhaitez une vue d’ensemble unifiée de l’activité WMI sur votre réseau.

L’interface contient quatre panneaux principaux – deux panneaux d’index à gauche et deux panneaux d’accès aux données plus larges à droite. Le premier panneau d’index affiche une vue de type Explorateur de fichiers des espaces de noms disponibles sur l’ordinateur. Le deuxième panneau de gauche répertorie toutes les options de classe de données pour WMI. Le panneau inférieur droit explique la catégorie sélectionnée et affiche également toutes les propriétés disponibles. Le panneau supérieur droit vous permet d’assembler une requête, puis de l’exécuter.

Les récupérations de données WMI sont automatiquement effectuées via PowerShell, vous n’avez donc pas besoin d’écrire vos propres procédures pour collecter des données.

Le panneau Aide de l’outil est particulièrement utile car il explique la signification de chaque classe de données. Il y a beaucoup de classes et donc ce manuel de référence peut être très utile même si vous n’avez pas l’intention d’utiliser l’outil pour interroger directement WMI.

Problèmes WMI

Beaucoup ont tendance à ignorer les notifications d’Action Center. un cadeau aux pirates. De même, les systèmes de détection d’intrusion négligent souvent les notifications WMI comme étant trop banal pour faciliter les attaques. pourtant, WMI peut être utilisé dans toutes les phases d’une stratégie d’attaque et sa combinaison avec PowerShell pour transporter les données et les requêtes sur les réseaux fait de cet outil un excellent conduit pour le vol de données à la vue.

Les messages WMI ne se transforment généralement pas en fichiers physiques. Cela signifie qu’ils ne deviennent jamais du matériel source pour systèmes de détection d’intrusion basés sur l’hôte (HIDS) et ne sera jamais considéré par gestionnaires d’informations de sécurité (SIMs) qui font partie de SIEM. Ainsi, le simple fait de vider les messages WMI dans des fichiers périodiquement (quotidiennement) commencera à faire suivre ces notifications WMI tant que vous trouvez un HIDS ou une carte SIM capable de gérer le format des fichiers journaux produits par votre processus de serveur de journaux.

PowerShell est omniprésent dans les systèmes Windows et toute tentative de bloquer cette méthode de service désactiverait l’utilité de votre ordinateur car il est utilisé par trop d’applications pour être considéré comme un système facultatif. Donc, malgré l’attrait évident de PowerShell pour les pirates, systèmes de détection d’intrusion basés sur le réseau (NIDS) ne regardent pas toujours de trop près les activités de ce service essentiel.

Les méthodes de fonctionnement de WMI incluent une installation appelée «abonnement.”Cela redémarrera un processus WMI s’il est tué. Donc, cela fournirait un mécanisme utile pour une menace persistante avancée (APT) continuer à fonctionner sur un ordinateur même après un redémarrage ou un nettoyage du système est effectué par un logiciel anti-programme malveillant.

Une combinaison de WMI et de PowerShell fournit un moyen efficace pour les logiciels malveillants sans fichier de rester actifs sur un ordinateur même lorsque l’infection d’origine a été nettoyée. Cependant, il n’est pas nécessaire qu’il y ait une infection initiale traçable. Les sites Web peuvent notifications push WMI, mis en œuvre avec la permission de l’utilisateur. Ce mécanisme permet au site Web d’envoyer des notifications aux utilisateurs, même lorsque le site Web n’est plus ouvert dans un navigateur sur l’ordinateur. Donc, une attaque malveillante pourrait facilement être dirigée par un centre de commande à distance via le système WMI. Le processus de bureau pourrait être manipulé pour transporter des instructions malveillantes vers chaque ordinateur Windows en délivrant les alertes demandées à partir d’un site distant par un abonnement WMI persistant. Une activité à l’échelle du réseau pourrait être coordonnée via des routines PowerShell inoffensives.

Tous les utilisateurs d’ordinateurs sont prudents lorsqu’ils autorisent les notifications de sites Web peu connus. Cependant, les pirates sont connus pour ferroutage leur diffusion de virus via les sites Web de sites de confiance. Une mise à jour de produit infectée ou carrément fausse est une autre méthode bien connue de distribution de virus, et si la modification du système est implémentée en tant que configuration de notification WMI sans stocker aucun fichier sur l’ordinateur, les systèmes antivirus ne le repéreraient pas.

Surveiller WMI

Windows Management Instrumentation est largement utilisé par les fournisseurs de logiciels et les sites Web pour communiquer des informations sur les erreurs et la publicité des événements aux utilisateurs d’ordinateurs Windows. Les propriétaires d’ordinateurs semblent moins intéressés par les capacités de WMI, mais ils devraient y prêter attention.

Comme vous l’avez lu dans ce guide. WMI est une bonne source d’informations système utiles qui peuvent être utiles aux utilisateurs d’ordinateurs privés ainsi qu’aux administrateurs de réseaux commerciaux. pourtant, le volume écrasant de messages non essentiels peut souvent nuire à l’utilité du système WMI.

Si vous avez annulé WMI comme non pertinent, alors détrompez-vous. Les administrateurs de systèmes réseau de l’entreprise doivent commencer en particulier à parcourir les espaces de noms WMI pour obtenir des informations sur l’activité du système. Si vous êtes devenu l’objet d’un menace persistante avancée, vous ne saurez rien sur l’intrusion tant que vous ne la chercherez pas – c’est la nature des APT. Un APT est une infection cachée qui peut passer inaperçue pendant des années. Ce type d’intrusion compromet l’intégrité de votre système, expose les données à la divulgation et offre à un pirate suffisamment de temps pour explorer tous les recoins de votre entreprise, définir des pièges, modifier des données et collecter les informations d’authentification.

Se familiariser avec le système WMI, ses structures de formatage des données et le paysage de l’information est la première étape pour exploiter la puissance de Windows Management Instrumentation. Votre prochaine tâche consiste à démarrer des opérations pratiques, et l’un des outils de notre liste vous fournira un excellent support lorsque vous en apprendrez plus sur Classes WMI, Langage de requête WMI et PowerShell et VBScript accès aux magasins de données.

Une fois que vous êtes à l’aise avec les processus WMI, vous serez mieux placé pour évaluer si vos systèmes de sécurité actuels sont suffisants afin de protéger votre entreprise contre les attaques de logiciels malveillants sans fichier et les menaces persistantes avancées. Si vous ne trouvez pas de système SIEM qui recueille actuellement des données WMI, écrire votre propre routine de gestion des journaux WMI et les alimenter dans un système de détection d’intrusion basé sur l’hôte. Tous les deux malware sans fichier et APT sont des stratégies d’intrusion à croissance rapide et vous devez prendre de l’avance sur ces problèmes afin de protéger les utilisateurs et les données de votre système.

Surveillez-vous votre système WMI? Avez-vous découvert un APT fonctionnant via WMI et PowerShell? Avez-vous trouvé l’intrusion difficile à éliminer? Avez-vous trouvé un IDS qui inclut la surveillance WMI? Laissez un message dans le commentaires section ci-dessous pour partager vos expériences avec la communauté.