Strumentazione gestione Windows (WMI) è un componente di tutte le versioni di Windows da Windows 2000. È un’interfaccia attraverso la quale le applicazioni possono inviare notifiche all’utente del computer.
Fa parte di tutti i tipi di Windows, incluso Windows Server. Questa funzionalità non è limitata alle utilità di Microsoft e agli elementi del sistema operativo. Qualsiasi sviluppatore di software può includere notifiche WMI in un programma.
Se non hai tempo di leggere l’intero post, ecco qui la nostra lista dei dieci migliori strumenti di monitoraggio WMI:
- Monitor WMI di SolarWinds con Server e Application Monitor (PROVA GRATUITA) Specializzare il monitor WMI come parte del Server e Application Monitor, che gira su Windows Server.
- Paessler WMI Service Sensor con PRTG Monitor WMI integrato nel PRTG tre in uno, che monitora reti, server e applicazioni. Funziona su Windows Server.
- Sapien WMI Explorer Approfondimento WMI e monitor Powershell per gli esperti di tecnologia.
- Nagios XI Sistema completo di monitoraggio della rete con plug-in WMI disponibili. Funziona su Windows e Linux.
- WMI Explorer Browser dati WMI gratuito disponibile su GitHub.
- Strumenti WMI gratuiti di Adrem Visualizzatore dati WMI e gestore registro eventi gratuiti.
- Strumento di reporting dell’inventario WMI di Hyena Parte di un pacchetto di analisi del sistema operativo. Questo strumento ha grandi capacità di raccolta dati.
- NirSoft Simple WMI Viewer Visualizzatore dati WMI con un’interfaccia di scripting.
- Goverlan WMIX Raccolta dati WMI gratuita con un assemblatore di query WQL integrato.
- Powershell WMI Explorer Raccolta dati WMI che utilizza Powershell per il recupero di informazioni.
Come funziona WMI?
Il meccanismo WMI si basa sui principi progettati dal Task force di gestione distribuita (DMTF) che sono stati definiti in due protocolli pubblicati: Gestione aziendale basata sul web (WBEM) e il Modello di informazione comune (CIM). In sostanza, consentono alle attività in background di superare l’ambiente desktop in esecuzione costante includendo una routine di verifica dei messaggi nel programma di gestione desktop dell’ambiente.
La routine fornisce un servizio che è un po ‘come un sistema a buco di piccione. Le applicazioni che desiderano visualizzare le notifiche sul desktop le posizionano in una specifica area di memoria. Quando il programma Desktop torna al punto in cui viene richiesto di verificare la presenza di messaggi, tutte le notifiche di attesa verranno elaborate a turno e visualizzate nel pannello espandibile sul lato destro del desktop.
Problemi con WMI
L’area desktop che contiene notifiche “pubblicate” è chiamata Centro azione. Una volta elaborati tutti i messaggi, il Desktop mostra un avviso all’utente, informando della presenza di notifiche nel pannello laterale. Anche il design dell’icona che dà accesso al Centro operativo cambia per mostrare la presenza di notifiche non lette. Questa icona è un fumetto quadrato che è vuoto se non ci sono notifiche non lette e solido se ci sono. Questi due metodi di comunicazione non consentire necessariamente all’utente di visualizzare tali notifiche.
Il Centro operativo non è permanentemente visibile, quindi i messaggi vengono letti solo se l’utente sceglie di aprire il pannello laterale. O intenzionalmente o attraverso l’oblio, l’utente potrebbe non aprire mai il Centro operativo e quindi potrebbe non leggere mai quelle notifiche. Un menu di scelta rapida sull’icona delle notifiche nella barra delle applicazioni consente inoltre all’utente di scaricare le notifiche dal Centro operativo indipendentemente dal fatto che siano state lette o meno.
L’uso della messaggistica WMI è un utile canale “non ti scordar di me” per gli sviluppatori di software commerciale e lo è anche possibile per i siti Web inviare notifiche tramite WMI tramite WBEM. Ciò significa che il sistema di notifica è un po ‘troppo sfruttato come metodo per ricordare ai potenziali clienti la disponibilità di un prodotto. È diventato un importante canale di marketing. Dato che le persone tendono a resistere alle proposte di vendita, sono diventate attratte dai vantaggi del Centro operativo. Può essere pieno di “spam”, quindi non è insolito per gli utenti svuotare regolarmente le notifiche di Action Center senza leggerne nessuna, molto nel modo in cui eliminano tutti i contenuti del Rifiuto cartella nel loro sistema di posta elettronica.
Utilizza per WMI
L’inosservanza dei messaggi del Centro operativo è un peccato, soprattutto nelle situazioni commerciali. WMI viene utilizzato da numerose importanti applicazioni aziendali e anche le funzioni di amministrazione della rete inviano notifiche WMI. SNMP, ad esempio, può essere impostato per elaborare avvisi nel Centro operativo tramite WMI. Così, potresti utilizzare WMI in modo molto più efficace per aiutarti a gestire la tua rete e anche per avvisare gli utenti finali di errori sui loro dispositivi.
WMI include API e se si dispone del supporto per la programmazione, è possibile utilizzare questo sistema per comunicare con gli utenti finali tramite avvisi. Tuttavia, al fine di cambiare la cultura e incoraggiare gli utenti a perdere i loro pregiudizi contro il Centro operativo come una perdita di tempo, è necessario filtrare i messaggi irrilevanti e gli stratagemmi di marketing.
Strumenti WMI
È possibile sfruttare le notifiche WMI per ottenere informazioni sul computer, sul server o sulla rete se è possibile filtrare e gestire correttamente tali messaggi. Sfortunatamente, il Centro operativo non include alcun controllo. Tuttavia, sul mercato esistono numerosi utili assistenti WMI che possono aiutarti a sfruttare le informazioni contenute nelle notifiche WMI senza dover passare attraverso lo spam.
Le seguenti sezioni spiegano i vantaggi di ciascuno di questi strumenti.
I migliori strumenti di monitoraggio WMI
1. Monitor WMI di SolarWinds con Server e Application Monitor (PROVA GRATUITA)
SolarWinds produce una gamma di eccellenti strumenti di monitoraggio dell’infrastruttura e relativi Server e Application Monitor include un’utilità di monitoraggio WMI. Tuttavia, questo è un prodotto a pagamento e puoi semplicemente ottenere l’esperienza WMI di SolarWinds scaricando il file WMI Monitor gratuito. Il utilità gratuita non è un pezzo tagliato dal Server e Application Monitor. È un software completamente separato sviluppato da zero come un’utilità autonoma.
Questo strumento funziona su tutti gli ambienti Windows ed è permanentemente gratuito da usare. Lo strumento monitora solo un server, ma non deve essere installato su quello stesso server fintanto che il computer su cui si esegue questo software è connesso alla rete.
Questo strumento canalizzerà solo le notifiche WMI da applicazioni commercialmente utili: Active Directory, SharePoint, Exchange Server, Internet Information Services, e server SQL. Quindi, ciò elimina immediatamente molte notifiche di spam irrilevanti. L’impostazione per il filtro e la gestione delle notifiche è un po ‘tecnica e puoi personalizzare le notifiche se capisci come funzionano i token WMI. Puoi persino scrivere i tuoi script se hai capacità di programmazione. Tuttavia, se non hai tempo per tutto ciò, potresti semplicemente usare i modelli forniti con lo strumento.
SolarWinds gestisce un forum online per la sua comunità di utenti. Questo è chiamato THWACK e chiunque può accedervi: non è necessario pagare o acquistare prodotti da SolarWinds. È possibile ottenere modelli aggiuntivi per il monitor WMI dagli utenti THWACK gratuito. I modelli modificano le routine di raccolta delle notifiche del monitor. Agiscono come filtri e genereranno anche avvisi basati sul conteggio e sulla frequenza dei messaggi e anche combinazioni di notifiche. In sostanza, i modelli sono la base di conoscenza di WMI Monitor e forniscono avvisi pertinenti e personalizzati senza la necessità di scrivere script. È possibile valutare il server & Application Monitor su a Prova gratuita di 30 giorni.
Server SolarWinds & Application Monitor Scarica la versione di prova GRATUITA di 30 giorni
2. Paessler WMI Service Sensor con PRTG (PROVA GRATUITA)
Paessler non produce molti singoli strumenti autonomi. Invece, spedisce un pacchetto monolitico, chiamato PRTG Network Monitor, quello copre ogni utilità immaginabile che potresti desiderare per monitorare reti, server e applicazioni. Questo paraurti contiene una serie di “sensori.”La funzionalità di PRTG dipende dai sensori attivati. Quindi, se si desidera un monitor di rete, si acquista PRTG e si attivano i sensori di monitoraggio della rete. Se sei sul mercato per un monitor server, devi solo attivare i sensori di monitoraggio del server PRTG.
PRTG contiene sensori WMI, così puoi semplicemente usare il pacchetto come monitor WMI e lasciare tutti gli altri sensori spenti. Un grande vantaggio di questa strategia è che non ti costerà nulla. Le fasce di ricarica di Paessler per PRTG sono calcolate in base al numero di sensori che si desidera utilizzare e al sistema gratuito per 100 sensori o meno.
La schermata sopra mostra come PRTG interpreta le notifiche WMI. In questa vista, è possibile visualizzare i grafici delle prestazioni per le notifiche WMI e SNMP. I grafici rappresentano il volume delle notifiche generate e, in questa vista, puoi vedere un intero anno di dati interpretati. La vista può essere ridotta a un periodo di due giorni, dandoti volumi di notifica all’ora. Gli avvisi sono anche rappresentati nei grafici, rappresentati come punti imposti sulla linea delle prestazioni.
L’illustrazione mostra solo un modo in cui è possibile utilizzare i dati di notifica WMI. La dashboard è completamente personalizzabile e puoi anche eseguire il drill down per visualizzare le singole notifiche. È inoltre possibile creare avvisi personalizzati basati sui messaggi WMI.
PRTG è uno strumento molto completo ed è molto probabile che tu voglia attivare altri sensori oltre alle funzionalità WMI. Ad esempio, l’utente nella figura sopra ha scelto di implementare Monitoraggio SNMP anche. Questa strategia è perfettamente fattibile e potrebbe anche essere gestita entro il limite di 100 sensori nella versione gratuita. Se vuoi distribuire completamente PRTG, dovrai pagare per questo. Puoi prendere una prova gratuita di 30 giorni di PRTG con attivazione illimitata del sensore.
Paessler PRTG Network Monitor Scarica versione di prova GRATUITA di 30 giorni
3. Sapien WMI Explorer
Sapien ha prodotto uno strumento di gestione WMI completo con WMI Explorer. Questo è molto di più strumento WMI approfondito rispetto agli altri in questo elenco e si concentra esclusivamente sulle notifiche WMI. Ti dà anche accesso a PowerShell. Questo è uno strumento molto tecnico e se capisci come funziona PowerShell e come sono strutturati i messaggi WMI, non vorrai mai usare nessun altro strumento per accedere al sistema WMI. Se non sei abile con i concetti di programmazione e non lavori bene con codici e token, allora avrai difficoltà a ottenere qualcosa di significativo da questa utilità.
Sapien WMI Explorer tira indietro il sipario di front-end intuitivi e ti porta direttamente nella fossa dei dati WMI. Questo è l’equivalente digitale di sporcarsi le mani.
WMI memorizza i messaggi di Action Center in un database e WMI Explorer ti porta direttamente a quell’origine dati. È possibile esaminare i dati dal computer su cui è installato Explorer e accedere agli archivi WMI di altri computer su una rete. Il programma sarà pari messaggi di cache da sistemi remoti in modo da poter ancora esplorare i loro dati WMI quando non sono in grado di essere contattati.
Come hai letto sopra, c’è un grande volume di notifiche WMI in agguato nelle profondità di tutti i computer Windows e devi ridurre la crescita eccessiva prima di poter rilevare qualsiasi informazione significativa. Sapien è molto bravo a fornirti filtri e servizi di ricerca che agiscono come il tuo machete mentre ti immergi nella giungla di WMI.
Lo strumento include a VBScript e PowerShell generatore di script per creare procedure di raccolta e formattazione dei dati. Ancora, usare questi con cautela. Se non si ha familiarità con PowerShell, sarebbe meglio guardare i modelli forniti dallo strumento. Questi sono script pre-scritti che automatizzeranno la raccolta dei dati per te.
Ogni notifica nel database WMI è generalmente collegata a una spiegazione che è resa disponibile online dalla software house che ha fornito il programma che genera la notifica. Questa informazione può fornire spiegazioni più approfondite per eventuali codici di errore contenuto nel messaggio WMI e anche proporre soluzioni. WMI Explorer inserisce queste guide per aiutarti a risolvere i problemi che il messaggio WMI avvisa.
I dati possono essere esportati in HTML, XML, CSV, e testo semplice. WMI Explorer non ha un’interfaccia utente sofisticata, quindi gli sviluppatori si aspettano che gli utenti trasferiscano i dati in altre applicazioni, come Excel per l’analisi.
WMI Explorer non è gratuito, ma è molto economico. Il prezzo che paghi ti fa usare il software per sempre, ma ti dà supporto solo per un anno. Tale supporto non è solo un Help Desk, ma anche include patch e aggiornamenti. È possibile acquistare un pacchetto di supporto per gli anni successivi.
4. Nagios XI
Nagios Core è un sistema di monitoraggio della rete gratuito all’avanguardia nel mondo. Esiste anche una versione a pagamento, chiamata Nagios XI. Entrambe le versioni possono essere migliorate da componenti aggiuntivi disponibili gratuitamente da una comunità di utenti molto attiva. Entrambe le versioni di Nagios utilizzano WMI per raccogliere dati e presentarli agli amministratori. Ci sono anche diversi plug-in relativi a WMI disponibili dalla community.
WMI è classificato come un sistema “senza agenti”. Ciò significa che un programma di monitoraggio non ha bisogno di distribuire il proprio componente client su ogni apparecchiatura monitorata. Questo perché le notifiche WMI sono già state generate comunque, quindi tutto ciò che uno sviluppatore di un monitor WMI deve fare è scrivere un manager centrale per raccogliere quei messaggi. Nagios ha un tale gestore integrato in esso.
Nagios continua finestre e Linux. Tuttavia, non pensare che non puoi raccogliere dati WMI se installi il monitor su un computer Linux perché il sistema raggiunge la rete per esplorare i dati di sistema su ogni computer collegato ad esso. Tale esplorazione include la raccolta di dati WMI.
L’uso WMI di Nagios non è specificamente indirizzato verso uno schermo nella dashboard perché lo strumento sfrutta il sistema WMI per raccogliere dati sulle prestazioni dell’applicazione e dell’host, quindi gran parte del feedback degli stati attivi che vedi nello strumento si basa in realtà sulle notifiche WMI.
5. WMI Explorer
Lo strumento WMI viene talvolta definito come CodePlex WMI Explorer a causa del fatto che il suo codice era disponibile sul CodePlex piattaforma. Tuttavia, CodePlex non è una software house, è un archivio di codici e il codice è stato spostato in GitHub.
Questo strumento è un progetto open source e tu puoi usalo gratuitamente. È stato sviluppato da un amministratore di sistema che non è riuscito a trovare lo strumento giusto per consentirgli di ordinare le notifiche WMI, quindi ne ha scritto uno da solo. Ha quindi reso questo strumento disponibile per gli altri.
Questo è un browser di dati WMI. Il layout dell’interfaccia è simile a Windows Esplora file. Ha una struttura ad albero in un pannello a sinistra della finestra, che assomiglia al pannello della directory in Esplora file. Il pannello successivo ti consente di restringere i record per classe e quindi ottieni un pannello di ricerca per filtrare ulteriormente i risultati. Il pannello più a destra nella schermata è un visualizzatore di dati, che mostra il dettagli dell’oggetto attualmente selezionato.
Ciò che questi diversi pannelli mostrano effettivamente sono gli elementi di Lingua delle query WMI. Quindi, quando selezioni le opzioni da ciascun elenco, stai davvero assemblando una query WQL. L’interfaccia assembla la query in una riga nella parte inferiore dello schermo, quindi anche questo è effettivamente un tutorial di WQL. Man mano che utilizzi WMI Explorer, acquisirai maggiore familiarità con la lingua.
Questa è un’interfaccia molto semplice e non hai bisogno di competenze specialistiche per usarla. Puoi esplorare qualsiasi computer in remoto tramite una rete purché tu abbia la password dell’amministratore. Oltre a assemblare la query WQL, lo strumento genererà uno script PowerShell per recapitare ed eseguire la query nel database WMI e restituire i risultati. Questo strumento si occupa di tutto il lavoro di programmazione necessario per recuperare i dati WMI.
6. Strumenti WMI gratuiti di Adrem
Strumenti WMI gratuiti da Adrem è una singola interfaccia che include una varietà di strumenti di manipolazione WMI, tutti accessibili tramite un menu laterale. Lo strumento è in grado di i miei dati WMI sul computer su cui è installato e può anche eseguire una query su qualsiasi altro computer che può essere contattato su una rete; tuttavia, per gli altri computer è necessaria la password dell’amministratore.
Gli strumenti WMI includono l’accesso ai registri eventi e possono anche interrogare gli stati del sistema per te. Queste utility lo rendono pacchetto di utilità gratuito in uno strumento di monitoraggio del sistema leggero, che ti porta ben oltre la semplice visualizzazione di messaggi WMI o la raccolta di statistiche sulle loro fonti e frequenza.
Le visualizzazioni disponibili nell’interfaccia sono:
- Panoramica – fornire un riepilogo generale del sistema
- Processi – mostra tutti i processi attivi e attivi sulla macchina in esame
- Servizi – un elenco di tutti i servizi installati e il loro stato, compresi i servizi inattivi
- Registri eventi – un elenco di tutti i registri degli eventi sulla macchina
- Hardware – dettagli in tempo reale degli stati dell’hardware
- Sistema operativo – tutti i componenti del sistema operativo attivi
- WMI Explorer – un interprete WMI Query Language
Questo set di strumenti ti dà controlli molto completi sui computer Windows della tua azienda. L’unico aspetto negativo del modo in cui è strutturato il set di strumenti è che può dare viste solo su un computer alla volta.
Le schermate di interpretazione dei dati significano che raramente dovresti andare su WMI Explorer strumento per effettuare indagini dirette sui dati grezzi. Per la maggior parte delle persone, visualizzazione dello stato del sistema e layout dei dati ben pianificato fornirebbe informazioni sufficienti.
Se Adrem avesse mai creato una versione consolidata di questa utility, sarebbe un sistema di monitoraggio dell’infrastruttura completo. Il piacevole interfaccia grafica, insieme ai suoi limiti di visualizzazione rende questo strumento adatto a piccole reti, dove possibilmente un proprietario-operatore dovrebbe assumersi la responsabilità di amministrare il sistema. Non occorrerebbe alcuna competenza tecnica per installare e utilizzare questo fantastico pacchetto di utilità di monitoraggio del sistema.
7. Strumento di reporting dell’inventario WMI di Hyena
Hyena è un pacchetto di monitoraggio del sistema creato dal software Strumenti di sistema. Il Edizione Enterprise di questo pacchetto include il Strumento di reporting dell’inventario WMI. Questo è un interprete di query e Generatore VBScript. L’utilità elimina tutti i requisiti di programmazione dall’attività di monitoraggio WMI presentando ciascun elemento della query in una serie di elenchi. L’utente assembla una query utilizzando le opzioni punta e clicca e quindi lo strumento impacchetterà la query assemblata in VBScript per consegnarla al database WMI e recuperare i risultati.
Prima di ricorrere al Assemblatore di query WMI, puoi sfogliare una libreria di query pre-scritte, uno dei quali potrebbe già soddisfare il tuo obiettivo. Sia che tu esegua una query di libreria o ne crei una tua, hai la possibilità di eseguire l’indagine sul tuo computer o su un computer remoto o anche su gruppi di computer. Avrai bisogno delle autorizzazioni di amministratore di tutti i computer a cui accedi.
L’utilità si chiama “strumento di reporting dell’inventario“E puoi usarlo per registrare molti dettagli su ciascuno di essi finestre computer che hai collegato alla tua rete.
I tipi di informazioni che possono essere raccolti con lo strumento includono:
- Marca del computer, modello e ID risorsa del sistema
- Tipo di CPU, architettura, capacità e utilizzo
- Capacità e utilizzo della memoria
- Sistema operativo, livello del service pack e numero di serie
- Indirizzi MAC e indirizzo IP del computer più dettagli DHCP
- Applicazioni installate, hotfix e aggiornamenti di sicurezza
Lo strumento include una funzione di esecuzione dell’azione, che consente di eseguire programmi che agiscono sui dati WMI raccolti. Questa automazione dell’attività include gestione dei log, Gestione degli indirizzi DHCP, avviare o uccidere i processi, rimozione di applicazioni, creazione di routine di avvio del sistema, e comando riavvii o arresti. Tutte le attività di Hyena possono essere registrate a scopo di controllo.
Un punto debole di Hyena è la sua interfaccia. È molto bravo a raccogliere dati ma non è molto bravo a visualizzarli e non ci sono molte funzionalità analitiche nell’utilità. Tuttavia, è possibile esportare dati da Hyena in Access o Excel per l’analisi lì.
Hyena non è uno strumento gratuito, ma puoi provarlo con una prova gratuita di 30 giorni.
8. NirSoft SimpleWMIView
Offerte di NirSoft un front-end del database WMI gratuito, chiamato SimpleWMIView. Questo strumento visualizza i record che incontra in un determinato spazio dei nomi WMI su un determinato computer. Lo strumento tabula i record WMI per una facile visualizzazione e questa formattazione semplifica anche la scrittura dei record File CSV per l’importazione in altri strumenti, come Excel. È anche possibile scrivere testo semplice, tab delimitato, HTML, XML, e JSON formati.
Il download per l’utilità è il suo file eseguibile, quindi non richiede alcun processo di installazione. Basta eseguire il file scaricato per far funzionare l’interfaccia. SimpleWMIView può anche essere eseguire dalla riga di comando con una serie di opzioni che portano i dati WMI in un file senza aprire l’interfaccia.
Il programma accederà ai record WMI memorizzati sullo stesso computer su cui è installato il software SimpleWMIView. tuttavia, è possibile connettersi ad altri computer sulla rete attraverso l’interfaccia.
L’interfaccia include alcuni filtri semplici e puoi configurarli i tuoi filtri dati WQL se conosci il linguaggio delle query. L’interfaccia è anche in grado di ordinare i dati su una delle colonne mostrate nell’interfaccia. Tutte queste azioni di manipolazione dei dati possono anche essere specificate dalla riga di comando.
La possibilità di raccogliere dati tramite un comando rende possibile integrare questa utility in un processo batch ed eseguire periodicamente query. Questa è una buona opzione se si desidera archiviare i messaggi WMI in file di registro. Quindi, è possibile creare il proprio file server di registro WMI con questo strumento.
L’utilità funziona bene se stai cercando uno strumento di manipolazione dei dati non elaborati. Non si classifica davvero come uno strumento di analisi WMI. Tuttavia, la gamma di formati di esportazione forniti dallo strumento significa che sarebbe un buon back-end per qualsiasi altro strumento, che potrebbe fornire migliori funzioni di analisi.
9. Goverlan WMIX
Il prodotto principale di Goverlan è uno strumento di monitoraggio della rete, chiamato Raggiungere. L’azienda produce anche una serie di strumenti complementari e WMIX è uno di questi. Il WMIX è un raccoglitore di dati WMI gratuito.
Come alcuni degli altri strumenti in questo elenco, WMIX rappresenta semplicemente gli elementi di una ricerca WMI Query Language in un front-end della GUI. Mentre selezioni gli elementi da ciascun pannello delle opzioni, vedrai la query WQL assemblare in un campo nella parte inferiore dello schermo. Quindi, offre un buon modo per familiarizzare con WQL.
Le query WMI sono generalmente gestite tramite PowerShell di VBScript. L’interfaccia racchiude le tue dichiarazioni WQL nello script in modo da non doverti preoccupare di imparare il linguaggio di comando di questi due sistemi. Se sei interessato a scrivere i tuoi script per il futuro monitoraggio WMI, puoi assemblare le query WQL nell’interfaccia WMIX e quindi estraili per l’inclusione nei tuoi script.
Il visualizzatore di dati presenta i record WMI in una struttura ad albero, consentendo di eseguire il drill down delle categorie di messaggi, espandendo ciascun nodo per rivelare proprietà più dettagliate. Un pannello laterale spiega gli attributi di ciascun nodo. Questo layout semplifica l’esplorazione degli stati e delle proprietà del tuo computer Windows.
WMIX è un generatore di query e script molto interessante. Funziona sia come guida che come strumento di insegnamento, nonché come interfaccia di accesso ai dati. Questo strumento sarebbe adatto ad amministratori di qualsiasi rete di dimensioni ma sarebbe di particolare interesse per i gestori di piccoli sistemi che si affidano a computer Windows.
10. Powershell WMI Explorer
Powershell WMI Explorer è un’interfaccia WMI sviluppata da entusiasti gratuiti. Questo strumento esiste da molto tempo ed è stato uno dei primi interpreti WMI disponibili. Sebbene l’interfaccia non sia molto sofisticata, più o meno ha avviato l’intera categoria di software degli interpreti WMI e ha influenzato lo sviluppo di tutti gli altri strumenti in questo elenco. A volte viene indicato con il nome del suo sviluppatore, quindi potresti vedere questo strumento fatturato come WMI Explorer di Marc van Orsouw. Van Orsouw si identifica anche come “/ \ / \ O \ / \ /”, quindi un altro nome che viene talvolta utilizzato per questo strumento è MoW WMI Explorer.
Explorer può accedere ai dati WMI sul computer locale o può connettersi tramite una rete per accedere ai dati WMI su altri computer. L’interfaccia non consente il recupero simultaneo da più fonti. Tuttavia, è possibile raccogliere record WMI da ogni sorgente, scriverli su file e quindi unire quei file se si desidera una panoramica unificata dell’attività WMI sulla rete.
L’interfaccia contiene quattro pannelli principali: due pannelli di indice a sinistra e due pannelli di accesso ai dati più ampi a destra. Il primo pannello indice mostra una vista di tipo Esplora file degli spazi dei nomi disponibili sul computer. Il secondo riquadro di sinistra elenca tutte le opzioni della classe di dati per WMI. Il pannello in basso a destra spiega la categoria selezionata e mostra anche tutte le proprietà disponibili. Il pannello in alto a destra consente di assemblare una query e quindi eseguirla.
Il recupero dei dati WMI viene eseguito automaticamente tramite PowerShell, quindi non devi scrivere nessuna delle tue procedure per raccogliere dati.
Il pannello Guida nello strumento è particolarmente utile perché spiega il significato di ciascuna classe di dati. Esistono molte classi e quindi questo manuale di riferimento può rivelarsi molto utile anche se non si intende utilizzare lo strumento per eseguire query direttamente su WMI.
Problemi WMI
La tendenza di molti a ignorare le notifiche di Action Center è un regalo per gli hacker. allo stesso modo, i sistemi di rilevamento delle intrusioni spesso trascurano le notifiche WMI come troppo banale per facilitare gli attacchi. tuttavia, Il WMI può essere utilizzato in ogni fase di una strategia di attacco e la sua combinazione con PowerShell per il trasporto di dati e query su reti rende questo strumento un ottimo condotto per il furto di dati in bella vista.
I messaggi WMI di solito non li trasformano in file fisici. Ciò significa che non diventano mai materiale di base per sistemi di rilevamento delle intrusioni basati su host (HIDS) e non essere mai preso in considerazione da gestori delle informazioni di sicurezza (SIM) che fanno parte di SIEM. Quindi, semplicemente scaricando i messaggi WMI in file periodicamente (quotidianamente), inizierà ottenere il monitoraggio di quelle notifiche WMI purché trovi un HIDS o una SIM in grado di gestire il formato dei file di registro prodotti dal processo del server di registro.
PowerShell è onnipresente nei sistemi Windows e qualsiasi tentativo di bloccare questo metodo di servizio disabiliterebbe l’utilità del computer in quanto viene utilizzato da troppe applicazioni per essere considerato un sistema opzionale. Quindi, nonostante l’ovvia attrazione di PowerShell per gli hacker, sistemi di rilevamento delle intrusioni basati su rete (NIDS) non guardano sempre troppo da vicino alle attività di questo servizio essenziale.
I metodi operativi WMI includono una funzione chiamata “sottoscrizione.”Questo riavvierà un processo WMI se viene ucciso. Quindi, ciò fornirebbe un meccanismo utile per una minaccia persistente avanzata (APT) continuare a funzionare su un computer anche dopo un riavvio o una pulizia del sistema eseguita da software antimalware.
Una combinazione di WMI e PowerShell fornisce un modo efficiente per far sì che il malware senza file rimanga attivo su un computer anche quando l’infezione originale è stata ripulita. Tuttavia, potrebbe non essere necessaria un’infezione iniziale tracciabile. I siti Web sono in grado di farlo invia notifiche WMI, implementato con il permesso dell’utente. Tale meccanismo consente al sito Web di inviare notifiche agli utenti, anche quando il sito Web non è più aperto in un browser sul computer. Così, un attacco malevolo può essere facilmente diretto da un centro di comando remoto attraverso il sistema WMI. Il processo Desktop potrebbe essere manipolato nel trasporto di istruzioni dannose su ciascun computer Windows inviando gli avvisi richiesti da un sito remoto tramite un abbonamento WMI persistente. L’attività a livello di rete potrebbe essere coordinata attraverso routine innocue di PowerShell.
Tutti gli utenti di computer sono cauti nel consentire le notifiche da siti Web poco conosciuti. Tuttavia, gli hacker sono noti a cavalluccio la loro distribuzione di virus attraverso i siti Web di siti attendibili. Un aggiornamento del prodotto falso o completamente infetto è un altro noto metodo di distribuzione dei virus, e se la modifica del sistema viene implementata come impostazione di notifica WMI senza memorizzare alcun file sul computer, i sistemi antivirus non lo individuerebbero.
Monitorare WMI
La Strumentazione gestione Windows è ampiamente utilizzata dai fornitori di software e dai siti Web per comunicare informazioni sugli errori e pubblicità degli eventi agli utenti dei computer Windows. I proprietari di computer sembrano meno interessati alle capacità di WMI, ma dovrebbero prestare attenzione ad esso.
Come hai letto in questa guida. WMI è una buona fonte di informazioni di sistema utili che possono essere utili agli utenti di computer privati e anche agli amministratori di reti commerciali. tuttavia, il volume travolgente di messaggi non essenziali può spesso soffocare l’utilità del sistema WMI.
Se hai cancellato WMI come irrilevante, allora pensa di nuovo. Gli amministratori dei sistemi di rete aziendali dovrebbero in particolare iniziare a utilizzare gli spazi dei nomi WMI per le informazioni sull’attività del sistema. Se sei diventato oggetto di un minaccia persistente avanzata, non conoscerai l’intrusione finché non la cercherai, questa è la natura degli APT. Un APT è un’infezione nascosta che può rimanere inosservata per anni. Questo tipo di intrusione compromette l’integrità del sistema, espone i dati alla divulgazione e offre agli hacker abbastanza tempo per esplorare ogni angolo della tua attività, impostare trappole, alterare i dati e raccogliere credenziali di autenticazione.
Acquisire familiarità con il sistema WMI, le sue strutture di formattazione dei dati e il panorama delle informazioni è il primo passo per sfruttare la potenza della Strumentazione gestione Windows. Il tuo prossimo compito è iniziare le operazioni pratiche e uno qualsiasi degli strumenti nel nostro elenco ti fornirà un supporto eccellente mentre apprendi Classi WMI, Lingua delle query WMI e PowerShell e VBScript accesso agli archivi dati.
Una volta che hai dimestichezza con i processi WMI, sarai in una posizione migliore per valutare se i tuoi attuali sistemi di sicurezza sono sufficienti al fine di proteggere la tua azienda da attacchi di malware senza file e minacce avanzate persistenti. Se non riesci a trovare un sistema SIEM che attualmente raccoglie dati WMI, scrivere la propria routine di gestione dei log WMI e inserirli in un sistema di rilevamento delle intrusioni basato su host. Tutti e due malware senza file e APT sono strategie di intrusione in rapida crescita ed è necessario superare questi problemi al fine di proteggere gli utenti e i dati sul sistema.
Monitorate il vostro sistema WMI? Hai scoperto un APT che funziona tramite WMI e PowerShell? Hai trovato l’intrusione difficile da eliminare? Hai trovato un ID che include il monitoraggio WMI? Lascia un messaggio nel Commenti sezione sottostante per condividere le tue esperienze con la community.
Italian:
La strumentazione di gestione Windows (WMI) è un componente presente in tutte le versioni di Windows a partire da Windows 2000. Questa interfaccia consente alle applicazioni di inviare notifiche allutente del computer ed è presente in tutti i tipi di Windows, inclusi Windows Server. Non è limitata alle utilità di Microsoft e agli elementi del sistema operativo, ma può essere inclusa in qualsiasi programma da qualsiasi sviluppatore di software. Nel post sono elencati i dieci migliori strumenti di monitoraggio WMI, tra cui il Monitor WMI di SolarWinds con Server e Application Monitor e il Paessler WMI Service Sensor con PRTG. Tuttavia, ci sono anche alcuni problemi con WMI, come il fatto che le notifiche potrebbero non essere visualizzate dallutente se non apre il Centro operativo. In generale, WMI è uno strumento utile per la gestione di Windows e può essere utilizzato in molti modi diversi.