Tokie skaitytojai kaip jūs padeda palaikyti MUO. Kai perkate naudodami nuorodas mūsų svetainėje, galime uždirbti filialų komisinius.
„Microsoft“ sukūrė „Windows Management Instrumentation“ (WMI), kad galėtų valdyti, kaip „Windows“ kompiuteriai paskirsto išteklius operacinėje aplinkoje. WMI taip pat atlieka dar vieną svarbų dalyką: palengvina vietinę ir nuotolinę prieigą prie kompiuterių tinklų.
Deja, juodosios kepurės įsilaužėliai gali užgrobti šią galimybę kenkėjiškais tikslais per nuolatinį ataką. Štai kaip pašalinti WMI patvarumą iš „Windows“ ir apsaugoti save.
Kas yra WMI patvarumas ir kodėl jis pavojingas?
WMI patvarumas reiškia, kad užpuolikas įdiegia scenarijų, ypač įvykių klausytoją, kuris visada suaktyvinamas, kai įvyksta WMI įvykis. Pavyzdžiui, tai atsitiks, kai sistema paleidžiama arba sistemos administratorius ką nors atlieka kompiuteryje, pvz., atidaro aplanką arba naudoja programą.
Atkaklumo priepuoliai yra pavojingi, nes jie yra slapti. Kaip paaiškinta toliau Microsoft scenarijus
, užpuolikas sukuria nuolatinę WMI įvykių prenumeratą, kuri vykdo naudingą apkrovą, kuri veikia kaip sistemos procesas, ir išvalo jo vykdymo žurnalus; techninis gudraus gudruolio atitikmuo. Naudodamas šį atakos vektorių, užpuolikas gali išvengti būti aptiktas per komandinės eilutės auditą.Kaip užkirsti kelią ir pašalinti WMI patvarumą
WMI įvykių prenumeratos yra sumaniai sudarytos, kad būtų išvengta aptikimo. Geriausias būdas išvengti nuolatinių atakų yra išjungti WMI paslaugą. Tai neturėtų turėti įtakos bendrai naudotojo patirčiai, nebent esate patyręs vartotojas.
Kitas geriausias pasirinkimas yra užblokuoti WMI protokolo prievadus sukonfigūruojant DCOM naudoti vieną statinį prievadą ir blokuojant tą prievadą. Galite peržiūrėti mūsų vadovą kaip uždaryti pažeidžiamus prievadus daugiau instrukcijų, kaip tai padaryti.
Ši priemonė leidžia WMI paslaugai veikti vietoje, blokuojant nuotolinę prieigą. Tai gera idėja, ypač todėl nuotolinė prieiga prie kompiuterio yra susijusi su tam tikra rizika.
Galiausiai galite sukonfigūruoti WMI nuskaityti ir įspėti apie grėsmes, kaip Chadas Tilbury parodė šiame pristatyme:
Jėga, kuri neturėtų būti netinkamose rankose
WMI yra galingas sistemos tvarkytuvas, kuris netinkamose rankose tampa pavojingu įrankiu. Dar blogiau, kad techninių žinių nereikia atlikti atkaklumo atakai. Instrukcijos, kaip sukurti ir paleisti WMI persistengimo atakas, yra laisvai prieinamos internete.
Taigi, kiekvienas, turintis šias žinias ir trumpą prieigą prie jūsų tinklo, gali nuotoliniu būdu šnipinėti jus arba pavogti duomenis, turėdamas vos skaitmeninį pėdsaką. Tačiau gera žinia ta, kad technologijos ir kibernetinis saugumas neegzistuoja. Vis dar galima užkirsti kelią ir pašalinti WMI patvarumą, kol užpuolikas nepadarys didelės žalos.
