Čitatelji poput vas podržavaju MUO. Kada kupite putem poveznica na našoj stranici, možemo zaraditi partnersku proviziju.
Microsoft je stvorio Windows Management Instrumentation (WMI) za upravljanje načinom na koji Windows računala dodjeljuju resurse u operativnom okruženju. WMI također čini još jednu važnu stvar: olakšava lokalni i udaljeni pristup računalnim mrežama.
Nažalost, hakeri s crnim šeširom mogu preoteti ovu mogućnost u zlonamjerne svrhe napadom postojanosti. Kao takav, evo kako ukloniti postojanost WMI-ja iz sustava Windows i zaštititi se.
Što je WMI postojanost i zašto je opasna?
WMI postojanost odnosi se na napadača koji instalira skriptu, posebno slušatelja događaja, koji se uvijek pokreće kada se dogodi WMI događaj. Na primjer, to će se dogoditi kada se sustav podigne ili administrator sustava učini nešto na računalu, poput otvaranja mape ili korištenja programa.
Napadi postojanošću opasni su jer su prikriveni. Kao što je objašnjeno na Microsoft Scripting, napadač stvara trajnu pretplatu na WMI događaje koja izvršava korisni teret koji radi kao sistemski proces i čisti zapise o njegovom izvršenju; tehnički ekvivalent vještog lukavca. S ovim vektorom napada, napadač može izbjeći otkrivanje kroz reviziju naredbenog retka.
Kako spriječiti i ukloniti WMI postojanost
Pretplate na WMI događaje su pametno skriptirane kako bi se izbjeglo otkrivanje. Najbolji način da izbjegnete napade postojanošću je onemogućiti WMI uslugu. To ne bi trebalo utjecati na vaše cjelokupno korisničko iskustvo osim ako niste iskusan korisnik.
Sljedeća najbolja opcija je blokiranje priključaka WMI protokola konfiguriranjem DCOM-a za korištenje jednog statičkog priključka i blokiranjem tog priključka. Možete provjeriti naš vodič na kako zatvoriti ranjive portove za više uputa o tome kako to učiniti.
Ova mjera omogućuje lokalno pokretanje usluge WMI dok blokira udaljeni pristup. Ovo je dobra ideja, pogotovo zato što udaljeni pristup računalu dolazi s vlastitim udjelom rizika.
Konačno, možete konfigurirati WMI da skenira i upozorava vas na prijetnje, kao što je Chad Tilbury pokazao u ovoj prezentaciji:
Moć koja ne bi smjela biti u krivim rukama
WMI je moćan upravitelj sustava koji postaje opasan alat u krivim rukama. Što je još gore, tehničko znanje nije potrebno za izvođenje ustrajnog napada. Upute o stvaranju i pokretanju WMI perzistentnih napada su besplatno dostupne na internetu.
Dakle, svatko s ovim znanjem i kratkim pristupom vašoj mreži može vas daljinski špijunirati ili ukrasti podatke s jedva digitalnim tragom. Međutim, dobra vijest je da nema apsoluta u tehnologiji i kibernetičkoj sigurnosti. I dalje je moguće spriječiti i ukloniti WMI postojanost prije nego što napadač napravi veliku štetu.
