Kaltaisesi lukijat auttavat tukemaan MUO: ta. Kun teet ostoksen käyttämällä sivustollamme olevia linkkejä, voimme ansaita kumppanipalkkion.
Microsoft loi Windows Management Instrumentationin (WMI) käsittelemään sitä, miten Windows-tietokoneet allokoivat resursseja toimintaympäristössä. WMI tekee myös toisen tärkeän asian: se helpottaa paikallista ja etäkäyttöä tietokoneverkkoihin.
Valitettavasti mustahattu-hakkerit voivat kaapata tämän ominaisuuden haitallisiin tarkoituksiin jatkuvan hyökkäyksen avulla. Näin ollen voit poistaa WMI-pysyvyys Windowsista ja pitää itsesi turvassa.
Mikä on WMI-pysyvyys ja miksi se on vaarallista?
WMI-pysyvyys viittaa hyökkääjään, joka asentaa komentosarjan, erityisesti tapahtumakuuntelijan, joka käynnistyy aina WMI-tapahtuman sattuessa. Tämä tapahtuu esimerkiksi, kun järjestelmä käynnistyy tai järjestelmänvalvoja tekee jotain tietokoneella, kuten avaa kansion tai käyttää ohjelmaa.
Pysyvyyshyökkäykset ovat vaarallisia, koska ne ovat salaperäisiä. Kuten on selitetty
Microsoft Scripting, hyökkääjä luo pysyvän WMI-tapahtumatilauksen, joka suorittaa hyötykuorman, joka toimii järjestelmäprosessina ja puhdistaa suorituksensa lokit; taiteellisen väistäjän tekninen vastine. Tämän hyökkäysvektorin avulla hyökkääjä voi välttää havaitsemisen komentorivitarkastuksen kautta.Kuinka estää ja poistaa WMI-pysyvyys
WMI-tapahtumatilaukset on käsikirjoitettu taitavasti havaitsemisen välttämiseksi. Paras tapa välttää pysyvyyshyökkäykset on poistaa WMI-palvelu käytöstä. Tämän ei pitäisi vaikuttaa yleiseen käyttökokemukseesi, ellet ole tehokas käyttäjä.
Seuraavaksi paras vaihtoehto on estää WMI-protokollan portit määrittämällä DCOM käyttämään yhtä staattista porttia ja estämällä tämä portti. Voit tutustua oppaaseemme osoitteessa miten haavoittuvat portit suljetaan saadaksesi lisäohjeita tämän tekemiseen.
Tämä toimenpide antaa WMI-palvelun toimia paikallisesti samalla, kun se estää etäkäytön. Tämä on hyvä idea, varsinkin siksi tietokoneiden etäkäyttöön liittyy oma osuutensa riskeistä.
Lopuksi voit määrittää WMI: n tarkistamaan ja varoittamaan uhista, kuten Chad Tilbury osoitti tässä esityksessä:
Voima, jonka ei pitäisi olla väärissä käsissä
WMI on tehokas järjestelmänhallinta, josta tulee vaarallinen työkalu väärissä käsissä. Vielä pahempaa, teknistä tietämystä ei tarvita sinnikkyyshyökkäyksen suorittamiseen. Ohjeet WMI-kestohyökkäysten luomiseen ja käynnistämiseen ovat vapaasti saatavilla Internetissä.
Joten kuka tahansa, jolla on tämä tieto ja lyhyt pääsy verkkoosi, voi etävakoilla sinua tai varastaa tietoja tuskin digitaalisella jalanjäljellä. Hyvä uutinen on kuitenkin se, että tekniikassa ja kyberturvallisuudessa ei ole ehdottomia. On edelleen mahdollista estää ja poistaa WMI-pysyvyys ennen kuin hyökkääjä tekee suurta vahinkoa.