Teiesugused lugejad aitavad MUO-d toetada. Kui teete ostu meie saidil olevate linkide abil, võime teenida sidusettevõtte komisjonitasu.
Microsoft lõi Windowsi haldusinstrumentide (WMI), et hallata seda, kuidas Windowsi arvutid töökeskkonnas ressursse eraldavad. WMI teeb ka teist olulist asja: see hõlbustab kohalikku ja kaugjuurdepääsu arvutivõrkudele.
Kahjuks võivad musta mütsi häkkerid selle võimaluse pahatahtlikel eesmärkidel kaaperdada püsirünnaku kaudu. Sellisena saate WMI püsivuse Windowsist eemaldada ja end turvaliselt kaitsta.
Mis on WMI püsivus ja miks see on ohtlik?
WMI püsivus viitab ründajale, kes installib skripti, täpsemalt sündmuste kuulaja, mis käivitub alati WMI sündmuse korral. Näiteks juhtub see siis, kui süsteem käivitub või süsteemiadministraator teeb arvutis midagi, näiteks avab kausta või kasutab programmi.
Püsivusrünnakud on ohtlikud, kuna need on vargsi. Nagu on selgitatud Microsofti skriptimine, loob ründaja püsiva WMI-sündmuse tellimuse, mis käivitab kasuliku koormuse, mis töötab süsteemiprotsessina ja puhastab selle täitmise logid; tehniline vaste kunstlikule põiklejale. Selle ründevektoriga saab ründaja vältida käsurea auditi kaudu avastamist.
Kuidas vältida ja eemaldada WMI püsivust
WMI sündmuste tellimused on tuvastamise vältimiseks nutikalt skriptitud. Parim viis püsirünnakute vältimiseks on WMI-teenuse keelamine. See ei tohiks mõjutada teie üldist kasutuskogemust, välja arvatud juhul, kui olete kogenud kasutaja.
Järgmine parim valik on blokeerida WMI-protokolli pordid, konfigureerides DCOM-i kasutama ühte staatilist porti ja blokeerides selle pordi. Saate vaadata meie juhendit aadressil kuidas haavatavaid porte sulgeda lisateabe saamiseks selle kohta, kuidas seda teha.
See meede võimaldab WMI-teenusel kohapeal töötada, blokeerides samal ajal kaugjuurdepääsu. See on hea mõte, eriti kuna arvuti kaugjuurdepääsuga kaasneb oma osa riske.
Lõpuks saate konfigureerida WMI skannima ja teid ohtudest hoiatama, nagu Chad Tilbury selles esitluses näitas:
Jõud, mis ei tohiks olla valedes kätes
WMI on võimas süsteemihaldur, mis muutub valedes kätes ohtlikuks tööriistaks. Mis veelgi hullem, tehnilisi teadmisi pole vaja püsivusrünnaku läbiviimiseks. WMI püsivusrünnakute loomise ja käivitamise juhised on Internetis vabalt saadaval.
Seega saab igaüks, kellel on need teadmised ja lühike juurdepääs teie võrgule, eemalt teie järele luurata või andmeid varastada napi digitaalse jalajäljega. Hea uudis on aga see, et tehnoloogias ja küberjulgeolekus pole absoluutseid tingimusi. WMI püsivust on siiski võimalik ennetada ja eemaldada, enne kui ründaja suurt kahju teeb.
