Sizin gibi okuyucular MUO'yu desteklemeye yardımcı oluyor. Sitemizdeki bağlantıları kullanarak bir satın alma işlemi gerçekleştirdiğinizde, bir ortaklık komisyonu kazanabiliriz.
Microsoft, Windows bilgisayarların işletimsel bir ortamda kaynakları nasıl tahsis ettiğini işlemek için Windows Yönetim Araçları'nı (WMI) yarattı. WMI ayrıca önemli bir şey daha yapar: bilgisayar ağlarına yerel ve uzaktan erişimi kolaylaştırır.
Ne yazık ki, siyah şapkalı bilgisayar korsanları bu yeteneği kalıcı bir saldırı yoluyla kötü amaçlarla ele geçirebilir. Bu nedenle, WMI kalıcılığını Windows'tan nasıl kaldıracağınız ve kendinizi güvende tutacağınız aşağıda açıklanmıştır.
WMI Kalıcılığı Nedir ve Neden Tehlikelidir?
WMI kalıcılığı, bir saldırganın, bir WMI olayı gerçekleştiğinde her zaman tetiklenen bir komut dosyası, özellikle bir olay dinleyicisi yüklemesi anlamına gelir. Örneğin, sistem önyüklendiğinde veya sistem yöneticisi PC'de bir klasör açmak veya bir program kullanmak gibi bir şey yaptığında bu durum ortaya çıkar.
Kalıcı saldırılar tehlikelidir çünkü gizlidirler. açıklandığı gibi Microsoft Komut Dosyası, saldırgan bir sistem işlemi olarak çalışan bir yükü yürüten ve yürütme günlüklerini temizleyen kalıcı bir WMI olay aboneliği oluşturur; kurnaz bir kaçakçının teknik eşdeğeri. Bu saldırı vektörü ile saldırgan, komut satırı denetimi yoluyla keşfedilmekten kaçınabilir.
WMI Kalıcılığı Nasıl Önlenir ve Kaldırılır
WMI olay abonelikleri, algılanmayı önlemek için akıllıca kodlanmıştır. Kalıcılık saldırılarından kaçınmanın en iyi yolu, WMI hizmetini devre dışı bırakmaktır. Uzman bir kullanıcı olmadığınız sürece, bunu yapmak genel kullanıcı deneyiminizi etkilememelidir.
Bir sonraki en iyi seçenek, DCOM'u tek bir statik bağlantı noktası kullanacak şekilde yapılandırarak ve bu bağlantı noktasını engelleyerek WMI protokolü bağlantı noktalarını engellemektir. adresindeki rehberimize göz atabilirsiniz. savunmasız portlar nasıl kapatılır bunun nasıl yapılacağına ilişkin daha fazla talimat için.
Bu önlem, uzaktan erişimi engellerken WMI hizmetinin yerel olarak çalışmasına izin verir. Bu iyi bir fikir, çünkü özellikle uzak bilgisayar erişimi kendi payına düşen risklerle birlikte gelir.
Son olarak, Chad Tilbury'nin bu sunumda gösterdiği gibi WMI'yı tehditleri tarayacak ve sizi uyaracak şekilde yapılandırabilirsiniz:
Yanlış Ellere Geçmemesi Gereken Bir Güç
WMI, yanlış ellerde tehlikeli bir araca dönüşen güçlü bir sistem yöneticisidir. Daha da kötüsü, kalıcı bir saldırı gerçekleştirmek için teknik bilgiye ihtiyaç yoktur. WMI kalıcılık saldırıları oluşturma ve başlatma talimatları internette ücretsiz olarak mevcuttur.
Dolayısıyla, bu bilgiye sahip olan ve ağınıza kısa süreli erişimi olan herkes sizi uzaktan gözetleyebilir veya neredeyse dijital ayak iziyle verileri çalabilir. Ancak iyi haber şu ki, teknoloji ve siber güvenlikte kesinlik yok. Bir saldırgan büyük hasar vermeden önce WMI kalıcılığını önlemek ve kaldırmak hala mümkündür.
