يساعد القراء أمثالك في دعم MUO.عند إجراء عملية شراء باستخدام الروابط الموجودة على موقعنا ، فقد نربح عمولة تابعة.
أنشأت Microsoft Windows Management Instrumentation (WMI) للتعامل مع كيفية تخصيص أجهزة الكمبيوتر التي تعمل بنظام Windows للموارد في بيئة تشغيلية.يقوم WMI أيضًا بعمل شيء مهم آخر: فهو يسهل الوصول المحلي والبعد إلى شبكات الكمبيوتر.
لسوء الحظ ، يمكن لقراصنة القبعة السوداء اختطاف هذه الإمكانية لأغراض ضارة من خلال هجوم مستمر.على هذا النحو ، إليك كيفية إزالة استمرار WMI من Windows والحفاظ على سلامتك.
جدول المحتويات
ما هو ثبات WMI ولماذا يعتبر خطيرًا؟
يشير استمرار WMI إلى قيام مهاجم بتثبيت برنامج نصي ، وتحديداً مستمع الأحداث ، والذي يتم تشغيله دائمًا عند حدوث حدث WMI.على سبيل المثال ، سيحدث هذا عندما يقوم النظام بالتمهيد أو يقوم مسؤول النظام بعمل شيء ما على جهاز الكمبيوتر ، مثل فتح مجلد أو استخدام برنامج.
تعتبر هجمات الإصرار خطيرة لأنها تتخفي.كما هو موضح في Microsoft Scripting ، يقوم المهاجم بإنشاء اشتراك دائم في حدث WMI يقوم بتنفيذ حمولة تعمل كعملية نظام وتنظيف سجلات تنفيذها ؛المعادل التقني للمراوغ الماهر.باستخدام متجه الهجوم هذا ، يمكن للمهاجم تجنب اكتشافه من خلال تدقيق سطر الأوامر.
كيفية منع وإزالة ثبات WMI
تمت برمجة اشتراكات أحداث WMI بذكاء لتجنب الكشف عنها.أفضل طريقة لتجنب الهجمات المستمرة هي تعطيل خدمة WMI.لا ينبغي أن يؤثر القيام بذلك على تجربة المستخدم العامة إلا إذا كنت مستخدمًا قويًا.
يتمثل الخيار الأفضل التالي في حظر منافذ بروتوكول WMI عن طريق تكوين DCOM لاستخدام منفذ ثابت واحد وحظر هذا المنفذ.يمكنك مراجعة دليلنا حول كيفية إغلاق المنافذ الضعيفة للحصول على مزيد من الإرشادات حول كيفية القيام بذلك.
يتيح هذا الإجراء تشغيل خدمة WMI محليًا أثناء حظر الوصول عن بُعد.هذه فكرة جيدة ، خاصةً لأن الوصول إلى الكمبيوتر عن بُعد يأتي مع نصيبه من المخاطر.
أخيرًا ، يمكنك تكوين WMI لفحص التهديدات وتنبيهك إليها ، كما أوضح تشاد تيلبيري في هذا العرض التقديمي:
قوة لا ينبغي أن تكون في الأيدي الخطأ
WMI هو مدير نظام قوي يصبح أداة خطيرة في الأيدي الخطأ.والأسوأ من ذلك ، أن المعرفة التقنية ليست ضرورية لتنفيذ هجوم الإصرار.تتوفر تعليمات حول إنشاء هجمات استمرار WMI وإطلاقها مجانًا على الإنترنت.
لذلك ، يمكن لأي شخص لديه هذه المعرفة والوصول المختصر إلى شبكتك التجسس عليك عن بُعد أو سرقة البيانات بصمة رقمية بالكاد.ومع ذلك ، فإن الخبر السار هو أنه لا توجد أمور مطلقة في التكنولوجيا والأمن السيبراني.لا يزال من الممكن منع وإزالة استمرار WMI قبل أن يتسبب المهاجم في ضرر كبير.