Читаоци попут вас помажу у подршци МУО. Када обавите куповину користећи везе на нашем сајту, можда ћемо зарадити провизију за партнере.
Мицрософт је креирао Виндовс Манагемент Инструментатион (ВМИ) да управља начином на који Виндовс рачунари додељују ресурсе у оперативном окружењу. ВМИ такође ради још једну важну ствар: олакшава локални и удаљени приступ рачунарским мрежама.
Нажалост, хакери црних шешира могу да отму ову могућност у злонамерне сврхе кроз упорни напад. Као такав, ево како да уклоните ВМИ постојаност из Виндовс-а и да се заштитите.
Шта је ВМИ постојаност и зашто је опасна?
Упорност ВМИ-а се односи на нападач који инсталира скрипту, посебно слушалац догађаја, који се увек покреће када се догоди ВМИ догађај. На пример, ово ће се десити када се систем покрене или администратор система уради нешто на рачунару, као што је отварање фасцикле или коришћење програма.
Напади упорности су опасни јер су прикривени. Како је објашњено на Мицрософт Сцриптинг, нападач креира трајну претплату на ВМИ догађај који извршава корисни терет који ради као системски процес и чисти евиденције његовог извршења; технички еквивалент вештог избегавања. Са овим вектором напада, нападач може да избегне да буде откривен путем ревизије командне линије.
Како спречити и уклонити ВМИ перзистентност
Претплате на ВМИ догађаје су паметно скриптоване да би се избегло откривање. Најбољи начин да се избегну напади упорности је да онемогућите ВМИ услугу. Ово не би требало да утиче на ваше опште корисничко искуство осим ако нисте искусни корисник.
Следећа најбоља опција је да блокирате портове ВМИ протокола тако што ћете конфигурисати ДЦОМ да користи један статички порт и блокирати тај порт. Можете погледати наш водич на како затворити рањиве портове за више упутстава о томе како то да урадите.
Ова мера омогућава да ВМИ сервис ради локално док блокира даљински приступ. Ово је добра идеја, посебно зато што удаљени приступ рачунару носи своје ризике.
Коначно, можете да конфигуришете ВМИ да скенира и упозорава на претње, као што је Цхад Тилбури показао у овој презентацији:
Моћ која не би требало да буде у погрешним рукама
ВМИ је моћан системски менаџер који постаје опасан алат у погрешним рукама. Што је још горе, техничко знање није потребно да би се извршио упорни напад. Упутства за креирање и покретање ВМИ перзистентних напада су бесплатно доступна на интернету.
Дакле, свако са овим знањем и кратким приступом вашој мрежи може вас даљински шпијунирати или украсти податке са једва дигиталним отиском. Међутим, добра вест је да нема апсолута у технологији и сајбер безбедности. Још увек је могуће спречити и уклонити ВМИ постојаност пре него што нападач направи велику штету.