En af grundstenene for overvågning af Windows operativsystemet at benytte WMI (Windows Management Instrumentation).
Windows Management Instrumentation (WMI) blev udviklet af Microsoft som en del af deres implementering af en standard kaldet Web-Based Enterprise Management (WBEM). WBEM blev oprindeligt defineret af Distributed Management Task Force (DMTF), en organisation, der skaber standarder for systemadministration.
WMI blev introduceret som en standardkomponent i Windows med Windows 2000 og videreudviklet i senere versioner af operativsystemet. Formålet med WMI er at give systemadministratorer et værktøj til at overvåge og administrere Windows-systemer på en standardiseret måde. Det giver adgang til data og funktioner i operativsystemet via en ensartet grænseflade.
I Neosec Security Server benyttes både lokal login, samt fjernlogin ved overvågning via WMI.
Lokal login benyttes på selve Neosec Security Server for monitorering af operativ system og applikationer der er installeret på overvågnings serveren.
Lokal Login benyttes også ved brug af Neosec Windows Agent, som benyttes på servere der ikke er direkte adgang til fra den centrale Neosec Security Server. Dette kan være I miljøer hvor serverene er placeret I DMZ eller på et fjerndestination, hvor der ikke er direkte adgang til fra overvågnings serveren.
Metoder til login I WMI:
Windows Authentication (standard):
- WMI bruger normalt Windows-brugerkonti til autentificering.
- Du skal have en konto med tilstrækkelige privilegier (typisk administrative rettigheder) på den lokale eller fjernmaskine.
Netværksautentificering (RPC):
- Hvis du tilgår WMI på en fjernmaskine, bruges ofte NTLM eller Kerberos til at validere legitimationsoplysninger over netværket. NTLM er standard.
- Brugeren skal stadig have rettigheder til at få adgang til WMI-namespace på fjernmaskinen (f.eks.
ROOT\CIMV2
). - Som standard benyttes NTLM ved login I WMI, men man kan også benytte Kerberos som er mere sikkert.
Rettigheder og Autorisation:
- Den brugerkonto, der bruges til login, skal have adgang til de relevante WMI-namespaces.
- Dette kan konfigureres via WMI Control (
wmimgmt.msc
), hvor du kan give specifikke brugere eller grupper adgang til at udføre handlinger inden for WMI.
Sørg for at anvende sikre login oplysninger og begrænse adgangen til kun de nødvendige personer og systemer.
NTLM og Kerberos er begge autentificeringsprotokoller, der bruges i Windows-netværk, men de fungerer forskelligt og har forskellige fordele og ulemper, når det gælder brugen af WMI (Windows Management Instrumentation). Her er de vigtigste forskelle:
Generelt overblik
NTLM | Kerberos |
---|---|
Ældre protokol, som stammer fra Windows NT. | Moderne protokol introduceret med Windows 2000. |
Bruger udfordring/svar-metoden til autentificering. | Bruger billetter udstedt af en Key Distribution Center (KDC). |
Mindre sikker sammenlignet med Kerberos. | Mere sikker og effektiv. |
Bruges som fallback, når Kerberos ikke er tilgængelig. | Standardprotokollen i domænebaserede miljøer. |
Autentificeringsmekanisme
- NTLM:
- Bygger på en udfordring-svar-model.
- Klienten sender et hashed brugernavn og en krypteret adgangskode til serveren.
- Serveren validerer ved at sammenligne med sine egne hashes.
- Støtter ikke delegation af legitimationsoplysninger uden tredjepartsværktøjer.
- Kerberos:
- Bygger på et billet-system.
- En klient får en Ticket Granting Ticket (TGT) fra KDC (ofte domænekontrolleren).
- Klienten præsenterer TGT for at få adgang til ressourcer uden at sende adgangskoder igen.
- Støtter delegering af legitimationsoplysninger, hvilket gør det ideelt til komplekse scenarier med flere hop (f.eks. fjern-WMI, der involverer mellemled).
NTLM og Kerberos med WMI
- NTLM med WMI:
- Bruges typisk i arbejdsgrupper eller uden for et Active Directory-domæne.
- Ikke afhængig af en KDC (domænekontroller), så det fungerer i miljøer uden centraliseret autentificering.
- Mindre sikkert og ineffektivt for større miljøer.
- Brugen af NTLM kræver ofte direkte administrative rettigheder på den målrettede maskine.
- Kerberos med WMI:
- Standardprotokollen i Active Directory-miljøer.
- Gør det muligt at godkende sikkert og uden at sende adgangskoder over netværket.
- Støtter multi-hop-forbindelser (f.eks. hvis en fjern-WMI-kommando videresendes via en mellemserver).
- Mere sikker og hurtigere i store, komplekse netværk.
Sikkerhed
NTLM:
- Sårbart over for pass-the-hash-angreb.
- Ingen kryptering af sessioner som standard.
- Bruges som fallback i tilfælde, hvor Kerberos ikke kan anvendes.
Kerberos:
- Brug af tidsstemplede billetter gør det svært at udføre replay-angreb.
- Billetter kan krypteres, hvilket beskytter mod aflytning.
- Kræver korrekt konfiguration af tidssynkronisering mellem systemer, da billetter er tidsfølsomme.
Hvilken skal man vælge til WMI?
- Hvis muligt, brug Kerberos, især i Active Directory-miljøer, da det er mere sikkert og effektivt.
- Brug NTLM som fallback, hvis du arbejder i arbejdsgrupper eller systemer uden Kerberos-støtte.
For en sikker konfiguration, sørg for at minimere NTLM-brugen og implementere Kerberos korrekt i domænemiljøer.
Find mere info på følgende links.
Windows Management Instrumentation – Win32 apps | Microsoft Learn