Что такое инструментарий управления Windows

Обновлено: 21.11.2024

Злоумышленник может использовать WMI для взаимодействия с локальными и удаленными системами и использовать его как средство выполнения различных действий, таких как сбор информации для обнаружения, а также удаленное выполнение файлов в рамках бокового перемещения. [3] [2]

Примеры процедур

Агент Тесла использовал запросы WMI для сбора информации из системы. [4]

APT29 использовал WMI для кражи учетных данных и запуска бэкдоров в будущем. [5] Они также использовали WMI для удаленного выполнения файлов для бокового перемещения. [6] [7]

APT32 использовала WMI для развертывания своих инструментов на удаленных компьютерах и сбора информации о процессе Outlook. [8]

APT41 использовал WMI несколькими способами, в том числе для выполнения команд через WMIEXEC, а также для сохранения данных через PowerSploit. [9] [10]

Astaroth использует WMIC для выполнения полезной нагрузки. [11]

Avaddon использует wmic.exe для удаления теневых копий. [12]

Bazar может выполнить запрос WMI для сбора информации об установленном антивирусном ядре. [13] [14]

Подключаемый модуль BlackEnergy 2 использует WMI для сбора сведений о хосте-жертве. [15]

Blue Mockingbird использовала wmic.exe для установки переменных среды. [16]

Chimera использует WMIC для выполнения удаленных команд. [17] [18]

Cobalt Strike может использовать WMI для доставки полезной нагрузки на удаленный хост. [19] [20]

CrackMapExec может выполнять удаленные команды с помощью инструментария управления Windows. [21]

DEATHRANSOM может использовать WMI для удаления теневых копий томов. [22]

Известно, что группа Deep Panda использует WMI для горизонтального перемещения. [23]

Дроппер DustySky использует инструментарий управления Windows для извлечения информации об операционной системе и активности антивируса. [24]

EKANS может использовать вызовы Windows Mangement Instrumentation (WMI) для выполнения операций. [25]

Emotet использовал WMI для запуска powershell.exe. [26]

Empire может использовать WMI для доставки полезной нагрузки на удаленный хост. [27]

EvilBunny использовал WMI для сбора информации о системе. [28]

EVILNUM использовал инструментарий управления Windows (WMI) для подсчета зараженных машин. [29]

FELIXROOT использует WMI для запросов к реестру Windows. [30]

FIN6 использует WMI для автоматизации удаленного выполнения сценариев PowerShell. [31]

FIN7 использовала WMI для установки вредоносных программ на целевые системы. [32]

Вредоносная полезная нагрузка целевого фишинга FIN8 использует WMI для запуска вредоносных программ и выполнения cmd.exe. FIN8 также использовала WMIC для бокового перемещения, а также во время действий по очистке от компрометации и после нее. [33] [34] [35]

FIVEHANDS может использовать WMI для удаления файлов на целевой машине. [22] [36]

FlawedAmmyy использует WMI для определения наличия антивируса на жертве. [37]

Франкенштейн использовал запросы WMI, чтобы проверить, запущены ли различные приложения безопасности, а также версию операционной системы. [38]

GALLIUM использовал WMI для выполнения, чтобы помочь в горизонтальном перемещении, а также для установки инструментов на несколько активов. [39]

GravityRAT собирает различную информацию с помощью запросов WMI, включая информацию о процессоре в записи Win32_Processor (идентификатор процессора, имя, производитель и тактовая частота). [40]

HALFBAKED может использовать запросы WMI для сбора системной информации. [41]

HELLOKITTY может использовать WMI для удаления теневых копий томов. [22]

HOPLIGHT использовала WMI для повторной компиляции файлов Managed Object Format (MOF) в репозитории WMI. [42]

IcedID использует WMI для выполнения двоичных файлов. [43]

Модуль wmiexec Impacket можно использовать для выполнения команд через WMI. [44]

Indrik Spider использовал WMIC для выполнения команд на удаленных компьютерах. [45]

jRAT использует WMIC для идентификации антивирусных продуктов, установленных на компьютере жертвы, и для получения сведений о брандмауэре. [46]

Казуар получает список запущенных процессов с помощью запросов WMI. [47]

Koadic может использовать WMI для выполнения команд. [48] ​​

KOMPROGO может выполнять запросы WMI. [49]

Вредоносная программа Lazarus Group SierraAlfa использует приложение командной строки Windows Management Instrumentation wmic для запуска себя в целевой системе во время бокового перемещения. [50] [51]

Левиафан использовал WMI для выполнения. [52]

Lucifer может использовать WMI для входа на удаленные машины для распространения. [53]

Компания Maze использовала WMI, чтобы попытаться удалить теневые тома на машине и подключить виртуальную машину к сетевому домену сети организации-жертвы. [54] [55]

menuPass использует модифицированную версию сценария пентестинга wmiexec.vbs, который входит в удаленную машину с помощью WMI. [56] [57] [58]

Micropsia ищет антивирусное программное обеспечение и брандмауэры, установленные на компьютере жертвы, с помощью WMI. [59] [60]

MoleNet может выполнять команды WMI в системе. [61]

Установщик Mosquito использует WMI для поиска отображаемых имен антивирусов.[62]

MuddyWater использует вредоносное ПО, использующее WMI для выполнения и запроса информации о хосте. [63] [64] [65]

Mustang Panda выполняет сценарии PowerShell через WMI. [66] [67]

Naikon использовал WMIC.exe для бокового перемещения. [68]

Netwalker может использовать WMI для удаления теневых томов. [69]

NotPetya может использовать wmic для распространения по сети. [70] [71]

Octopus использует wmic.exe для локального обнаружения информации. [72]

OilRig использовала WMI для выполнения. [73]

Olympic Destroyer использует WMI для распространения по сети. [74]

OopsIE использует WMI для выполнения методов обнаружения. [75]

Операция Wocao использовала WMI для выполнения команд. [76]

PoshC2 имеет ряд модулей, которые используют WMI для выполнения задач. [77]

Модуль PowerSploit Invoke-WmiCommand CodeExecution использует WMI для выполнения и извлечения выходных данных из полезной нагрузки PowerShell. [78] [79]

POWERSTATS может использовать запросы WMI для получения данных со взломанных хостов. [80] [64]

POWRUNER может использовать WMI при сборе информации о жертве. [81]

ProLock может использовать WMIC для выполнения сценариев на целевых хостах. [82]

QakBot может выполнять запросы WMI для сбора информации. [83]

RATANKBA использует WMI для мониторинга процессов. [84] [85]

Remexi выполняет полученные команды с помощью wmic.exe (для команд WMI). [86]

REvil может использовать WMI для мониторинга и уничтожения определенных процессов, перечисленных в его файле конфигурации. [87] [88]

RogueRobin использует различные запросы WMI, чтобы проверить, выполняется ли образец в изолированной программной среде. [89] [90]

Команда Sandworm использовала VBScript для выполнения запросов WMI. [91]

SharpStage может использовать WMI для выполнения. [61] [92]

Sibot использует WMI для обнаружения сетевых подключений и конфигураций. Sibot также использовал класс Win32_Process для запуска вредоносной DLL. [93]

Вредоносная программа Stealth Falcon собирает системную информацию с помощью инструментария управления Windows (WMI). [94]

StoneDrill использует утилиту командной строки WMI (WMIC) для запуска задач. [95]

Stuxnet использовал WMI с токеном explorer.exe для выполнения на удаленном общем ресурсе. [96]

SUNBURST использовал запрос WMI Select * From Win32_SystemDriver для получения списка драйверов. [97]

Инструмент Threat Group-3390 может использовать WMI для выполнения двоичного файла. [98]

Дропперы Ursnif использовали классы WMI для выполнения команд PowerShell. [99]

Валак может использовать вызов процесса wmic create в запланированной задаче для запуска подключаемых модулей и выполнения. [100]

WannaCry использует wmic для удаления теневых копий. [101] [102] [103]

Windshift использует WMI для сбора информации о целевых машинах. [104]

Wizard Spider использует запросы WMI и LDAP для обнаружения сети и горизонтального перемещения. [105] [106] [107] [108]

В одном из вариантов Zebrocy для сбора информации используются запросы WMI. [109]

Смягчение

В Windows 10 включите правила Attack Surface Reduction (ASR), чтобы блокировать запуск процессов, созданных командами WMI. Примечание: многие законные инструменты и приложения используют WMI для выполнения команд. [110]

Используйте контроль приложений, настроенный на блокировку выполнения wmic.exe, если это не требуется для данной системы или сети, чтобы предотвратить возможное неправомерное использование злоумышленниками. Например, в Windows 10 и Windows Server 2016 и более поздних версиях правила политики управления приложениями Защитника Windows (WDAC) могут применяться для блокировки приложения wmic.exe и предотвращения злоупотреблений. [111]

Предотвратите дублирование учетных данных в системах учетных записей администратора и привилегированных учетных записей. [2]

По умолчанию удаленное подключение с помощью WMI разрешено только администраторам. Ограничьте других пользователей, которым разрешено подключение, или запретите всем пользователям удаленное подключение к WMI.

Обнаружение

Отслеживание сетевого трафика для соединений WMI; использование WMI в средах, которые обычно не используют WMI, может вызывать подозрения. Выполняйте мониторинг процесса, чтобы перехватывать аргументы командной строки «wmic» и обнаруживать команды, которые используются для выполнения удаленного поведения. [2]

Инструментарий управления Windows (WMI) — это инфраструктура для управления данными и операциями в операционных системах на базе Windows. Вы можете писать сценарии или приложения WMI для автоматизации административных задач на удаленных компьютерах, но WMI также предоставляет данные управления другим частям операционной системы и продуктов, например, System Center Operations Manager (ранее Microsoft Operations Manager (MOM)) или Windows Удаленное управление (WinRM).

Эта документация предназначена для разработчиков и ИТ-администраторов. Если вы являетесь конечным пользователем, который столкнулся с сообщением об ошибке, касающимся WMI, вам следует обратиться в службу поддержки Microsoft и найти код ошибки, который вы видите в сообщении об ошибке. Дополнительные сведения об устранении неполадок со сценариями WMI и службой WMI см. в разделе WMI не работает!

WMI полностью поддерживается Microsoft.Однако последняя версия административных сценариев и элементов управления доступна через инфраструктуру управления Windows (MI). MI полностью совместим с предыдущими версиями WMI и предоставляет множество функций и преимуществ, которые упрощают проектирование и разработку поставщиков и клиентов. Дополнительные сведения см. в разделе Инфраструктура управления Windows (MI).

Где применим WMI?

WMI можно использовать во всех приложениях для Windows, и он наиболее полезен в корпоративных приложениях и административных сценариях.

Системные администраторы могут найти информацию об использовании WMI в различных книгах по WMI. Дополнительные сведения см. в разделе Дополнительная информация.

Аудитория разработчиков

WMI предназначен для программистов, использующих C/C++, приложение Microsoft Visual Basic или язык сценариев с ядром в Windows и обрабатывающим объекты Microsoft ActiveX. Хотя некоторое знакомство с программированием COM полезно, разработчики C++, которые пишут приложения, могут найти хорошие примеры для начала работы в разделе Создание приложения WMI с помощью C++.

Многие администраторы и ИТ-специалисты получают доступ к WMI через PowerShell. Командлет Get-WMI для PowerShell позволяет получить информацию для локального или удаленного репозитория WMI. Таким образом, ряд тем и классов, особенно в разделе «Создание клиентов WMI», содержат примеры PowerShell. Дополнительные сведения об использовании PowerShell см. в разделе Windows PowerShell.

Требования к среде выполнения

Дополнительные сведения о том, какая операционная система требуется для использования определенного элемента API или класса WMI, см. в разделе «Требования» каждой темы в документации WMI.

Если ожидаемый компонент отсутствует, см. раздел Доступность операционной системы для компонентов WMI.

Вам не нужно загружать или устанавливать специальный пакет разработки программного обеспечения (SDK), чтобы создавать сценарии или приложения для WMI. Однако есть некоторые инструменты администрирования WMI, которые разработчики считают полезными. Дополнительные сведения см. в разделе «Загрузки» в разделе «Дополнительная информация».

Что такое WMI? Давайте узнаем все об этом в этой статье

Что такое WMI? Это новая марка немецких автомобилей? Неа. Поскольку нам нравится исследовать обширные области знаний, мы попытаемся подойти к этому вопросу: что такое WMI? Есть люди, у которых нет властной потребности овладеть концепцией, например, таксисты, но есть и другие смелые люди, которые будут жить намного лучше со знанием этих навыков. Итак, что такое WMI?

Что такое WMI? Базовый подход к концепции

WMI (Инструментарий управления Windows) — это технологическое изобретение Microsoft, целью которого является забота о различных операционных средах Windows.

Инструментарий управления Windows (WMI) состоит из набора расширений модели драйверов Windows, которые предоставляют интерфейс операционной системы, так что его компоненты предоставляют нам информацию и различные типы уведомлений.

WMI – это реализация Microsoft стандартов веб-управления бизнесом (WBEM), общей информационной модели (CIM) и Рабочей группы по распределенному управлению (DMTF).

WMI позволяет языкам сценариев (таким как VBScript или Windows PowerShell) управлять персональными компьютерами и серверами Microsoft Windows как локально, так и удаленно. WMI предустановлен в Windows 2000 и новейших операционных системах Microsoft. Его также можно загрузить для Windows NT, Windows 95 и Windows 98.

Microsoft также предоставляет интерфейс командной строки для WMI, называемый командной строкой инструментария управления Windows (WMIC).

Что мы можем сделать с WMI?

Теперь, когда мы усвоили и усвоили, что такое WMI, давайте рассмотрим несколько простых вещей, для которых мы можем его использовать.

Как мы уже упоминали, с помощью WMI будет легко управлять как непосредственными, так и удаленными компьютерами, имея возможность программировать процессы, которые будут выполняться в указанные и выбранные моменты; инициировать его и начать работу на удаленном компьютере; также перезапустить их на расстоянии, если это необходимо; получить списки приложений, установленных на нашем компьютере, на остальных локальных компьютерах, а также на удаленных; сообщить нам о реестрах событий Windows, как на локальных компьютерах, так и на удаленных…

Вы должны знать, что, поскольку WMI поставляется с набором готовых к использованию интерфейсов автоматизации, все функции администрирования, поддерживаемые поставщиком WMI и его набором классов, поддерживаются сценариями для немедленного и бесплатного использования. Помимо проектирования классов WMI и разработки поставщиков, группам разработчиков и тестировщиков Microsoft не требуется создавать, проверять и тестировать модель сценариев, поскольку она фактически доступна в WMI.

Цели WMI

Можно считать, что целью WMI является определение набора спецификаций, независимых от среды, которые позволяют обмениваться управляющей информацией между одними и теми же управляющими приложениями.

WMI предписывает стандарты управления предприятием и связанные с ними технологии для Windows, которые работают с существующими стандартами управления. Подобно интерфейсу управления рабочим столом (DMI) и SNMP, WMI дополняет эти стандарты, предоставляя единую модель. Эта модель представляет собой среду, через которую можно получить доступ к данным управления из любого источника обычным способом.

Попробуем упростить. WMI работает примерно так же, как база данных; он предлагает вам большую и разнообразную информацию, которая будет наиболее полезна для систем мониторинга, основанных на Windows.

Представьте себя перед панелью управления прибором. У вас есть весь необходимый доступ к его частям, и вы можете наблюдать за уровнями, которые соответствуют наиболее личным переменным компьютера, работающего в среде Microsoft Windows. WMI использует свой язык, чтобы предоставить нам репрезентативные образцы функционирования систем, приложений, сетей, различных устройств и т. д.

Кстати, вы знаете, кто делает это как никто другой и является чемпионом по мониторингу? Pandora FMS — гибкая система мониторинга, способная отслеживать устройства, инфраструктуры, приложения, сервисы и бизнес-процессы.

Например, в следующем видео показано, как удаленно создать и настроить WMI-модуль в Pandora FMS:

Или, если вам нужно контролировать более 100 устройств, вы также можете воспользоваться 30-дневной БЕСПЛАТНОЙ ДЕМО-версией Pandora FMS Enterprise. Получите это здесь.

Команда Pandora FMS будет рада помочь вам!

Комплект управления Pandora FMS создан для объединения аналитиков и профессионалов TI с общим счетом: для мониторинга информационных систем.

Редакционная группа Pandora FMS состоит из группы писателей и ИТ-специалистов, которых объединяет одно: их страсть к мониторингу компьютерных систем.

WMI — это набор расширений модели драйверов Windows, которые предоставляют интерфейс ОС, в котором компоненты могут предоставлять информацию и уведомления. Классы WMI Win32_Process могут помочь собрать полезную информацию о процессах. Команда Windows wmic расширяет WMI для работы с несколькими интерфейсами командной строки и с помощью пакетных сценариев без необходимости полагаться на какой-либо другой язык программирования. Команда wmic использует псевдонимы классов для запроса связанной информации. Его можно выполнять как удаленно, так и локально, указав имя целевого узла или хоста и учетные данные. Различные команды, которые можно использовать для извлечения различной информации, связанной с процессом, с помощью wmic, показаны в таблице 41.13.

Таблица 41.13 . Список команд инструментария управления Windows (WMI) для получения информации о процессе

< /таблица>

Выходные данные WMI можно использовать для получения чистого базового состояния системы для периодического проведения сравнений. Сравнение может показать любой новый процесс, появившийся в системе, и может помочь обновить базовый уровень, если новый процесс известен.

Начало работы с IIS 7.0

Крис Адамс, . Джин Уитли, в статье Как обмануть администратора сервера IIS 7, 2007 г.

WMI с логической компоновкой Полная поддержка PowerShell

IIS 7.0 включает новый поставщик WMI, который предоставляет доступ к информации о конфигурации и состоянии сервера людям, использующим VBScript, Jscript и Windows PowerShell. Поскольку IIS 7.0 имеет модульную структуру, для использования возможностей WMI в IIS необходимо включить функцию, позволяющую использовать WMI с IIS 7.0. На рис. 1.15 показано, как функция сценариев и инструментов управления IIS включается в Longhorn Server.

Рисунок 1.15. Включение WMI для IIS 7.0

Еще один способ доступа к WMI — через PowerShell. PowerShell — это новая технология сценариев командной строки, созданная Microsoft для предоставления администраторам контроля и автоматизации задач системного администрирования. Сценарий PowerShell, который мы назовем PowerWMI.ps1, будет извлекать информацию из класса Win32_Process и возвращать имя и размер рабочего набора для каждого элемента. Результаты показаны в

Рисунок 1.16. Ниже приведен сценарий PowerShell.

Рисунок 1.16. Использование PowerShell с WMI

IIS 7.0 теперь включает новый поставщик WMI, используемый для доступа как к информации о конфигурации, так и к информации о состоянии сервера. Чтобы воспользоваться этим преимуществом, разработчики и администраторы могут использовать VBScript, Jscript и Windows PowerShell. Используя WMI CIM Studio, мы можем просматривать логическое расположение объектов и классов в пространстве имен WMI.

MCSA/MCSE 70-294: Работа с групповой политикой в ​​среде Active Directory

Майкл Кросс , . Томас В. Шиндер, доктор технических наук, учебное пособие MCSE (экзамен 70–294), 2003 г.

Фильтр WMI

На рис. 9.23 показана вкладка «Фильтры WMI» в окне «Свойства объекта групповой политики». В этом представлении вы можете настроить фильтры WMI для дальнейшего ограничения того, кто имеет и не имеет доступа к объекту групповой политики для обработки. Вы можете использовать запросы WMI для дополнительной фильтрации приложений объекта групповой политики, помимо того, чего вы можете добиться с помощью настроек безопасности. Фильтры WMI написаны на языке запросов WMI (WQL) и обычно используются для обработки исключений.

Рисунок 9.23. Просмотр настроек фильтра WMI в объекте групповой политики

Руководитель класса…

Размещение объектов групповой политики

Существует несколько различных способов выбора того, как и где размещать объекты групповой политики в Active Directory, но один метод, который мы сочли очень полезным, заключается в размещении объекта групповой политики в том же месте, что и контейнер, с которым он будет связан. . Если у нас есть конкретная OU, для которой нам нужно создать параметры политики, мы создаем объект групповой политики на уровне этого контейнера в каталоге и связываем объект групповой политики с контейнером. Мы также часто включаем хотя бы часть имени контейнера в имя объекта групповой политики, чтобы можно было быстро отследить его расположение.

При работе с объектом групповой политики, который будет связан с несколькими контейнерами, мы обычно храним этот объект групповой политики в корне домена, к которому будут применяться политики. Следим, чтобы GPO не был привязан к домену напрямую, а только к контейнерам, которым нужны настройки. В этом случае мы обычно называем контейнер в зависимости от конкретных задач или функций, на которые влияют настройки объекта групповой политики.

Философия этой практики заключается в простоте поиска объектов групповой политики для редактирования. Сохраняя объекты групповой политики на том же уровне, что и связанный контейнер или в корне домена, мы не тратим время на поиск конкретного объекта групповой политики, когда требуются изменения или проверка параметров.

Какую бы схему вы ни выбрали для размещения объектов групповой политики в каталоге, вы поможете себе и любому другому вспомогательному персоналу, будучи последовательными. Если вы решите хранить все свои объекты групповой политики в одном месте в каталоге для одного домена, сделайте то же самое для всех доменов. Кроме того, задокументируйте, где и как вы создали структуру GPO. Возможно, позже вы поблагодарите себя за это, и меньше шансов, что у людей, которые займут вашу должность после вас, возникнут проблемы с поиском политик и устранением неполадок.

Управление Windows 7 в корпоративной среде

Настройки групповой политики

Настройки групповой политики позволяют управлять многими параметрами на клиентском компьютере без необходимости изучения нового языка сценариев для каждого из них. Всеми этими настройками можно управлять с помощью групповых политик. Существует большое количество параметров, которыми вы можете управлять с помощью настроек групповой политики, включая сопоставление дисков, параметры реестра, создание локальной учетной записи пользователя, членство в локальной группе, конфигурацию запуска службы, а также безопасность файлов и папок.

Вы можете создать одну или несколько групповых политик на уровне домена, сайта и каждой организационной единицы в вашем домене. Групповые политики применяются к компьютеру в предсказуемом порядке, чтобы вы знали, в каком порядке они будут применяться. Параметры групповой политики могут переопределять друг друга или блокировать переопределение в зависимости от того, как установлены параметры каждой групповой политики.

На каждом уровне структуры Active Directory можно указать порядок применения политик. Это делается путем перемещения политик вверх и вниз в приложении управления групповыми политиками. Как видно на рис. 7.5, в нашем тестовом домене к корню домена применены две групповые политики.

РИСУНОК 7.5. Приложение для управления групповыми политиками, показывающее несколько групповых политик, присоединенных к домену lab.local

При применении групповых политик все групповые политики, примененные на сайте, будут применяться первыми в указанном порядке.После применения политик сайта будут применяться политики, примененные на уровне домена. После этого политики будут применяться по одной OU, пока не будет достигнут компьютер или пользователь. Если учетная запись пользователя находилась в Accounts | Структура подразделения продаж показана на рис. 7.5. При этом будут применяться любые групповые политики, прикрепленные к подразделению «Учетная запись», затем будут применяться любые групповые политики, прикрепленные к подразделению «Продажи». Такое вложение позволяет упростить структуру вашей групповой политики, поскольку без него, чтобы политика применялась ко всем OU в составе OU Accounts, вам нужно было бы связать один и тот же объект групповой политики со всеми OU. В дополнение к фильтрации объектов, к которым применяются групповые политики, с помощью подразделений, вы также можете настроить объекты групповой политики для применения только к определенным компьютерам на основе фильтров WMI. Это позволяет настраивать определенные объекты групповой политики так, чтобы они применялись только к подмножеству компьютеров в пределах этого объекта групповой политики.

Теперь также имейте в виду, что параметры конфигурации пользователя могут переопределять параметры конфигурации компьютера, но обычно параметры конфигурации компьютера не переопределяют параметры конфигурации пользователя. Это связано с тем, что в течение дня групповые политики применяются два раза. Первый раз — это когда компьютер впервые загружается и аутентифицируется в домене Windows, а клиентскому компьютеру требуется список объектов групповой политики, которые необходимо применить к нему. Второй раз, когда пользователь входит в компьютер. В это время компьютер запросит все объекты групповой политики для этого пользователя и применит их к компьютеру. Если пользовательские настройки переопределяют настройки компьютера, которые уже были загружены из домена, то пользовательские настройки будут поставлены на место. Когда пользователь выходит из системы, пользовательские настройки удаляются, поэтому при входе следующего пользователя его или ее настройки вступят в силу.

Фильтры WMI — чрезвычайно мощная, но малоиспользуемая функция компонента управления групповыми политиками Active Directory. С помощью WMI вы можете отфильтровать групповые политики, чтобы они выполнялись только на определенных машинах, используя практически любую метрику компьютера, о которой вы только можете подумать. Вы можете запросить имя машины, установленные диски, тип процессора, установленного на компьютере, количество процессоров, объем оперативной памяти и так далее. Тем не менее, вы должны всегда проверять свой фильтр WMI, прежде чем запускать его в работу, потому что немного неправильный фильтр WMI предотвратит применение объекта групповой политики к любому компьютеру, поскольку ни один компьютер не будет соответствовать фильтру WMI.

С выпуском Windows 7 и Windows Server 2008 R2 количество параметров, которыми можно управлять, было расширено и теперь включает параметры питания, параметры запланированного задания, параметры немедленного задания и параметры Internet Explorer 8. Все эти новые параметры можно также применить к клиентским компьютерам Windows Vista и Windows Server 2008 в домене Windows Server 2008 R2.

Одна из ситуаций, когда использование фильтров WMI может оказаться очень полезным, — это разнесение расписаний обновлений Windows для компьютеров, чтобы не все компьютеры получали обновления одновременно. Это уменьшит нагрузку на ваш сервер Центра обновления Windows (или на подключение к Интернету, если у вас нет сервера служб обновления программного обеспечения Windows [WSUS]).

Если ваши компьютеры рабочих станций пронумерованы, вы можете сгруппировать компьютеры в пять групп, чтобы только 20 процентов рабочих станций пытались установить исправления. Для этого создайте одну основную групповую политику для OU, в которой находятся ваши рабочие станции. В этом подразделении задайте все параметры Центра обновления Windows, кроме времени, когда компьютеры должны устанавливать обновления. Затем создайте пять дополнительных OU. В каждом из этих подразделений (связанных с одним и тем же объектом групповой политики) запланируйте время обновления Windows Update. Типичным примером может быть создание каждой группы с разницей в час, начиная с 22:00, затем в 23:00 и так далее, пока последняя группа не исправится в 3:00. Затем создайте фильтр WMI для каждой группы. Запросы будут идентичными, просто изменится часть WHERE запроса. Для первой группы используйте запрос: SELECT * FROM Win32_ComputerSystem WHERE Имя, подобное «%1», или Имя, подобное «%2». Второй запрос будет использовать имена, оканчивающиеся на 3 и 4, и так далее. Теперь, когда ваши компьютеры будут устанавливать исправления по ночам, только 20 процентов рабочих станций будут пытаться установить исправления за один раз.

Параметры электропитания, расписание и немедленные задачи настраиваются в разделе «Предпочтения», а затем «Параметры панели управления» в узлах «Конфигурация компьютера» или «Конфигурация пользователя» редактора управления групповыми политиками. Меню конфигурации пользователя показано на рис. 7.6. Параметры Internet Explorer 8 (а также параметры Internet Explorer 5–7) можно задать только с помощью узла «Параметры Интернета» в узле «Конфигурация пользователя».

РИСУНОК 7.6. Редактор групповой политики в разделе Power Plan узла конфигурации пользователя

В дополнение к этим новым параметрам существуют сотни дополнительных параметров, которыми можно управлять с помощью групповой политики. Если вы достаточно покопаетесь в политике, вы обнаружите, что можете контролировать практически каждый параметр, доступный на компьютере с Windows 7. От мелочей, например, если Internet Explorer показывает домашнюю страницу или пустую страницу при открытии новой вкладки (находится в разделе «Конфигурация пользователей | Политики | Административные шаблоны | Компоненты Windows | Internet Explorer»), до важных политик, связанных с безопасностью, таких как аудит. при неудачной попытке входа (находится в разделе Конфигурация компьютера | Политики | Параметры Windows | Параметры безопасности | Локальные политики | Политики аудита).

Вместе с огромными возможностями редактора групповой политики возникает большая ответственность за правильное использование этих возможностей. Последнее, что вам нужно сделать, — это создать большое количество групповых политик, так как это не только замедлит процесс входа вашего пользователя в систему, но и затруднит решение проблем и конфликтов внутри ваших групповых политик.

Настройки плана электропитания

Раньше с настройками энергосбережения приходилось иметь дело только пользователям ноутбуков. Но затраты на электроэнергию имеют большое значение в современном мире, а настольные компьютеры потребляют много энергии во время работы. К счастью, Windows Server 2008 R2 и Windows 7 дают энергосберегающим администраторам Windows возможность снизить потребление энергии настольными компьютерами и продлить срок службы аккумуляторов ноутбуков. Это делается путем создания и использования параметров Power Plan на компьютере пользователя.

Что касается настольных компьютеров, мы хотим снизить затраты на электроэнергию, чтобы эти компьютеры работали всю ночь, а в случае с ноутбуками мы хотим, чтобы батареи работали как можно дольше. Первым шагом в этом является замедление вращения жесткого диска, когда он не используется.

Для настольных компьютеров может показаться, что энергосберегающие настройки не могут сэкономить компании реальные деньги, но стандартный настольный компьютер имеет блок питания мощностью 500 кВт (у вас могут быть блоки питания меньшего или большего размера, но мой в нем блок питания на 500 кВт). Тот же самый компьютер работает 24 часа в сутки, но используется только 9-10 часов в этот день. С компаний может взиматься плата в размере до 0,50 долл. США/кВт·ч за потребляемую ими мощность (в зависимости от множества факторов, но мы будем использовать 0,50 долл. США/кВт·ч, чтобы упростить расчеты), поэтому 14 часов в день то, что компьютер не используется, обходится компании примерно в 7 долларов в день. Сейчас в компании с 1000 рабочих мест это стоит 7000 долларов в день. При 5-дневной рабочей неделе это обходится компании в 35 000 долларов. Выходные еще хуже, потому что компьютер работает 48 часов, и им никто не пользуется. Затем эти 1000 компьютеров стоят 24 000 долларов за выходные плюс 35 000 долларов, которые они тратят в течение недели, что в сумме составляет 59 000 долларов в неделю только для поддержания работы компьютеров. Умножьте эти цифры на месяц (примерно 247 800 долл. США) и на год (примерно 3 068 000 долларов США), и цифры начнут казаться довольно большими.

Сэкономите ли вы эту сумму, переводя свои компьютеры в спящий режим на ночь и будя их только по мере необходимости? Нет, потому что компьютер должен до некоторой степени оставаться включенным, чтобы он мог просыпаться по мере необходимости. Однако вы можете легко реализовать от 30 до 50 процентов этих цифр; конечно, ваш пробег может отличаться.

Вы можете использовать новые параметры плана электропитания для управления параметрами плана электропитания, которые будут доступны на ваших клиентских компьютерах в консоли управления питанием Панели управления. Вы также можете отредактировать или удалить (не рекомендуется) существующие схемы управления питанием по умолчанию, созданные Windows Vista или Windows 7. Как видно на рис. 7.7, мы создаем новый план питания под названием «План длительного срока службы», в котором мы настраиваем жесткий диск и монитор на максимально быстрое отключение питания, чтобы батарея компьютера работала как можно дольше.

РИСУНОК 7.7. Создание плана Long Life в качестве нового плана питания

На рис. 7.8 видно, что новый план управления питанием был применен в качестве плана по умолчанию. Если параметр не применяется сразу, это нормально, так как объекты групповой политики не обновляются сразу. Возможно, вам придется подождать несколько часов, пока новые настройки будут загружены. Если вы хотите ускорить этот процесс, вы можете запустить gpupdate на своем клиентском компьютере, чтобы вручную обновить настройки объекта групповой политики.

РИСУНОК 7.8. План Long Life, установленный на клиентском компьютере в качестве выбранного плана электропитания

Читайте также:

  
• Как скопировать файл от имени администратора в Windows 7
  
• Как создать виртуальный сетевой адаптер Linux
  
• На этом ПК обнаружена проблема с памятью Windows 10
  
• Как проверить разрешение экрана в Windows 10
  
• Marvel Avengers не запускает Windows 10

Найти путь к конкретному запущенному исполняемому файлу и его родительскому процессу (для всех не указывать 'where name=')

Найти вызов из командной строки определенного исполняемого файла, а также время создания процесса (для всех не указывать 'where name=').

Найти все файлы, загруженные в запуск и разделы реестра, связанные с автозапуском.

Поиск определенного имени процесса, например cmd.exe