WMI (Windows Management Instrumentation) là hạ tầng quản lý dữ liệu và tác vụ trong Windows. Với WMI, quản trị viên có thể:
Trong môi trường doanh nghiệp, WMI đặc biệt hữu ích. Ví dụ: các thiết bị an ninh mạng có thể dùng WMI để truy xuất các sự kiện đăng nhập/đăng xuất của người dùng từ Domain Controller. Điều này giúp theo dõi hoạt động user trong hệ thống.
Nhưng ở góc độ tấn công, WMI lại bị lợi dụng rất nhiều:
Chính vì vậy, với sysadmin, WMI vừa là công cụ mạnh mẽ, vừa là bề mặt tấn công nguy hiểm nếu không kiểm soát chặt.
Một số khuyến nghị bảo mật WMI:
Ôn tập nhanh:
Nếu kẻ tấn công có quyền truy cập WMI vào Domain Controller, chúng có thể lấy được thông tin gì?
→ User login và logout events (không phải password hay AD config).
Anh em sysadmin nên nhớ: dùng WMI thì cực tiện, nhưng nếu để hở quyền thì kẻ tấn công sẽ tận dụng chính công cụ quản trị của chúng ta để quay ngược lại tấn công hệ thống.
