Регулярное обслуживание WinMgmt — Инструментарий управления WMI Windows

WinMgmt (Windows Management Instrumentation) является основным инструментом для управления компонентами операционной системы Windows. WinMgmt позволяет администраторам выполнять различные операции, включающие мониторинг, управление и настройку компьютера.

Управление WinMgmt осуществляется с помощью синтаксиса WQL (WMI Query Language). WQL предоставляет возможность пользователю взаимодействовать с внутренними объектами и классами операционной системы, определяющими функциональность и свойства различных компонентов Windows.

Подключение к WinMgmt может быть выполнено с использованием объекта SWbemObjectSet, который представляет собой набор экземпляров CIM класса или строку репозитория. Этот объект содержит список экземпляров или имен объектов, с которыми можно взаимодействовать. Например, класс «Win32_LogicalDisk» содержит информацию о логических дисках компьютера.

Общая структура WMI

Центральным понятием в WMI является класс. Классы являются структурой данных, которая определяет объекты WMI и их свойства. Каждый класс имеет уникальное имя, состоящее из двух частей: пространства имен и имени класса. Примером имени класса может быть «Win32_Process» или «Win32_LogicalDisk».

Однако для работы с классами WMI сначала необходимо создать подключение к WMI-серверу. Для этого можно использовать объект «WbemScripting.SWbemLocator» и метод «ConnectServer». В качестве аргумента метода указывается имя компьютера или домена, к которому выполняется подключение.

Как только подключение установлено, можно выполнять запросы к WMI-серверу с помощью объекта «SWbemServices». Например, для получения списка процессов можно выполнить следующий вызов:

Set objWMIService = GetObject("winmgmts:\\" & strComputer & "
oot\cimv2")
Set colProcesses = objWMIService.ExecQuery("SELECT * FROM Win32_Process")

В данном примере мы создаём объект «objWMIService», который представляет собой подключение к WMI-серверу для пространства имён «root\cimv2». Затем мы выполняем запрос «SELECT * FROM Win32_Process» с помощью метода «ExecQuery» объекта «objWMIService». Результат запроса сохраняется в коллекцию «colProcesses», содержащую все экземпляры класса «Win32_Process».

Для получения информации о свойствах конкретного объекта класса можно использовать метод «GetObject». Например:

Set objProcess = objWMIService.Get("Win32_Process.Handle='1234'")

В этом примере мы создаём новый объект «objProcess», который представляет собой экземпляр класса «Win32_Process» с идентификатором «1234».

Кроме того, WMI предоставляет механизм событий, позволяющий отслеживать изменения свойств объектов и выполнять определенные действия при возникновении события. Это достигается с помощью класса «__InstanceModificationEvent» и метода «ExecNotificationQuery». Например, для отслеживания изменений дисков можно выполнить следующий код:

Set colDiskEvents = objWMIService.ExecNotificationQuery("SELECT * FROM __InstanceModificationEvent WITHIN 5 WHERE TargetInstance ISA 'Win32_LogicalDisk'")

В данном примере мы создаем коллекцию «colDiskEvents», содержащую все события класса «__InstanceModificationEvent» (изменение объекта), относящиеся к классу «Win32_LogicalDisk» (логический диск). События возвращаются каждые 5 секунд.

В общем, работа с WMI включает создание подключения к WMI-серверу, выполнение запросов к классам и отслеживание событий. При выполнении запросов можно использовать квалификаторы, чтобы ограничить получаемые результаты или изменить базовую логику запроса. К примеру, квалификатор «WHERE» позволяет указать условие, которому должны соответствовать возвращаемые объекты. В запросах также можно использовать язык запросов WQL (WMI Query Language) и множество встроенных функций и операторов.

Важно отметить, что для выполнения некоторых операций, таких как создание или удаление объектов, требуются права администратора. Для этого можно использовать объект «SWbemSecurity», который позволяет олицетвориться в другом контексте без использования аккаунта администратора.

Примечание: при работе с WMI иногда могут возникать проблемы с целостностью базы WMI. Чтобы исправить такие проблемы, можно воспользоваться инструментами проверки на целостность, такими как «winmgmt /verifyrepository» или «winmgmt /salvagerepository». Однако, прежде чем выполнять эти команды, рекомендуется создать резервные копии базы WMI.

Примеры использования WinMgmt

Примеры использования WinMgmt в различных сценариях:

Пример	Описание
Получение информации об абстрактном классе	С помощью метода ExecQuery можно получить информацию об абстрактных классах, которые описывают определенный вид объектов. Например, вы можете выполнить запрос SELECT * FROM __EVENT для получения всех классов, которые являются событиями внешнего источника. Полученный результат можно использовать в дальнейшем для обработки или анализа.
Получение информации о свойствах класса	С помощью метода GetObject можно получить информацию о свойствах определенного класса. Например, вы можете использовать запрос GetObject("Winmgmts:{impersonationLevel=impersonate}!//./root/cimv2:Win32_Process") для получения информации о классе Win32_Process, который содержит информацию о запущенных процессах на компьютере. Возвращается коллекция экземпляров класса CIM_SWRBEObjectSet, которую можно использовать для дальнейшей обработки данных.
Отслеживание изменений в базе событий	С помощью метода ExecNotificationQuery и режима асинхронных событий можно отслеживать изменения, происходящие в базе событий. Например, вы можете выполнить запрос SELECT * FROM __InstanceCreationEvent WITHIN 5 WHERE TargetInstance ISA 'Win32_Process' для отслеживания создания новых экземпляров класса Win32_Process. При каждом создании нового процесса будет генерироваться событие, которое можно обработать в скрипте или иной ситуации.
Выполнение команды или скрипта на удаленном компьютере	С помощью метода ExecMethod можно выполнить команду или скрипт на удаленном компьютере. Например, вы можете выполнить запрос GetObject("winmgmts:{impersonationLevel=impersonate}!//computername/root/cimv2:Win32_Process").Create("cmd.exe /c echo Hello World") для запуска команды echo Hello World на удаленном компьютере с именем «computername». Результатом выполнения будет запуск команды на удаленном компьютере и возвращение соответствующего результата.

Таким образом, WinMgmt служит важным инструментом для управления и мониторинга системы Windows, обеспечивая различные возможности по работе с данными, контролю и безопасности. Используя соответствующие методы и запросы, можно осуществлять различные действия и анализировать информацию в соответствии с требованиями и целями.

Безопасность при работе с WMI

При работе с WMI (Инфраструктура управления Windows) необходимо учитывать вопросы безопасности, чтобы обеспечить защиту системы от злоумышленников и предотвратить неправомерный доступ к данным и функциям.

В WMI безопасность настроена на уровне классов и свойств. Каждый класс WMI имеет разрешения на чтение, запись или исполнение, которые определяют, какие операции могут выполнять клиенты. Также классы и свойства могут иметь ограничения на использование, которые могут быть определены в явном виде или с помощью препроцессора.

При обработке запросов WMI клиент может указывать параметры, которые определяют действие, выполняемое над объектом. Например, при выполнении операции запроса ExecQuery можно задать условие выборки, чтобы получить только объекты, которые соответствуют заданному условию.

При работе с WMI также необходимо обеспечить безопасность самого процесса выполнения. Например, процесс WMI (WmiPrvSE.exe) может использовать много памяти или процессорного времени, поэтому необходимо проверить, не работает ли он слишком активно и не вызывает ли это проблемы в системе.

Для обеспечения безопасности в WMI используется протокол безопасности Kerberos, который обеспечивает аутентификацию и защиту данных.

При выборе WMI-моникера для выполнения операций важно выбрать подходящий маркер доступа. Маркер доступа определяет права пользователя, которые должны быть предоставлены при вызове метода или получении свойства. При использовании маркера доступа нельзя установить просроченный маркер, так как это может привести к ошибкам выполнения или утечке информации.

Для получения доступа к объектам WMI используется объект Win32_SecurityDescriptor, который содержит информацию о правах доступа к объекту. Модель доступа в WMI моделирует организацию в виде пространства имен, в котором содержатся классы и свойства. Классы и свойства могут наследовать разрешения от предыдущих классов или явно указывать свои собственные права доступа.

Для безопасного выполнения операций в WMI можно использовать метод Create с параметром «постоянный» (Persistent), что позволяет создать постоянный объект WMI, который будет сохранен на диске и будет доступен после перезагрузки системы. При создании постоянного объекта WMI необходимо указать путь к файлу, в котором он будет сохранен.

Другим способом обеспечения безопасности в WMI является проверка значения параметра CommandLine процесса SVCHOST. Если параметр CommandLine содержит вызов WMI-метода или WMI-моникер, нужно убедиться, что этот вызов соответствует легитимным операциям. Если обнаружено нежелательное использование WMI, можно заблокировать такие операции или ограничить доступ клиента к WMI.

Также при работе с WMI можно использовать объекты WbemScripting.SWbemObjectSet и WbemScripting.SWbemMethodSet для получения объектов и методов WMI соответственно. Например, с помощью метода ExecQuery можно выполнить запрос WQL для получения объектов, а методы OnCompleted и OnCompletedObject позволяют уведомить клиент, когда операция завершена или когда изменен объект.

Обеспечение безопасности при работе с WMI требует постоянного контроля и осознанного подхода к выбору параметров и режимов работы. Правильная настройка прав доступа, выбор безопасных моникеров и проверка используемых операций позволит обеспечить надежную работу с WMI и защитить систему от угроз.

Работа с объектами SWbemObjectSet и SWbemObject

Введение

SWbemObjectSet и SWbemObject — два основных объекта, используемых при работе с инструментарием управления WMI Windows. SWbemObjectSet представляет коллекцию объектов, а SWbemObject представляет отдельный объект. Здесь мы рассмотрим возможности работы с этими объектами и их использование для выполнения различных действий.

Получение коллекции объектов

Для получения коллекции объектов SWbemObjectSet используется метод ExecQuery объекта SWbemServices. Метод ExecQuery принимает запрос WQL (Windows Management Instrumentation Query Language) и возвращает коллекцию объектов, соответствующих этому запросу. Запрос может содержать условия, фильтры и другие параметры для получения определенного подмножества объектов.

Пример использования метода ExecQuery:

Set objWMIService = GetObject(«winmgmts:\{moniker\}{strauthority}\{strpassword}»)

Set colItems = objWMIService.ExecQuery(«SELECT * FROM Win32\_OperatingSystem»)

Здесь moniker представляет текущий контроль доступа, а strauthority и strpassword используются для доступа к внешней базе данных, если это необходимо.

Операции с объектами из коллекции

После получения коллекции объектов SWbemObjectSet, можно выполнять различные действия с объектами. Например, можно прочитать свойства, изменить их значения, записать объект на диск и т.д.

Пример получения свойств объекта из коллекции:

For Each objItem in colItems

Wscript.Echo «Caption: » & objItem.Caption

Wscript.Echo «Version: » & objItem.Version

Next

Добавление, изменение и удаление объектов

Для добавления нового объекта в коллекцию используется метод AddNew объекта SWbemObjectSet. Метод AddNew возвращает новый объект SWbemObject, который можно инициализировать свойствами и затем добавить в коллекцию.

Пример добавления нового объекта в коллекцию:

Set objNewObj = colItems.AddNew(«Win32\_Process»)

objNewObj.Description = «New Process»

objNewObj.Put_

В данном примере создается новый объект Win32_Process, устанавливается его свойство Description и затем добавляется в коллекцию colItems с помощью метода Put_.

Удаление объектов из коллекции выполняется с помощью метода Delete_ объекта SWbemObject.

Асинхронная обработка

SWbemObjectSet позволяет выполнять асинхронную обработку событий. Для этого используется несколько основных методов, таких как OnCompleted и OnProgress. Метод OnCompleted задаёт действия, которые должны быть выполнены по завершении операции, а метод OnProgress позволяет отслеживать прогресс выполнения задачи.

Пример использования асинхронной обработки:

colItems.OnCompleted = GetRef(«objCompleted»)

colItems.GetAsync objCompleted

Sub objCompleted(hResult, objErrorObject, objAsyncContext)

Wscript.Echo «Асинхронная операция завершена»

End Sub

В данном примере метод OnCompleted устанавливает процедуру-обработчик objCompleted, которая будет вызвана по завершении асинхронной операции. Метод GetAsync запускает асинхронную операцию. При завершении операции вызывается процедура objCompleted.

Сохранение данных

SWbemObjectSet имеет метод SaveRepository, который позволяет сохранить текущую коллекцию объектов во временный файл. Метод SaveRepository возвращает путь к временному файлу. Данные из временного файла могут быть восстановлены позже, чтобы продолжить работу.

Пример сохранения коллекции объектов:

strTempFile = colItems.SaveRepository()

В данном примере коллекция объектов сохраняется во временный файл, и путь к этому файлу сохраняется в переменную strTempFile.

Заключение

Работа с объектами SWbemObjectSet и SWbemObject позволяет получать и изменять данные о системе, а также выполнять различные действия на основе этих данных. Уникальность данных, их актуальность и правильность обработки существенно влияют на производительность и стабильность системы. Правильное использование этих объектов и методов WMI помогает создавать эффективные и надежные программные решения.

Общие сведения о классах WMI

Работа с WMI (Windows Management Instrumentation) включает в себя использование классов WMI для получения информации о системе, ее ресурсах и выполнения операций над ними. Классы WMI описывают различные типы объектов, которые имеют свойства и методы для взаимодействия с системой и ее компонентами.

Классы WMI, связанные с безопасностью, начинаются со строки «security_», и они позволяют получать информацию о разрешениях доступа к ресурсам системы. Список классов WMI предоставляет доступ к различным аспектам системы, включая процессы, события, конфигурацию и многое другое.

Для создания экземпляра класса WMI или изменения его свойств используется метод SpawnInstance_(), который получает параметры создания нового экземпляра и возвращает объект objProcessMethods.CreateInParameters(). Этот объект содержит методы для задания свойств нового экземпляра и выполнения операций над ним.

При работе с классами WMI важно обратить внимание на список поддерживаемых методов и свойств для каждого класса. Для этого можно использовать инструментарий управления WMI или воспользоваться скриптом PowerShell.

Пример использования метода GetObject("winmgmts:{impersonationLevel=impersonate}")

«>

В приведенном ниже сценарии используется метод GetObject для получения объекта SWbemServices, который предоставляет доступ к объектной модели WMI. Моникер "winmgmts:{impersonationLevel=impersonate}" указывает на уровень имперсонации для вызовов WMI. В данном случае указан уровень имперсонации «impersonate», что означает, что вызовы WMI будут выполнены от имени текущего пользователя.

Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate}!winmgmts: oot\cimv2") 

Пример использования свойств и методов класса Win32_Process

Класс Win32_Process представляет процессы, выполняющиеся в системе. Имея доступ к объекту SWbemServices (в данном случае objWMIService), можно обратиться к методам и свойствам этого класса.

Set colProcesses = objWMIService.ExecQuery("Select * from Win32_Process") For Each objProcess in colProcesses WScript.Echo "Process ID: " & objProcess.ProcessId WScript.Echo "Process Name: " & objProcess.Name Next 

Управление безопасностью классов WMI

Для выполнения операций над классами WMI, требующих повышенных разрешений, необходимо иметь достаточные разрешения и привилегии на уровне операционной системы. При работе с WMI важно учитывать безопасность и целостность системы, поэтому рекомендуется использовать эти функции с осторожностью, чтобы избежать возможных проблем с безопасностью.

Для запроса объекта SWbemServices с повышенными правами доступа, можно использовать флаг wbemFlagReturnImmediately.

Set objWMIService = GetObject("winmgmts: oot\cimv2", "administrator", "password", wbemFlagReturnImmediately) 

При использовании класса Win32_Process и его методов, таких как Create или CreateAndWait, можно создавать и выполнять задачи в системе.

Объект SWbemEventSource используется для получения информации о событиях WMI, происходящих в системе. Этот объект можно использовать для отслеживания изменений, связанных с классами WMI или другими объектами.

Set objEventSource = GetObject("winmgmts: oot\cimv2").ExecNotificationQuery("SELECT * FROM __InstanceCreationEvent WITHIN 1 WHERE TargetInstance ISA 'Win32_Process'") Do Set objEvent = objEventSource.NextEvent() Set objNewProcess = objEvent.TargetInstance WScript.Echo "New process created: " & objNewProcess.Name Loop 

В данном примере отслеживаются создания новых процессов класса Win32_Process. При каждом успешном создании процесса будет выведено его имя.

Это основные сведения о классах WMI и их использовании при выполнении различных операций в системе. Раздел WMI API библиотеки Windows SDK описывает все доступные классы WMI и их функции более подробно.

Видео:

How to Rebuild WMI in Windows 10

How to Rebuild WMI in Windows 10 by Carson Cloud 26,614 views 4 years ago 4 minutes, 2 seconds