转载 WMI方式：windows系统接入

一、场景：

BDS系统上需要识别1台windows 10主机的日志，进行标准化呈现：

win10主机的ip地址：192.168.1.174 

二、注意事项

网络通信正常：被采集设备与日志服务器之间网络可达，用于WMI访问的135端口畅通（例如没有被硬件防火墙阻断135端口）；

被采集服务器自带防火墙允许WMI应用通过windows防火墙进行通信,如下图

使用WMI方式进行日志收集。WMI为针对Windows系列设备的专用接入方式，适用于Windows2003、2008、2012系统。注意事项如下：

1、确认设备的WMI服务处于运行状态；

2、bds上需要录入具有WMI权限的账号进行日志采集： 

（1）可以使用administrator账号进行采集,administrator带有WMI权限，仅需要开启WMI服务即可（参考下文【 三、windows配置WMI，允许BDS采集日志】第1步）

（2）如果用户由于涉密无法提供administrator账号，可以通过创建具有WMI权限的账号进行日志采集；

3、本文以创建具有WMI权限的wmitest账号为例，采集windows主机审核日志。

三、windows配置WMI，允许BDS采集日志

1、确保设备的WMI服务处于运行状态

在运行对话框输入services.msc

确保WMI服务处于"正在运行"的状态，如未处于"正常运行"，右键点击该服务，选择"启动"

如果用户可以提供adminstrator账号，则直接就可以在bds系统上进行日志标准化配置 *** 作；

      如果用户由于涉密无法提供administrator账号，下文以创建具有WMI权限的wmitest账号为例

2、创建账号wmitest账号，并赋予wmi权限

（1）在运行对话框中输入lusrmgr.msc,创建账号wmitest

在d出的窗口中，右键点击"用户"，选择新用户

设置账号wmitest，设定密码，同时勾选用户不能修改密码、密码永不过期两个选项

(2)给wmitest用户WMI授权

控制面板->管理工具->计算机管理->服务和应用:右键WMI控件属性->安全标签安全设置->为用户添加所有权限

      （3）组件服务-计算机属性-com安全-启动激活权限

（4）打开本地安全策略

控制面板>管理工具>本地安全策略>本地策略>审核策略，根据实际需要开启相关策略。

（5）最后赋予wmi账号"管理审核和安全日志"权限

四、BDS系统配置：日志标准化配置

点击"采集管理"->"采集器管理"->"新增"，新增采集器，如下图所示

按照下图进行设置，设置完毕后点击接入设备列表处的"新增"按钮

名称：自定义

类型：选择事件采集器

接入方式：WMI

标准化策略：选择Microsoft Windows(输入首几位字母，系统将自动检索)

输入目标主机的信息，包括ip地址、账号（具有wmi权限）、密码等，点击"检测"

如通信正常，主机将提示检测成功，如下图；

检测通过后点击确认，完成windows主机添加

     注意：添加多台windows有两种方式

方式1：编辑原有的采集器策略进行添加

方式2：新增采集器进行添加

      两种方式的区别在于：方式1添加较为便利，方式2多采集器处理性能更高；建议使用方式2进行添加；当每台windows主机日志量较小时可以使用方式1

五、标准化日志查看

点击"事件分析"->"事件列表"界面，可以显示已添加设备的日志收集情况（按严重、高级、中级、低级、信息）显示

注意：

日志按照原始设备日志等级，以严重、高级、中级、低级、信息级别显示；如果原始设备部携带日志等级信息，系统将按照默认的显示等级显示。

设备名称：设备在"资产管理"->"资产管理"中完成相应资产设置的，在此处将显示具体信息。如果没有则留白不显示；

点击具体设备，可以显示设备当日具体日志信息，点击某一条日志，将显示具体的日志信息

一些获取信息例子：

执行命令： wmic /node:ip /user:admin /password:pass process call create 'ipconfig' ，但是没有结果回显。

直接用 impacket 中的 wmiexec.py 一把梭， python wmiexec.py admin:password@ip [command]

在 empire 中也有 wmi 的横向移动的利用模块

lateral_movement/invoke_wmi 和 lateral_movement/invoke_wmi_debugger 设置好用户名密码也可以一把梭了。

使用SMB协议进行登陆，可以告警异常IP登陆。

简介

winrm 在 win7/2008r2 及之后的 *** 作系统是自启动服务，但是只有在 win8/win2012 之后，才允许任意远程主机管理。

因为通过HTTP[S]协议和SOAP格式来管理，所以需要目标主机开放防火墙的5985[http]或5986[https]。

环境

本机执行 Set-item wsman:localhost\client\trustedhosts –value *

目标机执行 Enable-PSremoting -f 或 winrm qc

实践

在目标机上执行 query user ，但是该命令会d出登陆对话框，不适用于纯命令界面。

d回目标机的一个交互式 powershell ，但是也会d出登陆对话框。

同 winrm 成对出现就是 winrs ——Windows Remote Shell了，避免了d框的尴尬。

示例:

比如 winrs -r:ip -u:admin -p:password cmd 会生成一个交互式的shell

但是登陆事件中没有记录IP，特点是每执行命令一次就登陆一次。

sysmon里面虽然设置对应的 RuleName ，但是并没有匹配成功。

wmiend扫描时间长有如下方法：

1、在设置里进行如此配置：打开卡巴斯基程序主界面，点击右上角的设置，在设置界面点击扫描，在全盘扫描的设置里，点击扫描范围，将扫描最优化的选项勾选上，然后点击确定关闭设置界面。然后再重新运行扫描任务。

2、如果停在某文件不动，建议您将扫描时停滞不动的文件添加到卡巴斯基的排除列表里。然后进行全盘扫描。待全盘扫描完成后，再单独扫描这个文件试试。

---