Category Archives: WMI Ressource Monitor

WMI Autentificering/autorisation NTLM/Kerberos

En af grundstenene for overvågning af Windows operativsystemet at benytte WMI (Windows Management Instrumentation).

Windows Management Instrumentation (WMI) blev udviklet af Microsoft som en del af deres implementering af en standard kaldet Web-Based Enterprise Management (WBEM). WBEM blev oprindeligt defineret af Distributed Management Task Force (DMTF), en organisation, der skaber standarder for systemadministration.

WMI blev introduceret som en standardkomponent i Windows med Windows 2000 og videreudviklet i senere versioner af operativsystemet. Formålet med WMI er at give systemadministratorer et værktøj til at overvåge og administrere Windows-systemer på en standardiseret måde. Det giver adgang til data og funktioner i operativsystemet via en ensartet grænseflade.

I Neosec Security Server benyttes både lokal login, samt fjernlogin ved overvågning via WMI.

Lokal login benyttes på selve Neosec Security Server for monitorering af operativ system og applikationer der er installeret på overvågnings serveren.

Lokal Login benyttes også ved brug af Neosec Windows Agent, som benyttes på servere der ikke er direkte adgang til fra den centrale Neosec Security Server. Dette kan være I miljøer hvor serverene er placeret I DMZ eller på et fjerndestination, hvor der ikke er direkte adgang til fra overvågnings serveren.

Metoder til login I WMI:

Windows Authentication (standard):

  • WMI bruger normalt Windows-brugerkonti til autentificering.
  • Du skal have en konto med tilstrækkelige privilegier (typisk administrative rettigheder) på den lokale eller fjernmaskine.

Netværksautentificering (RPC):

  • Hvis du tilgår WMI på en fjernmaskine, bruges ofte NTLM eller Kerberos til at validere legitimationsoplysninger over netværket. NTLM er standard.
  • Brugeren skal stadig have rettigheder til at få adgang til WMI-namespace på fjernmaskinen (f.eks. ROOT\CIMV2).
  • Som standard benyttes NTLM ved login I WMI, men man kan også benytte Kerberos som er mere sikkert.

Rettigheder og Autorisation:

  • Den brugerkonto, der bruges til login, skal have adgang til de relevante WMI-namespaces.
  • Dette kan konfigureres via WMI Control (wmimgmt.msc), hvor du kan give specifikke brugere eller grupper adgang til at udføre handlinger inden for WMI.

Sørg for at anvende sikre login oplysninger og begrænse adgangen til kun de nødvendige personer og systemer.

NTLM og Kerberos er begge autentificeringsprotokoller, der bruges i Windows-netværk, men de fungerer forskelligt og har forskellige fordele og ulemper, når det gælder brugen af WMI (Windows Management Instrumentation). Her er de vigtigste forskelle:

Generelt overblik

NTLMKerberos
Ældre protokol, som stammer fra Windows NT.Moderne protokol introduceret med Windows 2000.
Bruger udfordring/svar-metoden til autentificering.Bruger billetter udstedt af en Key Distribution Center (KDC).
Mindre sikker sammenlignet med Kerberos.Mere sikker og effektiv.
Bruges som fallback, når Kerberos ikke er tilgængelig.Standardprotokollen i domænebaserede miljøer.

Autentificeringsmekanisme

  • NTLM:
    • Bygger på en udfordring-svar-model.
    • Klienten sender et hashed brugernavn og en krypteret adgangskode til serveren.
    • Serveren validerer ved at sammenligne med sine egne hashes.
    • Støtter ikke delegation af legitimationsoplysninger uden tredjepartsværktøjer.
  • Kerberos:
    • Bygger på et billet-system.
    • En klient får en Ticket Granting Ticket (TGT) fra KDC (ofte domænekontrolleren).
    • Klienten præsenterer TGT for at få adgang til ressourcer uden at sende adgangskoder igen.
    • Støtter delegering af legitimationsoplysninger, hvilket gør det ideelt til komplekse scenarier med flere hop (f.eks. fjern-WMI, der involverer mellemled).

NTLM og Kerberos med WMI

  • NTLM med WMI:
    • Bruges typisk i arbejdsgrupper eller uden for et Active Directory-domæne.
    • Ikke afhængig af en KDC (domænekontroller), så det fungerer i miljøer uden centraliseret autentificering.
    • Mindre sikkert og ineffektivt for større miljøer.
    • Brugen af NTLM kræver ofte direkte administrative rettigheder på den målrettede maskine.
  • Kerberos med WMI:
    • Standardprotokollen i Active Directory-miljøer.
    • Gør det muligt at godkende sikkert og uden at sende adgangskoder over netværket.
    • Støtter multi-hop-forbindelser (f.eks. hvis en fjern-WMI-kommando videresendes via en mellemserver).
    • Mere sikker og hurtigere i store, komplekse netværk.

Sikkerhed

NTLM:

  • Sårbart over for pass-the-hash-angreb.
  • Ingen kryptering af sessioner som standard.
  • Bruges som fallback i tilfælde, hvor Kerberos ikke kan anvendes.

Kerberos:

  • Brug af tidsstemplede billetter gør det svært at udføre replay-angreb.
  • Billetter kan krypteres, hvilket beskytter mod aflytning.
  • Kræver korrekt konfiguration af tidssynkronisering mellem systemer, da billetter er tidsfølsomme.

Hvilken skal man vælge til WMI?

  • Hvis muligt, brug Kerberos, især i Active Directory-miljøer, da det er mere sikkert og effektivt.
  • Brug NTLM som fallback, hvis du arbejder i arbejdsgrupper eller systemer uden Kerberos-støtte.

For en sikker konfiguration, sørg for at minimere NTLM-brugen og implementere Kerberos korrekt i domænemiljøer.

Find mere info på følgende links.

Windows Management Instrumentation – Win32 apps | Microsoft Learn

Windows Services Monitor

Windows Services er processer der bliver installeret i forbindelse med server software eller mindre applikationer. For at kunne dokumentere installation m.m. af disse services kan man benytte Windows Services Monitor.

Funktioner

  • Monitorere Windows Service Installation og Afinstallation Status.
  • Notifikation ved Installation eller Afinstallation.
  • Rapportering af Installation Status.

Der kan kun konfigureres en Windows Services Monitor pr. Server/Workstation.

Windows Service Install State

  • Installed
  • Uninstalled
  • Installed/Uninstalled

Konfiguration af Windows Services Monitor

Denne monitor er en Global Monitor, det vil sige den monitorere alle services der Installeres eller Afinstalleres på enheden. Der er ikke nogen rigtig konfiguration andet end Notifikationer  samt ekskludering af navngivne Windows Services som man ikke vil have notifikationer på.

Windows Services Monitor WMI

Der kan sættes notifikationer op sådan at man får besked når en Windows Service Installeres og Afinstalleres.

Rapportering

 

  • Device Type : Windows
  • Agent Type : WMI
  • Neosec Agent : Ja

Data der gemmes

  • Windows Services Install State
  • Windows Services Monitor Response time
  • Windows Services Monitor Availability

Windows Service Monitor

Windows Services er kritiske processer der kører på en Server eller Workstation. Det er derfor vigtigt at overvåge de vigtigste Windows Services. De mest kendte Windows Services er dem der sørger for at funktioner som Active Directory, E-mail, DNS, DHCP. Hvis vigtige Windows Services fejler kan det give problemer i hele IT infrastrukturen.

Windows Service Monitor tjekker den enkelte Windows Service Status for at se om den kører eller er stoppet. Hvis den er Stoppet sendes en event hvor der kan tilknyttes Alarm og notifikation til.

Funktioner

  • Monitorere Windows Service Status er (Service State).
  • Notifikation ved at Windows Service Stopper samt ved Genstart.
  • Rapportering af nedetid for den enkelte service.
  • Oppetid rapportering.

Man kan lave lige så mange Windows Service monitore som der er Windows Services på den enkelte Server eller Workstation.

Service State

  • Stopped/Not Installed/Start Pending/Stop Pending/Continue Pending/Pause Pending/Paused (Standard Threshold)
  • Running
  • Stopped
  • Start Pending
  • Stop Pending
  • Continue Pending
  • Pause Pending
  • Paused

Konfiguration af Windows Service Monitor

Windows Service WMI

Der kan sættes notifikationer op sådan at man får besked når en Service fejler og starter igen.

Rapportering

Windows Service Monitors Downtime

Report - Windows Service Monitors Down Time

  • Device Type : Windows
  • Agent Type : WMI
  • Neosec Agent : Ja
  • Neosec Agentless : Ja

Data der gemmes

  • Windows Service State
  • Windows Service Monitor Response time
  • Windows Service Monitor Availability
Server Room

Microsoft Windows-monitorering

Microsoft Windows-monitorering

Få det fulde overblik ved monitorering og overvågning af din Windows Server

Windows understøtter flere forskellige protokoller for monitorering. Som standard benytter Neosec Security Server WMI. WMI giver de mest nøjagtige målinger. Ved WMI kan man få fat i alle Windows Performance Counters der er tilgængelig på den overvågede enhed.

WMI benyttes til at overvåge servere uden at der skal installeres en agent. WMI benyttes også til opsamling af Windows Eventlogs, disse gemmes centralt på Neosec Security Serveren.

Neosec Security Server har også en Agent som kan benyttes til overvågning af servere decentralt. Agenten er opbygget som en autonom agent der automatisk forbinder sig til Security Serveren og overfører de opsamlede data. Agenten er opbygget med 2 vejs kommunikation, sådan at man kan udføre handlinger på den overvågede server. Agenten benyttes i miljøer hvor Security serverne ikke kan kommunikere direkte med Windows serveren, f.eks ved at den sider bag en firewall.

Standard Monitorering :

  • Availability
  • CPU
  • Memory
  • Pagefile
  • Harddisk plads
  • Services der er sat som Auto start, men er stoppet

Optioner :

  • Service Monitorering
  • Services Installation/Afinstallation
  • Process Monitorering
  • Process Count
  • Alle Performance Countere der er tilgængelige på den enkelte server/workstation
  • Windows Eventlog
  • DHCP Server Scopes

Der kan også benyttes SNMP for monitorering men det er ikke alt der kan monitoreres på denne måde samt at det ikke er lige så nøjagtigt som ved WMI.

Der er dog nogle funktioner der ikke kan monitoreres med WMI.

DHCP Server status kan ikke måles direkte via WMI, her skal man benytte SNMP eller WINRM. Når man benytter WINRM sker det via WMI forespørgsler.

WMI - Windows Management Instrumentation, dette er Microsofts framework for monitorering af deres operativ systemer.

Læs mere omkring Authentication og Authorization med WMI her: WMI Autentificering/autorisation NTLM/Kerberos

SNMP - Simple Network Management Protocol, en old school protokol der i høj grad benyttes til monitorering og overvågning af netværks enheder og servere. SNMP er en protokol der er understøttet på tværs af rigtig mange platforme.