WMI konfigurieren

QRadar® Vulnerability Manager verwendet Windows Management Instrumentation (WMI), um Versionen der installierten .exe-und .dll-Dateien auf den gescannten Zielassets zu suchen und zu identifizieren.

Informationen zu dieser Aufgabe

Ohne die Informationen, die von Windows Management Instrumentation (WMI) bereitgestellt werden, werden viele Anwendungen anderer Anbieter übersehen. Falsche positive Werte, die während des Registry-Scans (mithilfe des fernen Registry-Service) erkannt werden, können von QRadar Vulnerability Managernicht identifiziert oder entfernt werden.

WMI wird auf allen modernen Windows-Betriebssystemen wie Windows Vista, Windows 2008, Windows 2012, Windows 7, Windows 8 und Windows 8.1installiert.

Ferne WMI-Anforderungen müssen aktiviert und für den scannenden Benutzer auf gescannten Assets zugänglich sein. Wenn WMI nicht verfügbar ist, wird der folgende Fehler in den Scanergebnissen gemeldet:

Local Checks Error – Unable to Query WMI serviceMount Remote Filesystem

In QRadar Vulnerability Manager Version 7.2.3 und höher wird in den Scanergebnissen neben dem Asset ein gelbes dreieckiges Warnsymbol angezeigt.

Zum Lesen von WMI-Daten auf einem fernen Server muss eine Verbindung von Ihrem Managementcomputer (auf dem die Überwachungssoftware installiert ist) zu dem Server hergestellt werden, den Sie überwachen. Wenn auf dem Zielserver die Windows-Firewall (auch als Internetverbindungsfirewall bezeichnet) ausgeführt wird, die auf Windows XP-und Windows 2003-Computern installiert ist, müssen Sie die Firewall so konfigurieren, dass ferne WMI-Anforderungen über zulässig sind. Um die Windows-Firewall für ferne WMI-Anforderungen zu konfigurieren, öffnen Sie eine Shelleingabeaufforderung und geben Sie den folgenden Befehl ein:

netsh firewall set service RemoteAdmin enable

Führen Sie die folgenden Schritte aus, wenn Ihr Patch-Scan nicht erfolgreich ist.

Verfahren

  1. Rufen Sie auf dem Zielserver Systemsteuerung > Verwaltung > Computerverwaltungauf.
  2. Erweitern Sie Services und Anwendungen.
  3. Klicken Sie mit der rechten Maustaste auf WMI-Steuerung und klicken Sie auf Eigenschaften.
  4. Klicken Sie auf die Registerkarte Sicherheit .
  5. Klicken Sie auf Sicherheit.
  6. Optional: Fügen Sie bei Bedarf den Überwachungsbenutzer hinzu und klicken Sie auf das Markierungsfeld Fernaktivierung für den Benutzer oder die Gruppe, der bzw. die WMI-Daten anfordert. So fügen Sie einen Überwachungsbenutzer oder eine Überwachungsgruppe hinzu:
    1. Klicken Sie auf Hinzufügen.
    2. Geben Sie im Feld Geben Sie die auszuwählenden Objektnamen ein den Namen Ihrer Gruppe oder Ihres Benutzers ein.
    3. Klicken Sie auf OK.
  7. Klicken Sie auf Erweitert und wenden Sie den Root-und Unternamensbereich an.
    Hinweis: In einigen Fällen müssen Sie möglicherweise auch die Windows-Firewall und die DCOM-Einstellungen konfigurieren.

    Bei WMI-Problemen können Sie die WMI-Verwaltungstools von der Microsoft-Website installieren.

    Die Tools umfassen einen WMI-Browser, mit dessen Hilfe Sie eine Verbindung zu einem fernen System herstellen und die WMI-Informationen durchsuchen können. Diese Tools helfen Ihnen, Konnektivitätsprobleme in einer direkteren und einfacheren Umgebung zu isolieren.