Configuración de WMI

QRadar® Vulnerability Manager utiliza Windows Management Instrumentation (WMI) para localizar e identificar versiones de los archivos .exe y .dll instalados en los activos de destino que se exploran.

Acerca de esta tarea

Sin la información que proporciona Windows Management Instrumentation (WMI), se pierden muchas aplicaciones de terceros. Los falsos positivos que se detectan durante la exploración del registro (utilizando el servicio de registro remoto) no pueden ser identificados o eliminados por QRadar Vulnerability Manager.

WMI está instalado en todos los sistemas operativos Windows modernos, como Windows Vista, Windows 2008, Windows 2012, Windows 7, Windows 8 y Windows 8.1).

Las solicitudes WMI remotas deben estar habilitadas y ser accesibles por el usuario de exploración en los activos que se exploran. Si WMI no está disponible, se informa del siguiente error en los resultados de la exploración:

Local Checks Error – Unable to Query WMI serviceMount Remote Filesystem

En QRadar Vulnerability Manager versión 7.2.3 y posteriores, aparece un icono de aviso de triángulo amarillo junto al activo en los resultados de la exploración.

Para leer datos WMI en un servidor remoto, se debe realizar una conexión desde el sistema de gestión (donde está instalado el software de supervisión) al servidor que está supervisando. Si el servidor de destino está ejecutando el cortafuegos de Windows (también denominado cortafuegos de conexión a Internet) que está instalado en los sistemas Windows XP y Windows 2003, debe configurar el cortafuegos para permitir el paso de solicitudes WMI remotas. Para configurar el cortafuegos de Windows para permitir solicitudes WMI remotas, abra un indicador de shell y especifique el mandato siguiente:

netsh firewall set service RemoteAdmin enable

Si la exploración de parches no es satisfactoria, realice los pasos siguientes.

Procedimiento

  1. En el servidor de destino, vaya al Panel de control > Herramientas administrativas > Administración de equipos.
  2. Expanda Servicios y aplicaciones.
  3. Pulse con el botón derecho del ratón en Control de WMI y pulse Propiedades.
  4. Pulse la pestaña Seguridad .
  5. Pulse Seguridad.
  6. Opcional: Si es necesario, añada el usuario de supervisión y pulse el recuadro de selección Habilitar remoto para el usuario o grupo que solicita datos WMI. Para añadir un usuario o grupo de supervisión:
    1. Pulse Añadir.
    2. En el campo Especifique los nombres de objeto que desea seleccionar , escriba el nombre del grupo o nombre de usuario.
    3. Pulse Aceptar.
  7. Pulse Avanzado y aplíquele a los espacios raíz y de subnombres.
    Nota: En algunos casos, es posible que también tenga que configurar el cortafuegos de Windows y los valores de DCOM.

    Si experimenta problemas de WMI, puede instalar las herramientas administrativas de WMI desde el sitio web de Microsoft.

    Las herramientas incluyen un navegador WMI que le ayuda a conectarse a una máquina remota y examinar la información de WMI. Estas herramientas le ayudan a aislar cualquier problema de conectividad en un entorno más directo y sencillo.