WMI je základní technologie pro správu operačního systému Windows. Jde o implementaci standardů WBEM (Web-Based Enterprise Management) a CIM (Common Information Model) od společnosti Microsoft. V jednoduchosti slouží WMI jako prostředník, který umožňuje správcům a aplikacím dotazovat se na stav systému a ovládat jej.

WMI si lze představit jako rozsáhlou databázi informací o počítači, ke které lze přistupovat pomocí dotazovacího jazyka WQL (WMI Query Language), který je velmi podobný standardnímu SQL.

Pomocí WMI lze zjistit téměř cokoli o hardware i software:

• Hardware: Teplota procesoru, sériové číslo základní desky, kapacita disků.
• Software: Seznam nainstalovaných aplikací, běžící procesy, stav služeb.
• Nastavení: Konfigurace sítě, uživatelské účty, záznamy v registru.

V naší firmě využívá IT Podpora WMI především pro tyto účely:

Protože WMI umožňuje hluboký přístup do systému, je kritickým bodem pro kybernetickou bezpečnost:

• Vzdálený přístup: WMI může fungovat přes síť (RPC), což vyžaduje přísné nastavení firewallu.
• Oprávnění: K dotazování na citlivé informace jsou vyžadována administrátorská práva.
• Detekce útoků: Útočníci mohou WMI zneužít k persitenci (udržení se v systému). Naše monitorovací systémy sledují podezřelé WMI dotazy.

Moderní správa WMI probíhá nejčastěji přes PowerShell. Příklad dotazu na model počítače a verzi BIOSu:

Get-CimInstance -ClassName Win32_ComputerSystem | Select-Object Model, Manufacturer
Get-CimInstance -ClassName Win32_BIOS | Select-Object SerialNumber, SMBIOSBIOSVersion

Poznámka: Microsoft postupně nahrazuje starší WMI příkazy (Get-WmiObject) modernějšími a bezpečnějšími variantami CIM (Get-CimInstance), které používají protokol WS-Man namísto DCOM. V rámci našeho vývoje skriptů preferujeme variantu CIM.

— Související stránky: IT Podpora, ZIF, Kybernetická bezpečnost, WOL, Vývojový tým