Назад | Перейти на главную страницу

Что заставляет WMI удалять ключи реестра

на одном из наших серверов ключи реестра продолжают исчезать. Эти ключи содержат ключи сертификатов для нашей консоли управления sophos av, а части корпоративной консоли перестают работать после каждой перезагрузки (в частности, маршрутизатор сообщений). После включения аудита реестра мы обнаружили

C:\Windows\System32\wbem\WmiPrvSE.exe

редактирует реестр.

вот полная запись журнала событий

    Protokollname: Security
Quelle:        Microsoft-Windows-Security-Auditing
Datum:         19.03.2015 15:24:37
Ereignis-ID:   4657
Aufgabenkategorie:Registrierung
Ebene:         Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer:      Nicht zutreffend
Computer:      SERVER.domain.com
Beschreibung:
Ein Registrierungswert wurde geändert.

Antragsteller:
    Sicherheits-ID:     SYSTEM
    Kontoname:      SERVER$
    Kontodomäne:        DOMAIN
    Anmelde-ID:     0x3e7

Objekt:
    Objektname:     \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Sophos\Remote Management System\ManagementAgent\Private
    Name des Objektwerts:   pkp
    Handle-ID:      0x1d8
    Vorgangstyp:        Der Registrierungswert wurde gelöscht.

Prozessinformationen:
    Prozess-ID:     0x1ba4
    Prozessname:        C:\Windows\System32\wbem\WmiPrvSE.exe

Informationen zur Änderung:
    Typ des alten Werts:        REG_BINARY
    Alter Wert:     <Wertänderungsüberwachung wird für diesen Registrierungstyp nicht unterstützt.>
    Typ des neuen Werts:        -
    Neuer Wert:     -
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
    <EventID>4657</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>12801</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8020000000000000</Keywords>
    <TimeCreated SystemTime="2015-03-19T14:24:37.744545900Z" />
    <EventRecordID>11004886</EventRecordID>
    <Correlation />
    <Execution ProcessID="4" ThreadID="80" />
    <Channel>Security</Channel>
    <Computer>SERVER.domain.com</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="SubjectUserSid">S-1-5-18</Data>
    <Data Name="SubjectUserName">SERVER$</Data>
    <Data Name="SubjectDomainName">DOMAIN</Data>
    <Data Name="SubjectLogonId">0x3e7</Data>
    <Data Name="ObjectName">\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Sophos\Remote Management System\ManagementAgent\Private</Data>
    <Data Name="ObjectValueName">pkp</Data>
    <Data Name="HandleId">0x1d8</Data>
    <Data Name="OperationType">%%1906</Data>
    <Data Name="OldValueType">%%1875</Data>
    <Data Name="OldValue">%%1800</Data>
    <Data Name="NewValueType">-</Data>
    <Data Name="NewValue">-</Data>
    <Data Name="ProcessId">0x1ba4</Data>
    <Data Name="ProcessName">C:\Windows\System32\wbem\WmiPrvSE.exe</Data>
  </EventData>
</Event>

Есть ли способ узнать, что заставляет WMI удалять эти ключи при каждой загрузке?

WmiPrvSE.exe - это не WMI, а, скорее, процесс хостинга поставщика WMI. Таким образом, WmiPrvSE - это часть общей реализации WMI, но не сам WMI. WmiPrvSE размещает WMI провайдеры, как предоставленные Microsoft, так и поставщики WMI, предоставленные третьими сторонами. Вы можете легко просмотреть поставщиков WMI, размещенных в любом экземпляре процесса WmiPrvSE, используя Process Explorer и наведя курсор на экземпляр WmiPrvSE. Очень похоже на наведение курсора мыши на svchost.exe в Process Explorer, чтобы увидеть службы, размещенные внутри.

Я не могу придумать ни одной причины, по которой готовый поставщик Microsoft WMI будет специально связываться с ключами реестра, принадлежащими программному обеспечению Sophos, которое вы установили. Что кажется более вероятным, так это то, что программное обеспечение Sophos, которое вы установили, поставляется с собственным поставщиком WMI, и этот поставщик Sophos WMI ведет себя странно. (Действия, предпринятые этим поставщиком WMI, будут взиматься с процесса WmiPrvSE.) Это меня совсем не удивит, поскольку интеграция с WMI - обычное дело для поставщиков антивирусных программ.

Я бы занялся этим с поддержкой Sophos.