на одном из наших серверов ключи реестра продолжают исчезать. Эти ключи содержат ключи сертификатов для нашей консоли управления sophos av, а части корпоративной консоли перестают работать после каждой перезагрузки (в частности, маршрутизатор сообщений). После включения аудита реестра мы обнаружили
C:\Windows\System32\wbem\WmiPrvSE.exe
редактирует реестр.
вот полная запись журнала событий
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 19.03.2015 15:24:37
Ereignis-ID: 4657
Aufgabenkategorie:Registrierung
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVER.domain.com
Beschreibung:
Ein Registrierungswert wurde geändert.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SERVER$
Kontodomäne: DOMAIN
Anmelde-ID: 0x3e7
Objekt:
Objektname: \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Sophos\Remote Management System\ManagementAgent\Private
Name des Objektwerts: pkp
Handle-ID: 0x1d8
Vorgangstyp: Der Registrierungswert wurde gelöscht.
Prozessinformationen:
Prozess-ID: 0x1ba4
Prozessname: C:\Windows\System32\wbem\WmiPrvSE.exe
Informationen zur Änderung:
Typ des alten Werts: REG_BINARY
Alter Wert: <Wertänderungsüberwachung wird für diesen Registrierungstyp nicht unterstützt.>
Typ des neuen Werts: -
Neuer Wert: -
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4657</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12801</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2015-03-19T14:24:37.744545900Z" />
<EventRecordID>11004886</EventRecordID>
<Correlation />
<Execution ProcessID="4" ThreadID="80" />
<Channel>Security</Channel>
<Computer>SERVER.domain.com</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">SERVER$</Data>
<Data Name="SubjectDomainName">DOMAIN</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
<Data Name="ObjectName">\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Sophos\Remote Management System\ManagementAgent\Private</Data>
<Data Name="ObjectValueName">pkp</Data>
<Data Name="HandleId">0x1d8</Data>
<Data Name="OperationType">%%1906</Data>
<Data Name="OldValueType">%%1875</Data>
<Data Name="OldValue">%%1800</Data>
<Data Name="NewValueType">-</Data>
<Data Name="NewValue">-</Data>
<Data Name="ProcessId">0x1ba4</Data>
<Data Name="ProcessName">C:\Windows\System32\wbem\WmiPrvSE.exe</Data>
</EventData>
</Event>
Есть ли способ узнать, что заставляет WMI удалять эти ключи при каждой загрузке?
WmiPrvSE.exe - это не WMI, а, скорее, процесс хостинга поставщика WMI. Таким образом, WmiPrvSE - это часть общей реализации WMI, но не сам WMI. WmiPrvSE размещает WMI провайдеры, как предоставленные Microsoft, так и поставщики WMI, предоставленные третьими сторонами. Вы можете легко просмотреть поставщиков WMI, размещенных в любом экземпляре процесса WmiPrvSE, используя Process Explorer и наведя курсор на экземпляр WmiPrvSE. Очень похоже на наведение курсора мыши на svchost.exe в Process Explorer, чтобы увидеть службы, размещенные внутри.
Я не могу придумать ни одной причины, по которой готовый поставщик Microsoft WMI будет специально связываться с ключами реестра, принадлежащими программному обеспечению Sophos, которое вы установили. Что кажется более вероятным, так это то, что программное обеспечение Sophos, которое вы установили, поставляется с собственным поставщиком WMI, и этот поставщик Sophos WMI ведет себя странно. (Действия, предпринятые этим поставщиком WMI, будут взиматься с процесса WmiPrvSE.) Это меня совсем не удивит, поскольку интеграция с WMI - обычное дело для поставщиков антивирусных программ.
Я бы занялся этим с поддержкой Sophos.