Win32_LogonSessions retorna sessões mais antigas

3

Estou tentando identificar sessões registradas usando uma consulta WMI usando o PowerShell com:

$logon_sess = @(gwmi win32_logonsession -ComputerName $computername)

Mas vejo que este comando também está relatando sessões mais antigas, elas ainda estão ativas? Como posso redefini-lo?

E quando comparo os resultados com o comando "query user", vejo resultados diferentes porque o comando "Query user" retorna apenas as sessões atuais.

Então, como posso obter resultados reais de sessões existentes usando o método WMI Win32_LogonSession?

    
por Uh Trog 09.03.2017 / 21:55

1 resposta

3

Você está observando esse comportamento porque o Boletim de Segurança da Microsoft MS16-111 contém uma atualização que alterou a maneira como o Windows lida com objetos de sessão de logon. Agora, qualquer serviço ou aplicativo, da Microsoft ou de terceiros, que vaze tokens de acesso, agora também vaza objetos de sessão de logon.

Você está vazando objetos de sessão de logon sempre que um usuário efetua logoff do sistema e não há nada que você possa fazer a respeito, exceto solicitar que seu fornecedor de serviços ou aplicativos corrija seu código para que ele não escape mais de tokens.

link

    
por 12.03.2017 / 18:17