O que está fazendo com que o WMI exclua as chaves do Registro

2

em uma de nossas chaves de registro de servidores continua desaparecendo. Essas chaves contêm chaves de certificado para o nosso console de gerenciamento sophos av e partes do console corporativo param de funcionar após cada reinicialização (o roteador de mensagens para ser específico). Depois de habilitar a auditoria do registro, encontramos

C:\Windows\System32\wbem\WmiPrvSE.exe

edita o registro.

aqui é a entrada completa do log de eventos

    Protokollname: Security
Quelle:        Microsoft-Windows-Security-Auditing
Datum:         19.03.2015 15:24:37
Ereignis-ID:   4657
Aufgabenkategorie:Registrierung
Ebene:         Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer:      Nicht zutreffend
Computer:      SERVER.domain.com
Beschreibung:
Ein Registrierungswert wurde geändert.

Antragsteller:
    Sicherheits-ID:     SYSTEM
    Kontoname:      SERVER$
    Kontodomäne:        DOMAIN
    Anmelde-ID:     0x3e7

Objekt:
    Objektname:     \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Sophos\Remote Management System\ManagementAgent\Private
    Name des Objektwerts:   pkp
    Handle-ID:      0x1d8
    Vorgangstyp:        Der Registrierungswert wurde gelöscht.

Prozessinformationen:
    Prozess-ID:     0x1ba4
    Prozessname:        C:\Windows\System32\wbem\WmiPrvSE.exe

Informationen zur Änderung:
    Typ des alten Werts:        REG_BINARY
    Alter Wert:     <Wertänderungsüberwachung wird für diesen Registrierungstyp nicht unterstützt.>
    Typ des neuen Werts:        -
    Neuer Wert:     -
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
    <EventID>4657</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>12801</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8020000000000000</Keywords>
    <TimeCreated SystemTime="2015-03-19T14:24:37.744545900Z" />
    <EventRecordID>11004886</EventRecordID>
    <Correlation />
    <Execution ProcessID="4" ThreadID="80" />
    <Channel>Security</Channel>
    <Computer>SERVER.domain.com</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="SubjectUserSid">S-1-5-18</Data>
    <Data Name="SubjectUserName">SERVER$</Data>
    <Data Name="SubjectDomainName">DOMAIN</Data>
    <Data Name="SubjectLogonId">0x3e7</Data>
    <Data Name="ObjectName">\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Sophos\Remote Management System\ManagementAgent\Private</Data>
    <Data Name="ObjectValueName">pkp</Data>
    <Data Name="HandleId">0x1d8</Data>
    <Data Name="OperationType">%%1906</Data>
    <Data Name="OldValueType">%%1875</Data>
    <Data Name="OldValue">%%1800</Data>
    <Data Name="NewValueType">-</Data>
    <Data Name="NewValue">-</Data>
    <Data Name="ProcessId">0x1ba4</Data>
    <Data Name="ProcessName">C:\Windows\System32\wbem\WmiPrvSE.exe</Data>
  </EventData>
</Event>

Existe alguma maneira de ver o que faz com que o WMI exclua essas chaves em cada inicialização?

    
por chewbakka 19.03.2015 / 17:38

1 resposta

1

O WmiPrvSE.exe não é o WMI, mas sim o processo de hospedagem do provedor WMI. Portanto, o WmiPrvSE é uma parte da implementação geral do WMI, mas não é o próprio WMI. O WmiPrvSE hospeda os provedores WMI , fornecidos pela Microsoft e também pelos provedores WMI fornecidos por terceiros. Você pode visualizar facilmente os provedores WMI sendo hospedados por qualquer instância do processo WmiPrvSE usando o Process Explorer e passando o mouse sobre a instância WmiPrvSE. Muito semelhante ao passar o mouse sobre svchost.exe no Process Explorer para ver os serviços hospedados dentro.

Não consigo pensar em nenhum motivo pelo qual um provedor WMI da Microsoft pronto para uso possa mexer especificamente com chaves de registro pertencentes ao software Sophos que você instalou. O que parece muito mais provável, é que o software Sophos que você instalou vem com seu próprio provedor WMI, e que o provedor Sophos WMI está agindo como um funky. (As ações tomadas por esse provedor WMI seriam cobradas de um processo WmiPrvSE.) Isso não me surpreenderia de forma alguma, já que a integração com o WMI é muito comum para os fornecedores de antivírus.

Eu gostaria de falar com o suporte da Sophos.

    
por 19.03.2015 / 19:10