Какие меры предосторожности следует принимать при использовании WMI в современных ИТ-системах?

Некоторые меры предосторожности, которые следует принимать при использовании WMI в современных ИТ-системах:

• Внедрить строгий контроль доступа. blog.scalefusion.com По умолчанию с помощью утилит или сценариев WMI пользователь может выполнять только те действия, на которые ему даны разрешения на определённой машине. intuit.ru
• Регулярно обновлять компоненты, связанные с WMI. blog.scalefusion.com Уязвимости в системе могут привести к тому, что неавторизованные пользователи будут выполнять вредоносные команды или получать доступ к конфиденциальной информации. blog.scalefusion.com
• Настроить аудит безопасности. learn.microsoft.com С помощью вкладки «Безопасность управления WMI» можно установить аудит, который будет записывать в журнал событий, когда пользователю удаётся или не удаётся выполнить действие, например, записать данные в объект WMI или прочитать дескриптор безопасности. learn.microsoft.com
• Изменить уровень имперсонации для критичных сервисов. habr.com Рекомендуется использовать уровень олицетворения (Impersonate), при котором сценарий WMI на удалённой машине сможет выполнять все действия, которые разрешено осуществлять пользователю, запустившему этот сценарий. intuit.ru
• Настроить файервол. habr.com Входящие подключения к DCOM идут по 135 TCP-порту и имеют динамический диапазон RPC. habr.com
• Изменить репозиторий по умолчанию. habr.com Это может нарушить сценарий шаблонных атак. habr.com
• Изменить группы лиц с возможностями удалённого запуска и активации WMI через утилиту DCOMCNFG. habr.com Чтобы запустить WMI, пользователь должен быть членом группы administrators либо DCOM users, также должна быть доступна служба remote registry. habr.com