Como usar uma conta que não é de administrador para o WMI
Última modificação: 13/09/2022
Aviso de isenção de responsabilidade
Produtos afetados
Idiomas:
Este artigo está disponível nos seguintes idiomas:
Veja como um ecossistema XDR que está sempre se adaptando pode energizar sua empresa.
O CEO da Trellix, Bryan Palma, explica a necessidade crítica por uma segurança que está sempre aprendendo.
Faça download do relatório Magic Quadrant, que avalia os 19 fornecedores com base na capacidade de execução e na abrangência de visão.
De acordo com a Gartner, “o XDR é uma tecnologia emergente que pode oferecer melhor prevenção, detecção e resposta a ameaças”.
Quais ameaças à segurança cibernética devem estar no radar das empresas em 2022?
A indústria da segurança cibernética nunca descansa, e não há melhor momento do que agora para enxergar isso como uma vantagem e um catalisador para o empoderamento dos negócios.
Duas líderes confiáveis em segurança cibernética se uniram para criar um mundo digital resiliente.
O CEO da Trellix, Bryan Palma, explica a necessidade crítica por uma segurança que está sempre aprendendo.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Como usar uma conta que não é de administrador para o WMI
Artigos técnicos ID:
KB74126
Última modificação: 13/09/2022 Ambiente
McAfee SIEM Event Receiver (Receiver) 11.x Microsoft Windows Server ResumoOs procedimentos a seguir descrevem como usar uma conta que não é de administrador para o WMI.
Associação a grupos, atribuições de políticas de segurança e permissões
Atribuições de direitos do modelo de objeto componente distribuído (DCOM) Use as etapas a seguir para configurar a segurança do DCOM para o grupo de coleta do WMI:
Atribuições de segurança do namespace WMI Use as etapas a seguir para definir a segurança do namespace WMI, de modo que o grupo de coleta do WMI tenha acesso a objetos WMI:
Para o Windows Server 2012 ou posterior, adicione permissão para ler o log de segurança:
Exemplo:
SID S-1-5-21-2714243513-2981656821-964208712-1125 C:\Windows\system32>wevtutil gl security name: security enabled: true type: Admin owningPublisher: isolation: Custom channelAccess: O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573) logging: logFileName: %SystemRoot%\System32\Winevt\Logs\security.evtx retention: false autoBackup: false maxSize: 134217728 publishing: fileMax: 1 C:\Windows\system32>wevtutil sl security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x7;;;S-1-5-21-2714243513-2981656821-964208712-1125) C:\Windows\system32>wevtutil gl security name: security enabled: true type: Admin owningPublisher: isolation: Custom channelAccess: O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x7;;;S-1-5-21-2714243513-2981656821-964208712-1125) logging: logFileName: %SystemRoot%\System32\Winevt\Logs\security.evtx retention: false autoBackup: false maxSize: 134217728 publishing: fileMax: 1 Agora é possível usar o usuário da coleção WMI para coletar eventos do WMI sem a necessidade de usar direitos de administrador de domínio. Informações relacionadasID do NitroSecurity: 15094-552
Aviso de isenção de responsabilidadeO conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
Produtos afetadosIdiomas:Este artigo está disponível nos seguintes idiomas: |
|