服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 什么导致WMI删除registry项
Intereting Posts
绑定DNS服务器错误 Windows时间不同步 crontab的无效时间检查是不一致的 iptables只允许启动tls的smtp连接 什么服务器信息可以获得只使用FTP? 用于USB拇指驱动器的简易引导程序 kill SIGABRT不会从crontab启动的守护进程生成核心文件 无法将数据库恢复到不同版本的MSSQL服务器 Magento的子页面给404 Gitlabredirect到其他页面 在Windows 7启动时运行程序,无需用户login Sharepoint 2010的域pipe理员相当于什么? Site-to-site strongswan已经启动,但远程VPC的stream量立即下降 内存关键服务器上的Firewalld的替代品? 在安装Exchange服务包之前,我必须准备好Active Directory吗?

什么导致WMI删除registry项

在我们的服务器上的一个registry项不断消失。 这些密钥包含我们的sophos avpipe理控制台的证书密钥,企业控制台的一部分在每次重新启动后都会停止工作(消息路由器是特定的)。 启用registry审核后,我们发现 

C:\Windows\System32\wbem\WmiPrvSE.exe

编辑registry。

这里是完整的事件日志条目 

  Protokollname: Security Quelle: Microsoft-Windows-Security-Auditing Datum: 19.03.2015 15:24:37 Ereignis-ID: 4657 Aufgabenkategorie:Registrierung Ebene: Informationen Schlüsselwörter:Überwachung erfolgreich Benutzer: Nicht zutreffend Computer: SERVER.domain.com Beschreibung: Ein Registrierungswert wurde geändert. Antragsteller: Sicherheits-ID: SYSTEM Kontoname: SERVER$ Kontodomäne: DOMAIN Anmelde-ID: 0x3e7 Objekt: Objektname: \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Sophos\Remote Management System\ManagementAgent\Private Name des Objektwerts: pkp Handle-ID: 0x1d8 Vorgangstyp: Der Registrierungswert wurde gelöscht. Prozessinformationen: Prozess-ID: 0x1ba4 Prozessname: C:\Windows\System32\wbem\WmiPrvSE.exe Informationen zur Änderung: Typ des alten Werts: REG_BINARY Alter Wert: <Wertänderungsüberwachung wird für diesen Registrierungstyp nicht unterstützt.> Typ des neuen Werts: - Neuer Wert: - Ereignis-XML: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> <EventID>4657</EventID> <Version>0</Version> <Level>0</Level> <Task>12801</Task> <Opcode>0</Opcode> <Keywords>0x8020000000000000</Keywords> <TimeCreated SystemTime="2015-03-19T14:24:37.744545900Z" /> <EventRecordID>11004886</EventRecordID> <Correlation /> <Execution ProcessID="4" ThreadID="80" /> <Channel>Security</Channel> <Computer>SERVER.domain.com</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S-1-5-18</Data> <Data Name="SubjectUserName">SERVER$</Data> <Data Name="SubjectDomainName">DOMAIN</Data> <Data Name="SubjectLogonId">0x3e7</Data> <Data Name="ObjectName">\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Sophos\Remote Management System\ManagementAgent\Private</Data> <Data Name="ObjectValueName">pkp</Data> <Data Name="HandleId">0x1d8</Data> <Data Name="OperationType">%%1906</Data> <Data Name="OldValueType">%%1875</Data> <Data Name="OldValue">%%1800</Data> <Data Name="NewValueType">-</Data> <Data Name="NewValue">-</Data> <Data Name="ProcessId">0x1ba4</Data> <Data Name="ProcessName">C:\Windows\System32\wbem\WmiPrvSE.exe</Data> </EventData> </Event>

有没有什么方法可以看到什么原因导致WMI在每次启动时删除这些密钥?

WmiPrvSE.exe不是WMI,而是WMI提供程序托pipe过程。 所以WmiPrvSE是整个WMI实现的一部分,但它不是WMI本身。 WmiPrvSE承载WMI 提供程序 ,包括由Microsoft提供的WMI提供程序以及由第三方提供的WMI提供程序。 通过使用Process Explorer并将鼠标hover在WmiPrvSE实例上,可以轻松查看由WmiPrvSE进程的任何实例托pipe的WMI提供程序。 非常类似于将鼠标hover在Process Explorer中的svchost.exe上以查看托pipe的服务。

我想不出为什么一个开箱即用的Microsoft WMI提供程序会混淆属于您安装的Sophos软件的registry项。 更有可能的是,您安装的Sophos软件自带了WMI提供程序,而Sophos WMI提供程序则performance得很时髦。 (这个WMI提供者采取的行动将被控告WmiPrvSE进程。)这根本不会让我感到意外,因为与WMI集成对于反病毒厂商来说是非常普遍的事情。

我会用Sophos的支持。