WMI Nedir ve Nasıl Kullanılır?

Ağustos 11, 2024
WMI nedir?


Windows İşletim Sistemleri’nin güçlü bir aracı olan Windows Management Instrumentation, sistem yöneticileri ve geliştiriciler için vazgeçilmez bir kaynaktır. WMI, bilgisayar sistemlerinden yönetim verilerine erişim sağlayan ve bu verileri yönetmeye olanak tanıyan bir altyapı sunar. Bu teknoloji, sistem bilgilerini toplamaktan yazılım dağıtımına kadar geniş bir yelpazede görevleri yerine getirmek için kullanılır.

Bu makalede, WMI’nin ne olduğunu ve nasıl kullanıldığını derinlemesine inceleyeceğiz. WMI’nin önemini, temel bileşenlerini ve çalışma prensibini ele alacağız. Ayrıca, PowerShell gibi araçlarla WMI’nin nasıl etkileşime girdiğini ve sağlayıcı ana bilgisayarının rolünü açıklayacağız. Bu bilgiler, Windows sistemlerinde nasıl güçlü bir yönetim aracı olduğunu anlamanıza yardımcı olacak.

Windows Management Instrumentation Nedir ve Neden Önemlidir?

Windows Management Instrumentation Tanımı

Windows Management Instrumentation (WMI), Microsoft’un Windows işletim sistemlerinde yerleşik olarak bulunan güçlü bir yönetim teknolojisidir. WMI, bilgisayar sistemlerinde nesnelerin kontrolünü sağlayan ve işletim sistemindeki operasyonları yönetmeye olanak tanıyan bir altyapı sunar. Bu teknoloji, Microsoft’un Web Tabanlı Kurumsal Yönetim (WBEM) protokolünün bir uygulamasıdır ve hem kodlanabilir hem de programlanabilir arabirimlere sahiptir.

Windows Management Instrumentation Önemi

WMI, sistem yöneticileri ve geliştiriciler için vazgeçilmez bir araçtır. Geniş bir Windows yönetim verisi ve yöntemi koleksiyonuna tek tip bir erişim mekanizması sağlar. Bu özellik, sistem yönetimini hızlı ve verimli hale getirir. 900’e yakın sınıf içerir ve her sınıf çeşitli amaçlara yönelik hazırlanmış fonksiyonlara sahiptir. Bu zengin sınıf yapısı, WMI’yi Windows üzerinde program geliştiren ve betik yazan kişiler için sıkça kullanılan bir kaynak haline getirir.

Windows Management Instrumentation Kullanım Alanları

Windows Management Instrumentation’nin kullanım alanları oldukça geniştir:

  1. Sistem Bilgilerini Toplama: Bilgisayarların durumlarını toplamak için kullanılabilir.
  2. Ayarları Yapılandırma: Sistem ayarlarını değiştirmek ve yapılandırmak mümkündür.
  3. Uygulama Yönetimi: Uygulamaları çalıştırmak ve yönetmek mümkündür.
  4. Kod Yürütme: Belirli görevleri otomatikleştirmek için kod yürütülebilir.
  5. Uzaktan Yönetim: Tüm bu işlemler bilgisayarın başında olmadan uzaktan gerçekleştirilebilir.

WMI, C, C++, C#, VB gibi programlama dilleri veya Windows derleyicisine sahip betik dilleri ile kullanılabilir. Ayrıca, PowerShell ve Windows Scripting Host (WSH) gibi araçlar da Windows Management Instrumentation ile etkileşim kurmak için kullanılabilir. Bu geniş kullanım alanları ve esnekliği, onu Windows sistemlerinde güçlü bir yönetim aracı haline getirir.

Saldırganlar WMI’yı Nasıl Kullanır?


Bu bölümde, saldırganların WMI’yı nasıl kötüye kullandığını ve bu tekniklere karşı nasıl önlem alabileceğinizi öğreneceksiniz.

Saldırganlar WMI’yı şu amaçlarla kullanır:

  • Yanal hareket
  • Bilgi toplama
  • Sistemleri değiştirme
  • Kalıcılık sağlama

WMI’yı daha derinlemesine incelemeden önce, WMI’yı oluşturan istemci ve sunucu bileşenlerini anlamak önemlidir. En bilinen istemciler arasında komut satırı aracı olan wmic.exe (WMIC olarak da bilinir) ve PowerShell cmdlet’i Get-WMIObject yer alır. Hem yöneticiler hem de saldırganlar bu araçları yukarıda belirtilen amaçlar için kullanır. wmic.exe‘nin Get-WMIObject‘ten daha sık kullanıldığı gözlemlendiğinden, aşağıdaki örnekler wmic.exe üzerine odaklanacaktır. Sunucu tarafında ise wmiprvse.exe (WMI Sağlayıcı Ana Bilgisayarı), istemcilerden gelen birçok isteği, ancak hepsini değil, işler.

Bu, özellikle önemli çünkü eğer wmiprvse.exe‘ye bağlı şüpheli bir etkinlik gözlemliyorsanız, muhtemelen uzak bir sistemde wmic.exe‘yi kullanarak incelediğiniz sistemde yükleri çalıştıran bir saldırganla karşı karşıya olabilirsiniz—bu bir yanal hareket biçimidir. Sıkça gördüğümüz bir WMI yanal hareket tekniği şudur:

wmic.exe /node: process call create

Hedef bilgisayarda, verilen işlem wmiprvse.exe‘nin bir alt süreci olarak görünecektir. Güvenlik denetim politikalarınız oturum açma olaylarını kaydediyorsa, bu etkinlikle ilişkili bir ağ (tip 3) oturum açma olayı görmelisiniz. Yukarıdaki komut satırının varyasyonları, iletilen kimlik bilgilerini içerebilir.

WMI ile Bilgi Toplama ve Sistem Değiştirme

Saldırganların WMI ve özellikle WMIC’yi kullanmalarının başka bir yaygın yolu, bilgi toplama ve sistemleri değiştirmektir. Fidye yazılımı saldırıları sırasında, saldırganlar genellikle dosyaları geri yüklemek için kullanılan volume shadow copy’leri listeler ve siler. Fidye yazılımı operatörleri sıklıkla bu amaç için Volume Shadow Copy Servis (VSS) yönetim aracı vssadmin.exe‘yi kullanır, bu nedenle birçok organizasyon bu araç çalıştığında SOC’ye uyarı gönderir. Ancak wmic.exe de vssadmin.exeyi çağırmadan volume shadow copy’leri yönetmek için şu komutla kullanılabilir:

wmic shadowcopy delete /noninteractive

İronik olarak, bazen bu saldırının daha az gizli bir versiyonunu WMIC kullanarak görürüz:

wmic process call create vssadmin.exe delete shadows /all /quiet

Diğer WMI Kullanım Alanları

Yukarıdaki desen, wmiprvse.exe‘nin vssadmin.exe sürecini başlatmasına neden olacaktır.

Volume shadow copy’leri listelemenin ve manipüle etmenin yanı sıra, saldırganlar WMIC’yi Windows sistemi veya ortamındaki düzinelerce öğeyi listelemek ve değiştirmek için kullanır. Saldırganların WMIC’yi kullanarak şunları yaptığını gördük:

  • Hangi antivirüs ürününün yüklü olduğunu belirlemek
  • Güvenlik duvarı hizmetini durdurmak
  • Grup üyeliklerini (yerel ve birçok yapılandırmada etki alanı yönetici hesapları dahil) listelemek
  • İlginç olan düzinelerce öğeyi daha değiştirmek
WMI
WMI

Windows Management Instrumentation Temel Bileşenleri

Windows Management Instrumentation , Windows işletim sistemlerinde güçlü bir yönetim altyapısı sunar. Temel bileşenleri, sistemin etkili bir şekilde çalışmasını ve yönetilmesini sağlar. Bu bileşenler, Windows Management Instrumentation’nin işlevselliğini ve esnekliğini artırır.

Windows Management Instrumentation Sağlayıcıları

Windows Management Instrumentation sağlayıcıları, Windows Management Instrumentation’nin belkemiği olarak kabul edilir. Bu sağlayıcılar, Windows tarafından yönetilebilen nesneler hakkındaki bilgileri kullanıma sunar. Bir sağlayıcı, bir nesneden veri alır ve bu verileri Windows Management Instrumentation’nin aracılığıyla PowerShell gibi bir yönetim uygulamasına iletir. Windows Management Instrumentation sağlayıcısı, sınıfları tanımlayan bir DLL ve MOF dosyasından oluşur.

Windows Management Instrumentation sağlayıcılarının çoğu dinamiktir. Bu, yönetim uygulaması tarafından istendiğinde verileri dinamik olarak aldıkları anlamına gelir. Sağlayıcılar, depolarda tanımlanan her şeye erişim sağlar ve Windows Management Instrumentation ‘dan nesneye iletileri işler.

Windows Management Instrumentation Tüketicileri

Windows Management Instrumentation tüketicileri, bağlantısını veya sorgusunu başlatan istemciler veya yönetim uygulamalarıdır. Bu uygulamalar, Windows Management Instrumentation ‘nin sunduğu bilgileri kullanarak çeşitli yönetim görevlerini gerçekleştirir. Windows Management Instrumentation tüketicileri, yerel ve uzak işlemler arası iletişim için Bileşen Nesne Modeli (COM) veya Dağıtılmış Bileşen Nesne Modeli (DCOM) bileşenlerini kullanır.

Windows Management Instrumentation tüketicileri, sistem bilgilerini toplamak, ayarları yapılandırmak, uygulamaları yönetmek ve belirli görevleri otomatikleştirmek için Windows Management Instrumentation ‘yi kullanabilir. Bu tüketiciler, C, C++, C#, VB gibi programlama dilleri veya PowerShell ve Windows Scripting Host (WSH) gibi betik dilleri aracılığıyla WMI ile etkileşime girebilir.

Windows Management Instrumentation Deposu

Windows Management Instrumentation deposu, WMI’nin temel bileşenlerinden biridir ve WMI veritabanının birincil işlevini yerine getirir. Bu depo, bilgi işlem operasyonları yönetimi için altyapı yönetim hizmetleri sağlar. WMI deposu, sınıfları, yapıyı ve ad alanlarını tanımlayan MOF (Yönetilen Nesne Biçimi) dosyaları tarafından oluşturulur.

WMI deposu, Ortak Bilgi Modeli’ni (CIM) kullanarak sistemleri, uygulamaları, ağları, cihazları ve diğer yönetilebilir bileşenleri temsil eder. Bu model, yönetim bilgilerine erişmek için ortak bir arayüz ve nesne modeli sağlar.

Windows Management Instrumentation deposu, Windows Management Instrumentation hizmeti ile birlikte çalışır. WMI hizmeti, Windows’ta “Windows Management Instrumentation” adıyla görünen Winmgmt servisidir. Bu servis, Windows Management Instrumentation sınıflarının kullanılabilmesi için arka planda çalışır ve Windows Management Instrumentation’nin düzgün çalışmasını sağlar.

Bu temel bileşenler, WMI’nin Windows işletim sistemlerinde güçlü bir yönetim aracı olmasını sağlar. Windows Management Instrumentation , bu bileşenler aracılığıyla sistem yöneticilerine ve geliştiricilere geniş bir yelpazede yönetim ve otomasyon imkanları sunar.

Windows Management Instrumentation Çalışma Prensibi

Windows Management Instrumentation Mimarisi

Windows işletim sistemlerinde güçlü bir yönetim altyapısı sunar. Windows Management Instrumentation mimarisi, birden çok bileşen ve katmandan oluşur. Bu bileşenler arasında Windows Management Instrumentation bağlantısını başlatan istemci veya yönetim uygulaması, Bileşen Nesne Modeli (COM) veya Dağıtılmış Bileşen Nesne Modeli (DCOM) bileşeni, aktarım veya ağ katmanı (Uzak Yordam Çağrısı – RPC), WMI deposu ve hizmeti, sağlayıcısı ve yönetilen nesneler bulunur.

Uzaktan erişim için DCOM (Distributed Component Object Model) altyapısını kullanır. Uzaktan WMI kullanımı için belirli izinlere ihtiyaç vardır. Bunlar arasında Yerel Güvenlik Duvarı izni, uzak Windows Management Instrumentation yetkisi, UAC (User Account Control) ve DCOM objelerine erişim için kullanıcı izinleri yer alır.

Windows Management Instrumentation Sorgu Dili (WQL)

Sorgu Dili (WQL), WMI için kullanılan SQL benzeri bir sözdizimi sunar. Configuration Manager, Genişletilmiş WQL olarak bilinen WMI Sorgu Dilinin (WQL) üst kümesini destekler. WQL ve Genişletilmiş WQL, Amerikan Ulusal Standartlar Enstitüsü (ANSI) Yapılandırılmış Sorgu Dili (SQL) standardını temel alır. Ancak bunlar, tablo yerine sınıflardan veri alır ve satırlar yerine örnekleri döndürür.

Genişletilmiş WQL, standart SQL’den daha geniş bir işlem yelpazesi sunar. Desteklenen yan tümceler arasında DISTINCT, COUNT, JOIN, WHERE, SUBSTRING, ORDER BY, UPPER, LOWER ve DATEPART işlevleri bulunur. Ayrıca, standart karşılaştırma işleçlerini (LIKE ve IN dahil) ve alt sorguları da destekler.

Windows Management Instrumentation Sınıfları ve Nesneleri

WMI sınıfları, Windows sistemindeki belirli öğeleri temsil eder ve işletim sistemindeki operasyonları yönetmek için kullanılır. Sınıflar, Windows Management Instrumentation sağlayıcıları tarafından verileri Windows Management Instrumentation hizmetlerine geçirmek için kullanılır ve olaylar ile özellikler içerir.

WMI sağlayıcıları, Windows tarafından yönetilebilen nesneler hakkındaki bilgileri kullanıma sunar. Bir sağlayıcı, bir nesneden Windows Management Instrumentation ‘ya veri sağlar ve Windows Management Instrumentation ‘dan nesneye iletileri işler. Windows Management Instrumentation sağlayıcısı, sınıfları tanımlayan bir DLL ve MOF (Yönetilen Nesne Biçimi) dosyasından oluşur.

Windows Management Instrumentation deposu, Windows Management Instrumentation veritabanının birincil işlevini yerine getirir ve bilgi işlem operasyonları yönetimi için altyapı yönetim hizmetleri sağlar. Depolar, sınıfları, yapıyı ve ad alanlarını tanımlayan MOF dosyaları tarafından oluşturulur. Bu dosyalar genellikle %WINDIR%\System32\Wbem dizini altında bulunur.

Windows Management Instrumentation’nin çalışma prensibi, bu bileşenlerin bir araya gelerek Windows sistemlerinde güçlü bir yönetim ve izleme altyapısı oluşturmasına dayanır. Bu sayede sistem yöneticileri ve geliştiriciler, Windows işletim sisteminin çeşitli yönlerini etkili bir şekilde yönetebilir ve izleyebilir.

Sonuç

Windows Management Instrumentation, Windows sistemlerinde yönetim ve izleme için güçlü bir araç olarak öne çıkıyor. Windows Management Instrumentation’nin sağlayıcıları, tüketicileri ve deposu gibi temel bileşenleri, sistem yöneticileri ve geliştiricilere geniş bir yelpazede olanaklar sunuyor. Bu teknoloji, sistem bilgilerini toplamaktan yazılım dağıtımına kadar çeşitli görevleri yerine getirmek için kullanılıyor.

WMI‘nin çalışma prensibi, karmaşık bir mimari ve özel bir sorgu dili olan WQL’i içeriyor. WMI sınıfları ve nesneleri, Windows sistemindeki öğeleri temsil ediyor ve işletim sistemindeki operasyonları yönetmek için kullanılıyor. Bu özellikler, Windows Management Instrumentation ‘yi Windows üzerinde program geliştiren ve betik yazan kişiler için sık kullanılan bir kaynak haline getiriyor. Windows Management Instrumentation hakkında derinlemesine bilgi edinmekle kalmayın, sitemizdeki diğer eğitimlerimizi de keşfedin! Siber Güvenlik alanında uzmanlaşmanıza yardımcı olacak içeriklere göz atın ve bilgi birikiminizi bir adım ileriye taşıyın.

Windows Management Instrumentation Hakkında Sıkça Sorulan Sorular

WMI’yi nasıl etkinleştiririm?

İlk adım olarak, Başlat menüsünde sağ tıklayıp “Computer Management” seçeneğine tıklayınız. Ardından, açılan ekranda “WMI Control” üzerine sağ tıklayıp “Properties” seçeneğini seçiniz ve kullanıcınızın izinlerinde uzaktan erişimin aktif olduğunu kontrol ediniz.

WMI Denetimi ne işe yarar?

WMI (Windows Management Instrumentation), Windows işletim sistemlerinde hemen hemen her nesnenin kontrol edilmesini sağlayan ve işletim sistemindeki operasyonlar ile yönetim işlevlerini gerçekleştirmeye yarayan bir teknolojidir. WMI, veri toplamanın ötesinde birçok işlev için kullanılabilir.

WMI portu nedir ve ne işe yarar?

WMI, “Windows Management Instrumentation” olarak bilinir ve Windows 2000’den itibaren Windows işletim sistemlerine önkurulu olarak gelir. Bu altyapı, işletim sistemi altyapısındaki birçok bileşenin izlenmesini ve yönetilmesini sağlar.

CyberSkills Hub

CyberSkillsHub, siber güvenlik dünyasının yenilikçi ve teknoloji meraklısı bir figürüdür. CyberSkillsHub’un en büyük özelliği, Akıllı Sınav sistemidir, bu sistem sayesinde öğrencilerin bilgi eksikliklerini anında belirleyebilir ve onlar için özel kurslar tasarlayabilir. Bu dinamik karakter, sadece en yeni ve en güçlü güvenlik teknolojilerine hakim değil, aynı zamanda öğrencilerin ihtiyaçlarını anlamaya odaklanmış bir eğitmen olarak da öne çıkmaktadır. İster bir başlangıç seviye öğrencisi olun, ister deneyimli bir profesyonel, CyberSkillsHub, sizin siber güvenlik yolculuğunuzda yanınızda olacak güvenilir bir rehberdir. İnsanlarla etkileşime geçme yeteneği ve teknolojiye olan tutkusu, CyberSkillsHub'u öğrencilere kişiselleştirilmiş, etkili ve anlamlı eğitim sağlama konusunda benzersiz kılar. Siber güvenliği herkes için erişilebilir ve anlaşılır kılmak, CyberSkillsHub’un misyonunun temelidir.