在我们的一台服务器上,注册表项不断消失。这些密钥包含我们的 sophos av 管理控制台的证书密钥,并且企业控制台的某些部分在每次重新启动后都会停止工作(具体来说是消息路由器)。在启用注册表审核后,我们发现
C:\Windows\System32\wbem\WmiPrvSE.exe
编辑注册表。
这是完整的事件日志条目
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 19.03.2015 15:24:37
Ereignis-ID: 4657
Aufgabenkategorie:Registrierung
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVER.domain.com
Beschreibung:
Ein Registrierungswert wurde geändert.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SERVER$
Kontodomäne: DOMAIN
Anmelde-ID: 0x3e7
Objekt:
Objektname: \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Sophos\Remote Management System\ManagementAgent\Private
Name des Objektwerts: pkp
Handle-ID: 0x1d8
Vorgangstyp: Der Registrierungswert wurde gelöscht.
Prozessinformationen:
Prozess-ID: 0x1ba4
Prozessname: C:\Windows\System32\wbem\WmiPrvSE.exe
Informationen zur Änderung:
Typ des alten Werts: REG_BINARY
Alter Wert: <Wertänderungsüberwachung wird für diesen Registrierungstyp nicht unterstützt.>
Typ des neuen Werts: -
Neuer Wert: -
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4657</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12801</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2015-03-19T14:24:37.744545900Z" />
<EventRecordID>11004886</EventRecordID>
<Correlation />
<Execution ProcessID="4" ThreadID="80" />
<Channel>Security</Channel>
<Computer>SERVER.domain.com</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">SERVER$</Data>
<Data Name="SubjectDomainName">DOMAIN</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
<Data Name="ObjectName">\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Sophos\Remote Management System\ManagementAgent\Private</Data>
<Data Name="ObjectValueName">pkp</Data>
<Data Name="HandleId">0x1d8</Data>
<Data Name="OperationType">%%1906</Data>
<Data Name="OldValueType">%%1875</Data>
<Data Name="OldValue">%%1800</Data>
<Data Name="NewValueType">-</Data>
<Data Name="NewValue">-</Data>
<Data Name="ProcessId">0x1ba4</Data>
<Data Name="ProcessName">C:\Windows\System32\wbem\WmiPrvSE.exe</Data>
</EventData>
</Event>
有什么方法可以查看是什么原因导致 WMI 在每次启动时删除这些密钥?
答案1
WmiPrvSE.exe 不是 WMI,而是 WMI 提供程序托管进程。因此,WmiPrvSE 是整个 WMI 实现的一部分,但它不是 WMI 本身。WmiPrvSE 托管 WMI提供商,包括 Microsoft 提供的 WMI 提供程序以及第三方提供的 WMI 提供程序。您可以使用 Process Explorer 并将鼠标悬停在 WmiPrvSE 实例上,轻松查看由 WmiPrvSE 进程的任何实例托管的 WMI 提供程序。这与将鼠标悬停在 Process Explorer 中的 svchost.exe 上以查看其中托管的服务非常相似。
我想不出任何理由来解释为什么现成的 Microsoft WMI 提供程序会干扰您已安装的 Sophos 软件的注册表项。更可能的是,您安装的 Sophos 软件带有自己的 WMI 提供程序,而 Sophos WMI 提供程序的行为很怪异。(此 WMI 提供程序采取的操作将由 WmiPrvSE 进程负责。)这根本不会让我感到惊讶,因为与 WMI 集成是反病毒供应商经常做的事情。
我会向 Sophos 支持部门寻求帮助。