基于WMI的Windows客戶端安全控制管理系統(tǒng)設計和應用

戴小新

摘要：在計算機技術和網(wǎng)絡規(guī)模迅速發(fā)展的環(huán)境下，網(wǎng)絡安全也成為人們比較關注的問題，如何利用有限的技術資源來構建一個穩(wěn)定的、可靠的、安全的網(wǎng)絡環(huán)境是各個事業(yè)單位和政府機構急需解決的問題。該文主要結合Windows安全機制建設原理，通過WMI技術設計和實現(xiàn)了一個多功能的Windows客戶端安全控制管理系統(tǒng)。 基于WMI的Windows客戶端安全控制管理系統(tǒng)的應用為計算機的安全、穩(wěn)定運行提供了一個高效率的現(xiàn)代化管理工具，不僅可以節(jié)約了人力，而且彌補了人為因素、技術因素等方面造成的各種疏忽、漏洞，進一步為計算機網(wǎng)絡系統(tǒng)的提供了安全保障。

關鍵詞：WMI；網(wǎng)絡系統(tǒng)；客戶端

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2015）17-0021-03

1 WMI簡述

WMI簡稱為Windows管理規(guī)范，英語全稱為Windows Management Instrumentation，是針對于 Microsoft WBEM的標準系統(tǒng)管理開發(fā)接口。WMI為系統(tǒng)開發(fā)者訪問、配置計算機系統(tǒng)信息以及管理、監(jiān)視計算機系統(tǒng)資源提供了一種非常簡單的方法。WMI多年以前就開始應用于計算機操作系統(tǒng)中，是Windows系統(tǒng)管理的一個重要組成部分。因為WMI的是基于標準的、可擴展的、統(tǒng)一的面向對象接口，所以可以直接通過WMI接口來進行性能數(shù)據(jù)檢索，對計算機各項系統(tǒng)操作和組建進行管理和配置。而且，WMI可以作為組織生成和系統(tǒng)信息的管理工具，可以實現(xiàn)對系統(tǒng)活動的密切監(jiān)視。

2 WMI的應用優(yōu)點

WMI的顯著優(yōu)點表現(xiàn)在它的三個管理功能上，即數(shù)據(jù)收集、系統(tǒng)配置以及事件管理。首先在數(shù)據(jù)收集方面，利用WMI可以對來自硬件、性能計數(shù)器、注冊表、事件日志操作系統(tǒng)等不同來源的系統(tǒng)信息進行訪問，這些信息結合資產(chǎn)管理進行分析、處理，進而創(chuàng)建性能基準，實現(xiàn)可行性分析。其次在系統(tǒng)配置方面，WMI利用包括服務和軟件組件以及操作進程的集中化模式對系統(tǒng)信息進行修改，對系統(tǒng)進行維護和系統(tǒng)更新。另外在事件管理方面，在被監(jiān)視系統(tǒng)組件的屬性發(fā)生變化的情況下，管理系統(tǒng)可以及時發(fā)現(xiàn)。該監(jiān)視系統(tǒng)可以在事故發(fā)生后在給予通知，也可以按照一定時間間隔進行定時通知，這種功能在錯誤隔離、解決問題、系統(tǒng)健康以及控制系統(tǒng)可用性的監(jiān)視過程中作用意義是非常大的。

3基于WMI的Windows客戶端安全控制管理系統(tǒng)的設計

3.1系統(tǒng)結構設計

基于WMI的Windows客戶端安全控制管理系統(tǒng)的主要有兩部分組成，即安全控制中心以及安全執(zhí)行系統(tǒng)。系統(tǒng)的安全控制中心利用B/S結構來進行設計，主要由三個功能模塊構成，系統(tǒng)初始化管理模塊、安全策略定制模塊以及工作計算機監(jiān)視和風險診斷模塊。安全控制中心可以為安全管理人員提供安全策略制定功能以及各分支計算機的監(jiān)測和風險檢測處理功能。安全執(zhí)行系統(tǒng)利用C/S結構來進行設計，主要由兩個功能模塊構成，第一，安全策略配置啟用模塊；第二，工作計算機信息提取和風險診斷執(zhí)行模塊。安全執(zhí)行系統(tǒng)的主要功能是為安全控制中心提供Windows應用環(huán)境、相關計算機硬件、系統(tǒng)軟件、系統(tǒng)審核檢測等信息，安全控制中心作出的安全風險檢測決定就是由安全執(zhí)行系統(tǒng)來執(zhí)行的。

3.2系統(tǒng)功能設計

3.2.1系統(tǒng)初始化模塊

該模塊內主要包括了3個子模塊，即Windows 版本管理、IP 網(wǎng)段劃分以及系統(tǒng)管理員設置。該部分是對構建系統(tǒng)框架結構相關功能的設計。

3.2.2安全策略定制模塊

安全策略定制模塊可以對不同Windows 版本和IP 網(wǎng)段制定安全配置規(guī)則。依據(jù)Windows 客戶端安全策略設計方案，該模塊可以分為多個功能部件，本地安全策略、系統(tǒng)服務策略、文件權限策略、必裝軟件策略、IE選項策略、屏幕保護策略、賬號設置策略、網(wǎng)絡配置策略、注冊表策略以及垃圾清理策略模塊。

3.2.3計算機監(jiān)視和安全監(jiān)測模塊

該系統(tǒng)模塊主要是針對計算機安全管理部門而設置的，用于監(jiān)測各分支計算機基本信息、硬件配置、系統(tǒng)軟件安裝以及安全策略配置等等情況，并且對一些可疑服務、進程，開機自啟動軟件以及可疑賬號進行控制。 利用WMI獲取計算機獲取硬件信息相關代碼如下：

Dim searcher As New ManagementObjectSearcher（"SELECT * FROM Win32_BaseBoard"）

Dim share As ManagementObject

For Each share In searcher.Get（）

Debug.WriteLine（"主板制造商：" & share（"Manufacturer"））

Debug.WriteLine（"型號：" & share（"Product"））

Debug.WriteLine（"序列號：" & share（"SerialNumber"））

Next share

此段代碼同樣采用 WQL 語句實現(xiàn)。同理， 還可獲取網(wǎng)卡硬件地址、硬盤 ID 和 CPU 系列號等信息， 在此就不一一列舉。

獲取軟件信息（ 以下是一段列出所有系統(tǒng)當前共享目錄的代碼） ：

Imports System.Management

Dim searcher As New ManagementObjectSearcher（"SELECT * FROM Win32_share"）

Dim share As ManagementObject

For Each share In searcher.Get（）

MessageBox.Show（share.GetText（TextFormat.Mof））

Next share

3.2.4安全策略配置啟用模塊

該模塊就是系統(tǒng)的安全執(zhí)行系統(tǒng)結合預定好的安全策略進行啟用操作的模塊。安全策略配置啟用模塊涉及到的內容：本地安全策略、系統(tǒng)服務策略、文件權限策略、必裝軟件策略、IE選項策略、屏幕保護策略、賬號設置策略、網(wǎng)絡配置策略、注冊表策略以及垃圾清理策略模塊。

3.2.5計算機信息提交與安全監(jiān)測執(zhí)行模塊

該模塊是安全執(zhí)行系統(tǒng)結合安全控制中心的相關要求，把計算機基本信息、計算機硬件配置、賬戶設置、安全策略配置、系統(tǒng)服務、安全中心運行狀態(tài)以及開機自啟軟件、應用軟件、進程等信息提交給安全中心，并依據(jù)安全控制信息指令的要求對可以賬戶進行鎖定、禁用，撤銷可疑軟件的安裝和自啟功能、中斷可疑進程的運行等等安全控制操作。利用WMI遠程關閉計算機的代碼如下：

Dim scope As ManagementScope = New ManagementScope（“＼＼”+RemoteHostName + “＼Root＼CIMV2”， options） //以給定的管理員帳號連接給定計算機名或者 IP 地址的計算機

Try

scope.Connect（） //連接遠程計算機

Dim oq As System.Management.ObjectQuery

oq = New System.Management.ObjectQuery（"Select * From Win32_OperatingSystem"）

//調用遠程計算機進行 WMI 操作

Dim gwo As ManagementObjectSearcher

gwo = New ManagementObjectSearcher（scope， oq）

//從已經(jīng)完成遠程連接的計算機中， 得到 WMI 操作集合

Dim pwo As ManagementObjectCollection

pwo = gwo.Get（）//存放得到 WMI 操作

Dim mo As ManagementObject//定義 WMI 操作對象

For Each mo In pwo

Dim ss（） As String = {" "}

mo.InvokeMethod（"Shutdown"， ss）

Next//調用 WMI 控制， 實現(xiàn)關閉遠程計算機

Console.WriteLine（"指定的設備已經(jīng)被關閉！ "）

Catch ex As Exception

Console.WriteLine（ex.Message）

Console.WriteLine（"不能與指定設備建立連接， 設備已經(jīng)關閉或者出現(xiàn)網(wǎng)絡故障！ "）

End Try

3.3數(shù)據(jù)結構設計以及開發(fā)環(huán)境

設計一個能夠使Windows客戶端安全控制管理系統(tǒng)的安全控制中心以及執(zhí)行系統(tǒng)共用數(shù)據(jù)庫，數(shù)據(jù)庫的基本結構包括基本數(shù)據(jù)、安全策略數(shù)據(jù)以及客戶端安心信息數(shù)據(jù)。具體設計的內容和數(shù)據(jù)表的設計這里不再詳細介紹。

系統(tǒng)采用的開發(fā)環(huán)境有兩種，系統(tǒng)的安全控制中心采用ASP 語言環(huán)境，安全執(zhí)行系統(tǒng)采用Visual Basic.Net 語言環(huán)境。

4系統(tǒng)的實現(xiàn)

該系統(tǒng)的設計目的主要是針對實際工作中計算機安全配置問題存在的諸多問題，為企業(yè)單位提供一套高效、安全的現(xiàn)代化計算機管理工具，利用該系統(tǒng)可以讓管理人員輕松掌握各分支機構的計算機安全管理情況，這樣就可以避免由于技術能力以及工作疏忽等原因引起的安全隱患?；赪MI的Windows客戶端安全控制管理系統(tǒng)的實現(xiàn)主要包括系統(tǒng)初始化模塊、安全策略定制模塊、安全策略啟用模塊 、安全配置信息提取模塊、工作計算機監(jiān)視模塊以及工作計算機安全診斷模塊的功能實現(xiàn)，這里詳細介紹一下工作計算機監(jiān)視模塊以及工作計算機安全診斷模塊的實現(xiàn)。

計算機監(jiān)視模塊的實現(xiàn)見表1。

表1

[ 功能模塊＼& WMI接口 ＼&命名空間＼&類＼&

基本信息查詢＼&主機名、域名、工作組＼&[Root＼CIMV2]＼&[Win32_ComputerSystem]＼&操作系統(tǒng)版本、最近一次開機時間＼&[Root＼CIMV2]＼&[Win32_OperatingSystem]＼&硬件信息查詢＼&CPU 型號和速率＼&[Root＼CIMV2]＼&[Win32_Processor]＼&計算機制造商、型號＼&[Root＼CIMV2]＼&[Win32_ComputerSystem]＼&硬盤信息＼&[Root＼CIMV2]＼&[Win32_DiskDrive]＼&開機自動軟件查詢＼&[Root＼Default]＼&StdRegProv

＼&應用軟件查詢＼&[Root＼CIMV2]＼&StdRegProv

＼&安全中心信息查詢＼&防火墻＼&[Root＼SecurityCenter]＼&[FirewallProduct]＼&防病毒軟件＼&[Root＼SecurityCenter]＼&[AntiVirusProduct]＼&]

計算機安全診斷模塊的實現(xiàn)見2。

表2

[功能模塊＼& WM接口＼&命名空間＼&類＼&屬性或方法

＼&可疑進程撤銷＼&[Root＼CIMV2]＼&[Win32_Process]＼&方法：[Terminate ]＼&解除合法賬戶鎖定 ＼&[Root＼CIMV2]＼&[Win32_UserAccount]＼&屬性：[ Lockout ]

方法：[Put_ ]＼&禁用系統(tǒng)服務＼&[Root＼CIMV2]＼&[Win32_Service]＼&方法：[StopService ]＼&刪除系統(tǒng)服務 ＼&[Root＼CIMV2]＼&[Win32_Service]＼&方法：[Delete]＼&]

5系統(tǒng)功能的應用測試

第一，測試環(huán)境：個人計算機十八臺、服務器一臺。個人計算機采用了3種不同性能（性能差三臺、性能一般三臺、性能好三臺）作為測試機，各種不同Windows版本的操作系統(tǒng)6個，以便保證測試的準確性和全面性。用于測試的服務器可以選擇2GB內存、 292GB硬盤容量、Intel Xeon 5110型號處理器的PC服務器。

第二，系統(tǒng)測試內容。1.系統(tǒng)安全控制中心系統(tǒng)功能測試內容包括系統(tǒng)登錄、系統(tǒng)管理設置、IP 網(wǎng)段劃分、Windows 版本管理、安全策略定制、工作計算機信息查詢、工作計算機安全診斷等等方面測試。2.安全執(zhí)行系統(tǒng)測試內容有安全策略配置啟動、工作計算機信息提交及安全測試。

第三，系統(tǒng)功能測試結果。通過對系統(tǒng)各項操作的測試證明系統(tǒng)的各功能模塊設計合理，可以對相關安全策略進行有效配置，可以對計算機基本信息、賬號設置、計算機硬件信息、系統(tǒng)軟件信息以及進程服務等信息內容進行實時查詢，對可疑賬號、可疑進程進行鎖定和控制。在系統(tǒng)性能方面，三種不同性能的計算機運行當中系統(tǒng)CPU占用率都最多在百分之五。通過該方法即使對具有上千臺計算機的大規(guī)模運行系統(tǒng)進行信息查詢和數(shù)據(jù)處理需要花費的時間很短。

在對系統(tǒng)進行測試過程中對系統(tǒng)安全控制中心進行木馬、病毒攻擊，經(jīng)過系統(tǒng)測試發(fā)現(xiàn)木馬、病毒不能通過網(wǎng)站來控制工作計算機或者是發(fā)送惡意信息，只會導致系統(tǒng)癱瘓。另外，通過網(wǎng)絡工具對安全執(zhí)行系統(tǒng)中的網(wǎng)絡數(shù)據(jù)進行抓取，因為相關數(shù)據(jù)都經(jīng)過了加密，所以是不能被進行篡改或者仿制的。

6結語

以上是基于WMI的Windows客戶端安全控制管理系統(tǒng)設計和相關應用測試。Windows客戶端安全控制管理系統(tǒng)的應用使客戶端安全管理更快捷、更簡便、更高效，有利于實現(xiàn)客戶端安全配置的標準化。在該系統(tǒng)的應用當中，安全管理人員只需要通過簡單的點擊，客戶端安全策略標準的配置工作就可以自動完成，這就減少了安全管理人員的工作量，很大程度上提高了管理人員的工作效率。而且也可以有效避免客戶端安全配置不準確或者是被篡改的問題，為客戶端構建了有效的安全防線，提高了計算機安全管理水平。

參考文獻：

[1] 任建基，胡延平，陳俊峰，等.基于WMI技術的局域網(wǎng)計算機設備的監(jiān)測[J].計算機工程與應用，2006（25） .

[2] 宋昕，盛晨，王新華.基于WMI的計算機管理技術的研究與實現(xiàn)[J].浙江科技學院學報，2007（1）.

[3] 樊雨送，熊桂喜.基于WMI+.Net Remoting的計算機管理系統(tǒng)的設計與實現(xiàn)[J].儀器儀表用戶，2007（3）.

[4] 張施展，高景昌.基于WMI技術的計算機自動化管理[J].吉林大學學報（信息科學版），2006（4）.

[5] 李明，李廷全，張波.WMI在網(wǎng)絡管理中的應用研究[J].網(wǎng)絡安全技術與應用，2008（11）.

[6] 王文利.基于WMI技術的網(wǎng)絡監(jiān)視軟件的設計與實現(xiàn)[J].赤峰學院學報（自然科學版），2011（4）.

[7] 吳江川，饒一梅.Windows下基于WMI的數(shù)據(jù)和程序管理解決方案[J].計算機系統(tǒng)應用，2010（7）.