Сканування систем під управлінням microsoft windows - документація total network inventory

Інструментарій управління Windows (Windows Management Instrumentation, WMI) - реалізація стандарту Web-Based Enterprise Management (WBEM) компанії Microsoft для операційних систем Microsoft Windows. WMI являє собою стандартний набір інтерфейсів доступу до пристроїв, додатків і параметрам операційної системи Windows.

Використовуючи технологію WMI, TNI 3 отримує дані про апаратне та програмне забезпечення, а також дані з реєстру комп'ютерів.

Існує три методи сканування пристроїв на базі ОС Windows.

Ручне сканування - єдиний метод, який дозволяє перевірити комп'ютер з Windows XP Home Edition. Цю ОС неможливо просканувати віддалено в силу її обмежень. Будь-яка спроба підключення завершиться помилкою "Немає доступу».

Принцип роботи

  1. На віддалений комп'ютер в адміністраторську загальну папку admin $ завантажується виконуваний файл tniwinagent.exe - агент.
  2. Головний модуль TNI з'єднується з Диспетчером служб віддаленого комп'ютера, встановлює і запускає агент як службу.
  3. Агент сканує комп'ютер, зберігає зібрану інформацію в стислий файл і зупиняється.
  4. Головний модуль імпортує отриманий файл в сховище.
  5. Служба-агент деінсталюється, виконуваний файл видаляється.

По завершенні сканування на віддаленому комп'ютері не залишається ніяких слідів роботи агента.

Головний модуль TNI підключається безпосередньо до служби WMI цільового комп'ютера через протокол RPC і збирає інформацію віддалено.

недоліки

  1. Генерується істотний трафік.
  2. Швидкість сканування може впасти при повільному з'єднанні.
  3. Оскільки всю обробку даних виконує головний модуль, при скануванні великих мереж помітно збільшується споживання програмою системних ресурсів.

Цей метод не має переваг перед скануванням по протоколу SMB і рекомендується до використання тільки тоді, коли з тих чи інших причин використання протоколу SMB неможливо.

Цифри в таблиці - середньостатистичні показники з урахуванням обсягу службових даних (заголовки пакетів і т.п.).

Великий трафік при скануванні по протоколу RPC - наслідок отримання даних з реєстру через WMI, і залежить від кількості встановлених на віддаленому комп'ютері додатків і служб.

У режимі ручного сканування, а також при віддаленому скануванні по протоколу SMB, TNI встановлює драйвер від стороннього постачальника для збору даних про обладнання на низькому рівні, наприклад: інформація з SPD про модулях пам'яті, дані S.M.A.R.T. жорстких дисків і т.п. У звичайному режимі драйвер встановлюється і видаляється при кожному скануванні, що займає всього лише частку секунди.

Існують відомі проблеми з драйвером системи зберігання Intel (iastor.sys), коли помилка в цьому драйвер викликає синій екран під час низькорівневого сканування дискової підсистеми. TNI намагається обійти цю проблему, пропускаючи сканування дискової підсистеми при виявленні завантаженого драйвера системи зберігання Intel. Така поведінка може бути змінено в налаштуваннях програми або за допомогою ключів командного рядка агента.

Сканування Unix-подібних систем