Сканирование систем под управлением Microsoft Windows

Технология

Инструментарий управления Windows (Windows Management Instrumentation, WMI) — реализация стандарта Web-Based Enterprise Management (WBEM) компании Microsoft для операционных систем Microsoft Windows. WMI представляет собой стандартный набор интерфейсов доступа к устройствам, приложениям и параметрам операционной системы Windows.

Используя технологию WMI, TNI получает данные о программном и аппаратном обеспечении, а также данные из реестра компьютеров.

Существует три метода сканирования устройств на базе ОС Windows.

Удаленное сканирование по протоколу SMB

Принцип работы

  1. На удаленный компьютер в администраторскую общую папку admin$ загружается исполняемый файл tniwinagent.exe — агент.
  2. Главный модуль TNI соединяется с Диспетчером служб удаленного компьютера, устанавливает и запускает агент как службу.
  3. Агент сканирует компьютер, сохраняет собранную информацию в сжатый файл и останавливается.
  4. Главный модуль импортирует полученный файл в хранилище.
  5. Служба-агент деинсталлируется, исполняемый файл удаляется.

По завершении сканирования на удаленном компьютере не остается никаких следов работы агента.

Требования к сканируемому компьютеру

Удаленное сканирование по протоколу RPC

Принцип работы

Главный модуль TNI подключается напрямую к службе WMI целевого компьютера через протокол RPC и собирает информацию удаленно.

Недостатки

  1. Генерируется существенный трафик.
  2. Скорость сканирования может упасть при медленном соединении.
  3. Поскольку всю обработку данных выполняет главный модуль, при сканировании больших сетей заметно увеличивается потребление программой системных ресурсов.

Объект Параметры
ЦПУ
500 МГц
ОЗУ
64 МБ
Место на диске
10 МБ
TCP порты
445, 139
Службы
Сервер
Инструментарий управления Windows (WMI)
Удалённый вызов процедур
Удаленный реестр
Ресурсы
ipc$
admin$
Протоколы
SMB
NetBIOS (для Windows NT4)
TCP/IP
Версия Windows
XP Pro, Vista, 7, 8, 8.1, 10, 11, Server 2003/2008/2012 (вкл R2)/2016/2019

Этот метод не имеет преимуществ перед сканированием по протоколу SMB и рекомендуется к использованию только тогда, когда по тем или иным причинам использование протокола SMB невозможно.

Требования к сканируемому компьютеру

Объект Параметры
ЦПУ
500 МГц
ОЗУ
64 МБ
Место на диске
10 МБ
TCP порты
135, 445 и случайные порты выше 1024
Службы
Инструментарий управления Windows (WMI)
Удалённый вызов процедур
Протоколы
RPC
TCP/IP
Версия Windows
7, 8, 8.1, 10, 11, Server 2008/2012 (вкл. R2)/2016/2019/2022/2025

Ручное сканирование

Принцип работы

  1. Исполняемый файл-агент tniwinagent.exe вручную копируется на целевой компьютер и запускается. По завершении работы агент создает файл с собранными данными.
  2. Полученный файл данных вручную перемещается в хранилище TNI.

Дополнительно

Агент может запускаться скриптом входа в домен, планировщиком заданий или автозагрузкой.

Параметры командной строки агента tniwinagent.exe:

  • /path:"\\сервер\путь" — позволяет указать путь к папке, в которую будет помещен файл данных;
  • /delay:XX — позволяет выставить задержку в секундах перед началом сканирования;
  • /overwrite — перезаписывать файл данных в случае, если в папке уже содержится его более старая версия.

 Подробнее: смотрите раздел Ручное сканирование.

Требования к сканируемому компьютеру

Объект Параметры
ЦПУ
500 МГц
ОЗУ
64 МБ
Место на диске
10 МБ
Службы
Инструментарий управления Windows (WMI)
Протоколы
RPC
TCP/IP
Версия Windows
7, 8, 8.1, 10, 11, Server 2008/2012 (вкл. R2)/2016/2019/2022/2025

Ресурсы, необходимые для сканирования

Все методы сканирования требуют процессорной мощности и выполнения множества дисковых операций, поэтому при сканировании компьютера может наблюдаться небольшое падение производительности. Сканирование обычно занимает 1-2 минуты.

Онлайн методы сканирования (по требованию) генерируют сетевой трафик:

Цифры в таблице — среднестатистические показатели с учетом объема служебных данных (заголовки пакетов и т.п.).

Большой трафик при сканировании по протоколу RPC — следствие получения данных из реестра через WMI, и зависит от количества установленных на удаленном компьютере приложений и служб.

Метод На удаленный компьютер (upload) С удаленного компьютера (download)
SMB
6,3 МБ
0,05-0,1 МБ
RPC
10 МБ
18 МБ

В целях снижения и экономии трафика, при использовании сканирования по протоколу SMB, в настройках программы предусмотрена возможность сохранения файла агента на удаленном компьютере (для последующего сканирования).

Низкоуровневое сканирование оборудования

В режиме ручного сканирования, а также при удаленном сканировании по протоколу SMB, TNI устанавливает драйвер от стороннего поставщика для сбора данных об оборудовании на низком уровне, например: информация из SPD о модулях памяти, данные S.M.A.R.T. жестких дисков и т.п. В обычном режиме драйвер устанавливается и удаляется при каждом сканировании, что занимает всего лишь долю секунды.

Существуют известные проблемы с драйвером системы хранения Intel (iastor.sys), когда ошибка в этом драйвере вызывает синий экран во время низкоуровневого сканирования дисковой подсистемы. TNI пытается обойти эту проблему, пропуская сканирование дисковой подсистемы при обнаружении загруженного драйвера системы хранения Intel. Данное поведение может быть изменено в настройках программы или с помощью ключей командной строки агента.

Содержание