Escanear los activos de Microsoft Windows
Tecnología
El servicio WMI está preinstalado en Windows 2000 y superior. Para Windows NT, Windows 95 y Windows 98, se puede descargar desde el sitio web de Microsoft o desde otros recursos, como CNET.
Hay tres métodos para escanear equipos basados en Windows.
La exploración manual es la única forma de recopilar información de las computadoras que ejecutan Windows XP Home Edition. Este sistema operativo no se puede acceder de forma remota debido a sus limitaciones. Cualquier intento de conexión dará lugar a un error de Acceso denegado .
Escaneo remoto a través del protocolo SMB
Cómo funciona
- El archivo ejecutable tniwinagent.exe (un agente) se carga en la carpeta compartida admin $ del administrador en la computadora remota.
- La unidad principal de TNI se conecta al administrador de servicios en la PC de destino, instala el agente como un servicio y lo inicia.
- El agente recopila información y la guarda en un archivo comprimido. Entonces se detiene.
- La unidad principal importa el archivo resultante al almacenamiento.
- El servicio de agente se desinstala y el archivo ejecutable se elimina.
No quedarán rastros de escaneo en la PC de destino después de que se complete el escaneo.
Requisitos para la máquina de destino
| UPC | 500 MHz |
| RAM | 64 MB |
| Espacio de disco duro | 10 MB |
| Puertos TCP | 445, 139 |
| Servicios | Servidor de Windows (WMI) llamada a procedimiento remoto (RPC) de registro remoto |
| Recursos | ipc $ admin $ |
| Protocolos | SMB NetBIOS (para Windows NT4) TCP / IP |
| Versiones de Windows |
XP Pro, Vista, 7, 8, 8.1, 10, Servidor 2003/2008/2012 (incluido R2) / 2016 |
Escaneo remoto a través del protocolo RPC
Cómo funciona
La unidad principal de TNI se conecta directamente al servicio WMI en la PC de destino a través del protocolo RPC y recopila información de forma remota.
Desventajas
- Se genera un tráfico significativo.
- La velocidad de escaneo depende de la calidad de la conexión.
- Todo el procesamiento de datos es realizado por la unidad principal. Esto aumenta considerablemente el consumo de recursos del sistema al escanear redes grandes.
Este método no tiene ninguna ventaja sobre el escaneo a través de SMB. Se recomienda su uso solo cuando, por el motivo que sea, no se puede utilizar el protocolo SMB.
Requisitos para la máquina de destino
| UPC | 500 MHz |
| RAM | 64 MB |
| Espacio de disco duro | 10 MB |
| Puertos TCP | 135 y puertos aleatorios por encima de 1024 |
| Servicios | Procedimiento de administración de Windows (WMI) llamada a procedimiento remoto (RPC) |
| Protocolos | RPC TCP / IP |
| Versión de Windows |
2000, XP Pro, Vista, 7, 8, 8.1, 10, Servidor 2000/2003/2008/2012 (incluido R2) / 2016 |
Escaneo manual
Cómo funciona
- El tniwinagent.exe ejecutable (un agente) se copia manualmente en la computadora de destino y se inicia. Cuando se completa el escaneo , el agente crea un archivo que contiene la información recopilada.
- El archivo resultante se debe mover al almacenamiento TNI.
Adicionalmente
El agente puede ejecutarse mediante una secuencia de comandos de inicio de sesión de dominio, por el programador de tareas o en el inicio de Windows.
Parámetros de la línea de comandos de a gent tniwinagent.exe :
/path:"\\server\share"permite establecer una ruta a una carpeta donde se colocará el archivo de datos;/delay:XXespecifica la brecha en segundos entre el tiempo de inicio del agente y el inicio de una exploración;/overwritesobrescribe el archivo de datos en caso de que la carpeta de destino ya contenga su versión anterior.
Vea la sección de escaneo manual para más detalles.
Requisitos para la máquina de destino
| UPC | 500 MHz |
| RAM | 64 MB |
| Espacio de disco duro | 10 MB |
| Servicios | Instrumental de administración de Windows (WMI) |
| Versión de Windows | XP Home / Pro, Vista, 7, 8, 8.1, 10, Servidor 2003/2008/2012 (incluido R2) / 2016 |
Gastos generales de escaneo
Todos los métodos de escaneo requieren tiempo de CPU y ejecución de una variedad de operaciones de disco, por lo que puede ocurrir una pérdida insignificante de eficiencia al escanear una computadora. El escaneo generalmente toma 1-2 minutos.
Los métodos de escaneo en línea (a pedido) generan tráfico de red:
| Método | A computadora remota (subir) |
Desde el ordenador remoto (descargar) |
| SMB | 1.8 MB | 0.05-0.1 MB |
| RPC | 10 MB | 18 MB |
Los números en la tabla representan valores promedio que incluyen el tamaño de los datos del servicio (es decir, encabezados de paquetes, etc.).
El alto tráfico durante la exploración de RPC es el resultado de la recopilación de datos de WMI del registro y depende de la cantidad de aplicaciones y servicios instalados en la computadora remota.
Escaneo de hardware de bajo nivel
En el modo de escaneo manual, así como durante el escaneo remoto a través del protocolo SMB, TNI instala un controlador de terceros para recopilar detalles de hardware de bajo nivel , como datos SPD de memoria , datos SMART de HDD, etc. En el modo normal, el controlador se instala y desinstala cada vez que se ejecuta el análisis, lo que solo toma una fracción de segundo.
Hay un problema conocido con el controlador de almacenamiento Intel ( iastor.sys ). Un error en este controlador provoca un BSOD durante la exploración de subsistemas de disco de bajo nivel. Se ha implementado una solución para esto: TNI omite la exploración de discos de bajo nivel cuando se detecta el controlador. Este comportamiento se puede cambiar en la configuración del programa o mediante el uso de interruptores de línea de comandos en el agente independiente .