So blockieren Sie WMIC auf Servern, aber WMI sollte aktiviert bleiben.
Und so können wir testen, ob WMIC deaktiviert wurde: Wir möchten WMIC über den Domänencontroller vom GPO aus deaktivieren.
Antwort1
Microsoft macht Fortschritte bei der Entfernung des Windows Management Instrumentation Command-line (WMIC)-Tools wmic.exe. Ab Windows 11 Build 22572 ist WMIC in Windows 11-Builds nicht mehr verfügbar, außer als optionale Funktion, die über deinstalliert oder neu installiert werden kann.Einstellungen > Apps > Optionale Funktionen.
Bei einer älteren Windows-Version, in Ihrem Fall Windows Server 2012, ist WMIC möglicherweise noch für routinemäßige Windows-Aufgaben erforderlich. In jedem Fall kann alles, was WMIC tut, genauso gut mit PowerShell erledigt werden, sodass WMIC im Falle einer Infektion nicht die einzige Gefahrenquelle darstellt.
Sie können es mit roher Gewalt versuchen, indem Sie die ausführbaren WMIC-Dateien unter
C:\Windows\System32\wbem\WMIC.exeund umbenennen C:\Windows\SysWOW64\wbem\WMIC.exe. Stellen Sie jedoch sicher, dass Sie zumindest im abgesicherten Modus neu starten können, und halten Sie für alle Fälle eine USB-Windows-Wiederherstellungsdiskette und ein USB-Windows-Installationsmedium bereit.