Cómo bloquear WMIC en servidores, pero WMI debe permanecer habilitado.
Y cómo podemos probar que WMIC ha sido deshabilitado, queremos deshabilitar WMIC desde GPO a través del controlador de dominio.
Respuesta1
Microsoft está avanzando en la eliminación de la herramienta de línea de comandos del Instrumental de administración de Windows (WMIC) wmic.exe. A partir de Windows 11 compilación 22572, WMIC ya no está disponible en las compilaciones de Windows 11, excepto como una característica opcional que se puede desinstalar o reinstalar a través deConfiguración > Aplicaciones > Funciones opcionales.
Para una versión anterior de Windows, en su caso Windows Server 2012, es posible que WMIC aún sea necesario para tareas rutinarias de Windows. En cualquier caso, cualquier cosa que haga WMIC también se puede hacer usando PowerShell, por lo que WMIC no es el único punto de peligro en caso de infección.
Puede probar la fuerza bruta cambiando el nombre de los ejecutables WMIC en
C:\Windows\System32\wbem\WMIC.exey
C:\Windows\SysWOW64\wbem\WMIC.exe. Sin embargo, asegúrese de poder al menos reiniciar en modo seguro y tener disponible un disco USB de recuperación de Windows y un medio de instalación USB de Windows, por si acaso.