Les deux premières lignes du script, que l'on voit dans le listing 1, définissent deux variables, sur lesquelles je reviendrai. Au renvoi A, la fonction GetObject établit une connexion avec WMI et crée une requête de notification d'événement. La chaîne SELECT précise que le script devrait recevoir le nom (TargetInstance.Name)
Le logon script Monitor
de toute
instance nouvelle ou modifiée (FROM
_InstanceOperationEvent) de la classe
WMI qui représente les connexions
réseau (TargetInstance ISA ‘Win32_
NetworkAdapterConfiguration’). A noter
que Win32_NetworkAdapter-
Configuration couvre toutes les connexions réseau, avec implication
ou non d’un adaptateur de réseau physique.
Dans le cas d’une connexion
RAS, d’un VPN, et d’autres types de
connexions, l’API RAS ou VPN crée un
« adaptateur virtuel » qui apparaît par la
suite dans cette classe WMI. Le
class_InstanceOperationEvent informe
le script quand il détecte une nouvelle
connexion RAS ou VPN et quand une
carte NIC est enfichée dans le réseau
après le logon de l’utilisateur. (Bien
que _InstanceOperationEvent informe
aussi le script quand une connexion est
supprimée, ce script ignore ce genre
de notification.)
WMI informe le script de tout événement
correspondant aux critères
dans la requête. La portion WITHIN 4
de la requête est le nombre de secondes
pendant lequel WMI doit interroger
la classe pour voir si elle contient
des événements. Comme je l’ai déjà
dit, ce polling interne est très efficace.
(Pour essayer de détecter la charge infligée
au processeur par cette requête
d’événements, utilisez Performance
Monitor pour superviser le service
WMI. Il révèlera que le script n’engendre
aucun overhead de CPU.) La
plupart des versions de Windows à
Win2K appellent le service WMI
winmgmt.exe. Dans XP, le service WMI
est une instance de svchost.exe. Pour
déterminer précisément l’overhead du
processeur, comparez les valeurs du
compteur de performances pour l’utilisation
du processeur – par processus
– avant et pendant l’exécution du
script.
Téléchargez cette ressource
Plan de sécurité Microsoft 365
Les attaquants savent comment prendre le contrôle de votre tenant Microsoft 365, et vous, savez-vous comment le reprendre en main ?
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Cybersécurité française 2026 : explosion des startups, ralentissement des scale-ups et virage stratégique de l’IA
- Le Cercle de l’Innovation décerne le Prix de l’Innovation du Public 2026
- Avec l’IA agentique, la robustesse des SI redevient stratégique
- Les erreurs du secteur bancaire dans son approche IA
Articles les + lus
Couchbase lance AI Data Plane pour industrialiser l’IA agentique
Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
Computex 2026 : 5 signaux forts à retenir
La chaîne d’approvisionnement, point de rupture récurent du SI
Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
À la une de la chaîne Tech
- Couchbase lance AI Data Plane pour industrialiser l’IA agentique
- Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
- Computex 2026 : 5 signaux forts à retenir
- La chaîne d’approvisionnement, point de rupture récurent du SI
- Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
