Was ist WMI Stealth?
IT-Asset-Management

Was ist WMI Stealth?

WMI Stealth erlaubt die sichere und automatisierte Abfrage von Inventar- und Leistungsdaten von Windows Systemen über die WMI Schnittstelle.

Michael Kostka
Michael Kostka Veröffentlicht am 25.11.2025

Windows Systeme stellen über die WMI-Schnittstelle per Standard diverse Verwaltungs- und Abfrageoptionen bereit. Die Abfrage ist dabei sowohl lokal als auch über eine Netzwerkverbindung möglich.

WMI Stealth setzt bei der Abfrage per Netzwerkverbindung an und ermöglicht eine sichere Abfrage ohne zusätzliche Administrationsrechte auf den Endsystemen.

Infografik - Vorteile von WMI Stealth

⏳ Entstehung

Wir haben WMI Stealth offiziell im Januar 2024 im Rahmen der Version 4.2 von Inventory360 vorgestellt und seither stetig weiterentwickelt.

Zuvor erforderte die automatische Abfrage von Inventardaten inkl. installierter Software, Lizenzen, etc. einen administrativen Vollzugriff auf die Geräte. Dies war unter anderem darin begründet, dass hierfür lokale Inventarisierungsskripte zunächst auf das jeweilige Endgerät übertragen und dann ausgeführt werden mussten.

Einigen Administratoren ist dies vielleicht noch unter dem Namen PSExec der guten alten "Sysinternals" Tools bekannt. Derartige Abfragen bergen allerdings ein Sicherheitsrisiko und werden mittlerweile auch durch den Windows Defender geblockt.

✅ Vorteile von WMI Stealth

WMI Stealth bietet gegenüber der bisherigen Abfragemöglichkeiten diverse Vorteile, wobei die gesteigerte Sicherheit dabei in den Vordergrund zu stellen ist.

  • Keine lokale Software- oder Agenten-Installation erforderlich
  • Keine false-positive Meldungen von Virenscannern oder XDR-Tools
  • Keine lokalen Administrator-Rechte erforderlich
  • Keine lokalen Firewall-Regeln notwendig
  • Feste Bestandteil von Microsoft Windows
  • Höhere Geschwindigkeit & geringerer Ressourcenverbrauch

❓ Warum Stealth?

Der Begriff "Stealth" wird häufig falsch und mit Bezug auf Malware oder dem Verschleiern von Abfragen interpretiert. Das Gegenteil ist allerdings der Fall:

Stealth bedeutet in diesem Zusammenhang eine Abfrage, die ohne tiefen Eingriff in das System, also minimal-invasiv abläuft. D.h. der Nutzer eines Windows Systems bekommt dies weder durch einen kurzfristigen Einbruch der Systemleistung, noch durch etwaige lästige Hinweismeldungen mit.

Die Tatsache, dass eine Abfrage des Endgerätes stattgefunden hat, wird weiterhin im Microsoft Windows Eventlog protokolliert und kann hierüber lückenlos nachvollzogen werden.

🚨 Differenzierung zu Angriffsmethoden per WMI

Über WMI Stealth erfolgt keine Remote-Ausführung von fremdem / eingeschleustem Code wie es z.B. bei Hacking- oder Pentesting Tools der Fall ist. Stattdessen wird auf verfügbare Standard-Abfragen (nur lesen) zurückgegriffen.

Ebenfalls erfolgt keine Verschleierung der Abfragen innerhalb von Logfiles und kein Ausnutzung bestehender Sicherheitslücken.

🔧 Voraussetzungen

Um das volle Potential von WMI Stealth ausnutzen zu können sind einige Voraussetzungen für die erfolgreiche Remote-Abfrage notwendig:

  • Aktivierte WMI Schnittstelle (Standard)
  • Benutzeraccount ist selektiv auf die WMI Bereiche berechtigt
  • Benutzeraccount ist Mitglied der Gruppe "Distributed COM-Benutzer"

Die oben genannten Bedingungen können dabei beispielsweise per lokaler Konfiguration, Imaging-Template oder auch Gruppenrichtlinie (GPO) auf die zu inventarisierenden Geräte ausgerollt werden.

💡 Tipps für die Nutzung

Für einen optimalen & sicheren Einsatz von WMI Stealth sollte für die Abfrage wenn möglich ein Domain-Account verwendet werden. Dies bietet die nachfolgenden Vorteile:

  • Regelmäßige Kennwortänderung möglich
  • Zugang kann jederzeit zentral gesperrt werden
  • Sperrung des Kontos kann sofort & unverzüglich erfolgen
  • Zentrale Kennwortsteuerung (z.B. bei Ausscheiden eines Mitarbeiters aus der IT-Administration)

Weiterhin können besonders schützenswerte Bereiche auch weiterhin per Firewallfreischaltung oder die Nutzung gesonderter Benutzer für die Abfrage abgesichert werden.

  • Separate Netzwerksegmente für Clients, Server und Netzwerkinfrastruktur
  • Nutzung verschiedener Benutzer zur Abfrage
  • Einsatz von Scan-Satelliten

💡 Inventarisierung leicht gemacht

Inventarisierung mit Inventory360

Kombiniert Hardware, Lizenzen, Verträge, Bestellungen und vieles mehr in einem System.

Jetzt mehr erfahren

🔴 Nachteile von WMI Stealth

Gesteigerte Sicherheit und die Einschränkung von Rechten bringen natürlich auch stets gewisse Limitierungen mit sich. Dies muss für den konkreten Anwendungsfall abgewogen werden.

  • Bestimmte WMI-Klassen nur mit administrativen Rechten zugänglich
  • Kein Software-Deployment möglich
  • Konfiguration der Berechtigungen notwendig

Für eine Software-Verteilung ist WMI Stealth somit der völlig falsche Ansatz, wohingegen es sich für das Auslesen von Inventardaten oder der Abfrage von Leistungsdaten hervorragend eignet.

Die Limitierung hinsichtlich des beschränkten Zugriffs auf bestimmte WMI-Klassen zeigt sich z.B. beim Auslesen der vollständigen Seriennummern von Monitoren, die an einen Windows PC angeschlossen sind. Diese Information wird - bei eingeschränkten Berechtigungen - nicht vollständig bereitgestellt. Hier muss auf einen anderen Weg zurückgegriffen oder die Daten aus mehreren Quellen berechnet werden.

📑 Wo kann ich WMI Stealth Abfragen einsehen?

Alle Abfragen gegen die WMI Schnittstelle sind regulär in der Windows Ereignisanzeige einsehbar.

Rufen Sie hierzu im ersten Schritt das Windows Eventlog auf:

Aufrufen des Windows Eventlogs
Aufrufen des Windows Eventlogs

Hier zunächst in den Punkt "Anwendungs- und Dienstprotokolle" wechseln:

Anwendungs- und Dienstprotokolle im Eventlog
Anwendungs- und Dienstprotokolle im Eventlog

Die Logs zu den WMI-Abfragen finden sich im Unterbereich Microsoft -> Windows -> WMI-Activity -> Operational:

Auflistung der WMI Abfragen im Eventlog
Auflistung der WMI Abfragen im Eventlog

⭐ Fazit

WMI Stealth ist eine sichere und effiziente Abfragemöglichkeit für Windows-Systeme, bei der ein read-only Recht ausreicht. Der Einsatz eines beschränkten Benutzeraccounts verhindert damit auch Gefahren einer Remote Code-Execution.

Da durch WMI Stealth keine lokalen Dateien abgelegt oder Dienste ausgeführt werden, funktioniert die Abfrage sicher und vollständig im Hintergrund (= Stealth). Zur Inventarisierung ist keine Installation von Agents erforderlich und false-positive Meldungen von Virenscannern oder Systemen zur Advanced Thread Protection / XDR werden ebenso verhindert.

Michael Kostka
Michael Kostka Autor

Geschäftsführer / CEO

Gründer und Geschäftsführer der EntekSystems GmbH. Herr Kostka verantwortet bei uns die Bereiche technischer Vertrieb und Leitung des Tagesgeschäfts.

Inventory360 jetzt kostenlos testen

Kombiniert Hardware, Lizenzen, Verträge, Bestellungen und vieles mehr in einem System.

Mehr erfahren

Mehr erfahren

Weitere Artikel und Beiträge

Alle anzeigen
30 Jahre Windows 95 - Ein Wendepunkt für die PC-Welt
07.10.2025 30 Jahre Windows 95 - Ein Wendepunkt für die PC-Welt

1995 revolutionierte Windows 95 die PC-Welt: Millionenverkäufe, Startmenü & Internetzugang machten den Computer zum Alltagsgerät. Hatten Sie es auch genutzt?

Alexander van der Steeg Alexander van der Steeg
DGUV V3 Verwaltung mit einer Inventarverwaltung (Teil 1 - Theorie)
26.08.2025 DGUV V3 Verwaltung mit einer Inventarverwaltung (Teil 1 - Theorie)

Sichere Elektroanlagen nach DGUV V3: Pflichtprüfung schützt Mitarbeiter, vermeidet Ausfälle und sorgt für rechtskonformen Betrieb. - Erfahren Sie bei uns mehr zu dem Thema.

Frank Kister Frank Kister
Inventarisierung mit PowerShell
05.08.2025 Inventarisierung mit PowerShell

Wir zeigen Ihnen mit welchen Befehlen und Tricks Windows Systeme ganz einfach per PowerShell inventarisiert werden können.

Michael Kostka Michael Kostka