译者: 林妙倩、戴亦仑 原创翻译作品,如果需要转载请取得翻译作者同意。
数据来源:ATT&CK Matrices
原文: https://attack.mitre.org/techniques/T1028
术语表: /attack/glossary
Windows 远程管理(WinRM)代表允许用户与远程系统交互的 Windows 服务和协议(例如,运行可执行文件,修改注册表,修改服务)。
winrm
命令和很多程序(如 PowerShell)都可以调用它。
禁用 WinRM 服务。 如果需要该服务,用独立的 WinRM 基础架构、帐户和权限锁定关键区域。 遵循 WinRM 在身份验证方法配置和主机防火墙使用的最佳实践,限制 WinRM 访问,仅允许其与特定设备之间的通信。
通过记录服务执行来监控环境中 WinRM 的使用。 如果它没有正常使用或被禁用,那么这可能是可疑行为的一个标志。 监视 WinRM 进程或 WinRM 调用的脚本创建的进程和采取的操作,以将其与其他相关事件相关联。