07 Апр, 2023

Удаленное управление Windows (WinRM)

Penetration Testing as a service (PTaaS)

Tests security measures and simulates attacks to identify weaknesses.

WinRM расшифровывается как удаленное управление Windows. Это технология Microsoft, которая позволяет удаленно управлять компьютерами Windows через защищенное соединение. WinRM позволяет администраторам выполнять команды, запускать сценарии и получать доступ к информации об управлении для локальных или удаленных компьютеров. Он использует протокол WS-Management для облегчения связи между компьютерами и может быть настроен как для HTTP, так и для HTTPS-перевозок. WinRM - это важный инструмент для управления крупномасштабными развертываниями Windows, включая серверы и рабочие станции.

Общие порты WinRM

Для HTTP-транспорта: Порт 5985
Для транспорта HTTPS: Порт 5986

Стандартные команды от неавторизованных пользователей

Ping: Эта команда используется для проверки сетевого подключения между двумя устройствами. Он отправляет пакеты данных на устройство и измеряет время отклика. Неавторизованные пользователи могут использовать эту команду для проверки наличия системы или для запуска атаки типа "отказ в обслуживании" (DoS) путем заполнения системы пакетами.

Tracert: Эта команда используется для отслеживания пути, который проходит пакет от одного устройства к другому по сети. Неавторизованные пользователи могут использовать эту команду для составления карты топологии сети и выявления потенциальных уязвимостей.

Netstat: Эта команда используется для отображения активных сетевых подключений, включая открытые порты и службы прослушивания. Неавторизованные пользователи могут использовать эту команду для определения потенциальных точек входа в систему.

Telnet: Эта команда используется для установления удаленного подключения к устройству через Интернет. Неавторизованные пользователи могут использовать эту команду для получения доступа к системе и удаленного выполнения команд.

Инструменты для использования протокола WinRM

Ручные Инструменты:

  • PowerShell: это оболочка командной строки и язык сценариев, который используется для задач системного администрирования. Он включает командлеты для управления подключениями WinRM и может использоваться для ручной проверки подключения WinRM.

  • Windows Remote Shell (WinRS): это инструмент командной строки, который позволяет удаленно выполнять команды на компьютерах с Windows. Он использует WinRM для удаленного подключения и может быть использован для ручной проверки подключений WinRM.

  • PuTTY: это популярный SSH- и telnet-клиент, который также может использоваться для удаленного выполнения команд. Его можно настроить на использование WinRM для удаленных подключений и использовать для ручной проверки подключения WinRM.

  • Telnet: это инструмент командной строки, который можно использовать для установления удаленного подключения к устройству через Интернет. Его можно использовать для ручной проверки подключения WinRM.

  • Microsoft Management Console (MMC): это инструмент управления Windows, который можно использовать для создания пользовательских консолей управления. Он включает оснастку WinRM, которую можно использовать для ручной проверки подключения WinRM.

Автоматизированные инструменты:

  • WinRMTest: это бесплатный инструмент, который можно использовать для тестирования подключения WinRM. Это позволяет пользователям указывать целевую машину и учетные данные, а затем проверять соединение с использованием протоколов HTTP или HTTPS.

  • WinRMChecker: это инструмент с открытым исходным кодом, который можно использовать для проверки состояния WinRM на удаленном компьютере. Его можно использовать для тестирования как HTTP, так и HTTPS-соединений, а также для устранения неполадок с подключением WinRM.

  • PRTG Network Monitor: это инструмент мониторинга сети, который включает датчик WinRM для мониторинга и тестирования соединений WinRM. Его можно использовать для мониторинга производительности WinRM и устранения неполадок с подключением.

  • PowerShell Remoting Protocol (PSRP) Analyzer: это сценарий PowerShell, который можно использовать для тестирования подключения и производительности WinRM. Он включает в себя тесты на аутентификацию, шифрование и показатели производительности.

  • WinRM-Test: это модуль PowerShell, который можно использовать для тестирования подключения и производительности WinRM. Он включает командлеты для тестирования аутентификации, шифрования и показателей производительности.

  • Microsoft System Center Operations Manager (SCOM): это средство мониторинга Windows Server, которое включает пакет управления WinRM для мониторинга и тестирования подключений WinRM. Его можно использовать для мониторинга производительности WinRM и устранения неполадок с подключением.

  • Nagios: это инструмент мониторинга сети с открытым исходным кодом, который включает плагин WinRM для мониторинга и тестирования соединений WinRM. Его можно использовать для мониторинга производительности WinRM и устранения неполадок с подключением.

  • Zabbix: это инструмент сетевого мониторинга с открытым исходным кодом, который включает агент WinRM для мониторинга и тестирования соединений WinRM. Его можно использовать для мониторинга производительности WinRM и устранения неполадок с подключением.

  • SolarWinds Network Performance Monitor (NPM): это инструмент сетевого мониторинга, который включает монитор WinRM для мониторинга и тестирования соединений WinRM. Его можно использовать для мониторинга производительности WinRM и устранения неполадок с подключением.

  • Microsoft Remote Server Administration Tools (RSAT): представляет собой набор инструментов Windows, которые можно использовать для удаленного администрирования сервера. Он включает оснастку WinRM, которую можно использовать для ручной проверки подключения WinRM.

Плагины для браузера:

  • WinRM Client for Chrome: это расширение Chrome, которое позволяет пользователям подключаться к удаленным компьютерам Windows через WinRM. Его можно использовать для удаленного выполнения команд и скриптов.

  • WinRM Client for Firefox: это расширение Firefox, которое позволяет пользователям подключаться к удаленным компьютерам Windows через WinRM. Его можно использовать для удаленного выполнения команд и скриптов.

Последние три известных CVE для WinRM

• CVE-2021-27022 – В bolt-server и ace была обнаружена ошибка, из-за которой выполнение задачи с чувствительными параметрами приводит к тому, что эти чувствительные параметры регистрируются, когда их не должно быть. Эта проблема затрагивает только узлы SSH / WinRM (узлы службы инвентаризации). 

• CVE-2018-11746 – В Puppet Discovery до версии 1.2.0 при запуске Discovery на хостах Windows соединения WinRM могут вернуться к использованию базовой аутентификации по небезопасным каналам, если сервер HTTPS недоступен. Это может раскрыть учетные данные для входа, используемые Puppet Discovery.

• CVE-2007-1658 – Почта Windows в Microsoft Windows Vista может позволить удаленным злоумышленникам с помощью пользователя запускать определенные программы через ссылку на (1) локальный файл или (2) общий путь UNC, в котором есть каталог с тем же базовым именем, что и у исполняемой программы на том же уровне, как показано с помощью C:/windows/system32/winrm (winrm.cmd) и migwiz (migwiz.exe ).

Полезная информация

– WinRM автоматически устанавливается со всеми поддерживаемыми в настоящее время версиями операционной системы Windows, и служба автоматически запускается на Windows Server 2008 и более поздних версиях.

– WinRM предоставляет интерфейс командной строки, который можно использовать для выполнения общих задач управления, а также предоставляет скриптовый API, чтобы вы могли писать свои собственные сценарии на основе Windows Scripting Host.

– WinRM полагается на данные управления, предоставляемые WMI, но это значительно упрощает обмен данными за счет использования протокола HTTP.

– WinRM взаимодействует с приложениями Windows и операционными системами на устройстве, а также с удаленными серверами и устройствами, использующими Windows, используя протокол SOAP.

Известные баннеры

  • Microsoft WinRM client version 3.0

  • WinRM version 2.0

  • Windows Remote Management (WS-Management) service

  • Windows Remote Management Service (WinRM)

  • WinRM service version 1.1

  • Microsoft Windows Remote Management (WinRM) service version 2.2

Книги для учебы WinRM

Windows PowerShell 2.0 Administrator’s Pocket Consultant Уильям Р. Станек: В этой книге рассматриваются различные аспекты WinRM и PowerShell, в том числе как использовать WinRM для удаленного управления компьютерами Windows, как настроить WinRM и как устранить неполадки WinRM.

Windows PowerShell 2.0 Administrator’s Pocket Consultant Джон Эварт: В этой книге рассказывается о том, как использовать Chef, инструмент управления конфигурацией с открытым исходным кодом, для управления серверами Windows, в том числе о том, как использовать WinRM для удаленного управления компьютерами Windows.

Windows PowerShell Cookbook автор Ли Холмс: В этой книге рассматриваются различные аспекты PowerShell, в том числе как использовать WinRM для удаленного управления компьютерами Windows, как настроить WinRM и как устранить неполадки WinRM.

PowerShell и WMI Ричард Сиддауэй: В этой книге рассказывается о том, как использовать PowerShell и WMI (инструментарий управления Windows) для управления компьютерами Windows, в том числе о том, как использовать WinRM для удаленного управления компьютерами Windows.

Windows Server 2016 Automation with PowerShell Cookbook автор: Томас Ли: В этой книге рассматриваются различные аспекты автоматизации PowerShell на Windows Server 2016, в том числе как использовать WinRM для удаленного управления компьютерами Windows.

Список полезной нагрузки для WinRM

  • Команды PowerShell: PowerShell - это мощный язык сценариев, используемый для автоматизации компьютеров Windows и управления ими. WinRM можно использовать для выполнения команд PowerShell на удаленном компьютере.

  • Пакетные файлы: Пакетные файлы - это сценарии, которые могут выполняться на компьютерах с Windows для автоматизации задач. WinRM можно использовать для удаленного запуска пакетных файлов.

  • Запросы инструментария управления Windows (WMI): WMI - это технология управления, используемая Windows для запроса системной информации и управления ею. WinRM можно использовать для выполнения запросов WMI на удаленном компьютере.

  • Удаленные вызовы процедур (RPC): RPC - это механизм, используемый Windows для взаимодействия между процессами. WinRM можно использовать для удаленного выполнения RPC.

  • Инструменты командной строки: WinRM можно использовать для выполнения различных инструментов командной строки, таких как ping, ipconfig, netstat и т.д. на удаленном компьютере.

Смягчение последствий

  1. WinRM поддерживает различные методы аутентификации, такие как Kerberos, NTLM и SSL / TLS. Используйте самый надежный доступный метод аутентификации, чтобы гарантировать, что только авторизованные пользователи могут получить доступ к удаленной системе.

  2. WinRM также поддерживает шифрование через SSL / TLS. Включение шифрования помогает защитить конфиденциальные данные при передаче путем шифрования данных между клиентом и сервером.

  3. Ограничьте доступ WinRM к Интернету и разрешите доступ только из надежных сетей или IP-адресов.

  4. Включите аудит событий WinRM для обнаружения любых подозрительных действий и реагирования на них.

  5. Настройте параметры WinRM таким образом, чтобы ограничить объем операций удаленного управления и разрешить доступ только авторизованным пользователям.

  6. Обновляйте WinRM последними исправлениями и обновлениями безопасности, чтобы убедиться, что все известные уязвимости в системе безопасности устранены.

  7. Создайте выделенную учетную запись для WinRM, обладающую минимальными необходимыми привилегиями для выполнения операций удаленного управления.

Заключение

Выиграть RM это мощный инструмент для удаленного управления системами Windows, который может значительно повысить производительность и действенность системных администраторов. Однако важно ответственно использовать WinRM и внедрять надлежащие меры безопасности, чтобы гарантировать, что он не используется не по назначению или не используется в злонамеренных целях.

Другие Услуги

Готовы к безопасности?

Связаться с нами