07 Кві, 2023

Віддалене керування Windows (WinRM)

Penetration Testing as a service (PTaaS)

Tests security measures and simulates attacks to identify weaknesses.

WinRM розшифровується як віддалене керування Windows. Це технологія Microsoft, яка дозволяє віддалено керувати комп'ютерами Windows через захищене з'єднання. WinRM дозволяє адміністраторам виконувати команди, запускати сценарії та отримувати доступ до інформації про управління для локальних або віддалених комп'ютерів. Він використовує протокол WS-Management для полегшення зв'язку між комп'ютерами і може бути налаштований як для HTTP, так і для HTTPS-перевезень. WinRM - це важливий інструмент для управління великомасштабними развертываниями Windows, включаючи сервери і робочі станції.

Загальні порти WinRM

Для HTTP-транспорту: Порт 5985
Для транспорту HTTPS: Порт 5986

Стандартні команди від неавторизованих користувачів

Ping: Ця команда використовується для перевірки мережевого з'єднання між двома пристроями. Він відправляє пакети даних на пристрій і вимірює час відгуку. Неавторизовані користувачі можуть використовувати цю команду для перевірки наявності системи або для запуску атаки типу "відмова в обслуговуванні" (DoS) шляхом заповнення системи пакетами.

Tracert: Ця команда використовується для відстеження шляху, який проходить пакет від одного пристрою до іншого по мережі. Неавторизовані користувачі можуть використовувати цю команду для складання карти топології мережі та виявлення потенційних вразливостей.

Netstat: Ця команда використовується для відображення активних мережевих підключень, включаючи відкриті порти і служби прослуховування. Неавторизовані користувачі можуть використовувати цю команду для визначення потенційних точок входу в систему.

Telnet: Ця команда використовується для встановлення віддаленого підключення до пристрою через Інтернет. Неавторизовані користувачі можуть використовувати цю команду для отримання доступу до системи та віддаленого виконання команд.

Інструменти для використання протоколу WinRM

Ручні Інструменти:

  • PowerShell: це оболонка командного рядка і мова сценаріїв, який використовується для задач системного адміністрування. Він включає командлети для управління з'єднаннями WinRM і може використовуватися для ручної перевірки підключення WinRM.

  • Windows Remote Shell (WinRS): це інструмент командного рядка, який дає змогу віддалено виконувати команди на комп'ютерах з Windows. Він використовує WinRM для віддаленого підключення і може бути використаний для ручної перевірки підключень WinRM.

  • PuTTY: це популярний SSH і telnet-клієнт, який також може використовуватися для віддаленого виконання команд. Його можна налаштувати на використання WinRM для віддалених підключень і використовувати для ручної перевірки підключення WinRM.

  • Telnet: це інструмент командного рядка, який можна використовувати для встановлення віддаленого підключення до пристрою через Інтернет. Його можна використовувати для ручного перевірки підключення WinRM.

  • Microsoft Management Console (MMC): це інструмент управління Windows, який можна використовувати для створення користувацьких консолей управління. Він включає оснащення WinRM, яку можна використовувати для ручної перевірки підключення WinRM.

Автоматизовані інструменти:

  • WinRMTest: це безкоштовний інструмент, який можна використовувати для тестування підключення WinRM. Це дозволяє користувачам вказувати цільову машину і облікові дані, а потім перевіряти з'єднання з використанням протоколів HTTP або HTTPS.

  • WinRMChecker: це інструмент з відкритим вихідним кодом, який можна використовувати для перевірки стану WinRM на віддаленому комп'ютері. Його можна використовувати для тестування як HTTP, так і HTTPS-з'єднань, а також для усунення проблем з підключенням WinRM.

  • PRTG Network Monitor: це інструмент моніторингу мережі, який включає датчик WinRM для моніторингу і тестування з'єднань WinRM. Його можна використовувати для моніторингу продуктивності WinRM та усунення проблем з підключенням.

  • PowerShell Remoting Protocol (PSRP) Analyzer: це сценарій PowerShell, який можна використовувати для тестування підключення і продуктивності WinRM. Він включає в себе тести на ідентифікацію, шифрування і показники продуктивності.

  • WinRM-Test: це модуль PowerShell, який можна використовувати для тестування підключення і продуктивності WinRM. Він включає командлети для тестування аутентифікації, шифрування і показників продуктивності.

  • Microsoft System Center Operations Manager (SCOM): це засіб моніторингу Windows Server, яке включає пакет управління WinRM для моніторингу і тестування підключень WinRM. Його можна використовувати для моніторингу продуктивності WinRM та усунення проблем з підключенням.

  • Nagios: це інструмент моніторингу мережі з відкритим вихідним кодом, який включає плагін WinRM для моніторингу і тестування з'єднань WinRM. Його можна використовувати для моніторингу продуктивності WinRM та усунення проблем з підключенням.

  • Zabbix: це інструмент моніторингу з відкритим вихідним кодом, який включає агент WinRM для моніторингу і тестування з'єднань WinRM. Його можна використовувати для моніторингу продуктивності WinRM та усунення проблем з підключенням.

  • SolarWinds Network Performance Monitor (NPM): це інструмент мережевого моніторингу, який включає монітор WinRM для моніторингу і тестування з'єднань WinRM. Його можна використовувати для моніторингу продуктивності WinRM та усунення проблем з підключенням.

  • Microsoft Remote Server Administration Tools (RSAT): являє собою набір інструментів Windows, які можна використовувати для віддаленого адміністрування сервера. Він включає оснащення WinRM, яку можна використовувати для ручної перевірки підключення WinRM.

Плагіни для браузера:

  • WinRM Client for Chrome: це розширення Chrome, що дозволяє користувачам підключатися до віддалених комп'ютерів Windows через WinRM. Його можна використовувати для віддаленого виконання команд і сценаріїв.

  • WinRM Client for Firefox: це розширення Firefox, яке дозволяє користувачам підключатися до віддалених комп'ютерів Windows через WinRM. Його можна використовувати для віддаленого виконання команд і сценаріїв.

Останні три відомих CVE для WinRM

• CVE-2021-27022 – У bolt-server і ace була виявлена помилка, із-за якої виконання завдання з чутливими параметрами призводить до того, що ці чутливі параметри реєструються, коли їх не повинно бути. Ця проблема впливає тільки вузли SSH / WinRM (вузли служби інвентаризації). 

• CVE-2018-11746 – У Puppet Discovery до версії 1.2.0 при запуску Discovery на хостах Windows з'єднання WinRM можуть повернутися до використання базової аутентифікації по небезпечним каналах, якщо сервер HTTPS недоступний. Це може розкрити облікові дані для входу, використовувані Puppet Discovery.

• CVE-2007-1658 – Пошта Windows в Microsoft Windows Vista може дозволити віддаленим зловмисникам за допомогою користувача запускати певні програми через посилання на (1) локальний файл або (2) загальний шлях UNC, в якому є каталог з тим же базовим ім'ям, що й виконуваної програми на тому ж рівні, як показано за допомогою C:/windows/system32/winrm (winrm.cmd) і migwiz (migwiz.exe ).

Корисна інформація

– WinRM автоматично встановлюється з усіма підтримуваними в даний час версіями операційної системи Windows, і служба автоматично запускається на Windows Server 2008 і пізніших версіях.

– WinRM надає інтерфейс командного рядка, який можна використовувати для виконання загальних завдань управління, а також надає скриптова API, щоб ви могли писати свої власні сценарії на основі Windows Scripting Host.

– WinRM покладається на дані управління, що надаються WMI, але це значно спрощує обмін даними за рахунок використання протоколу HTTP.

– WinRM взаємодіє з додатками Windows і операційними системами на пристрої, а також з віддаленими серверами і пристроями, що використовують Windows, використовуючи протокол SOAP.

Відомі банери

  • Клієнт Microsoft WinRM версії 3.0

  • WinRM версія 2.0

  • Віддалене керування Windows (WS-Management)

  • Віддалене керування Windows (WinRM)

  • Служба WinRM версії 1.1

  • Віддалене керування Windows (WinRM) версії 2.2

Книги для навчання WinRM

Кишеньковий консультант адміністратора Windows PowerShell 2.0 Вільям Р. Станек: У цій книзі розглядаються різні аспекти WinRM і PowerShell, в тому числі як використовувати WinRM для віддаленого управління комп'ютерами Windows, як налаштувати WinRM і як усунути неполадки WinRM.

Управління серверами Windows за допомогою Chef Джон Еварт: У цій книзі розповідається про те, як використовувати Chef, інструмент управління конфігурацією з відкритим вихідним кодом для управління серверами Windows, в тому числі про те, як використовувати WinRM для віддаленого управління комп'ютерами Windows.

Куховарська книга Windows PowerShell автор Чи Холмс: У цій книзі розглядаються різні аспекти PowerShell, в тому числі як використовувати WinRM для віддаленого управління комп'ютерами Windows, як налаштувати WinRM і як усунути неполадки WinRM.

PowerShell і WMI Річард Сиддауэй: У цій книзі розповідається про те, як використовувати PowerShell і WMI (Windows management instrumentation) для управління комп'ютерами Windows, в тому числі про те, як використовувати WinRM для віддаленого управління комп'ютерами Windows.

Автоматизація Windows Server 2016 за допомогою куховарської книги PowerShell автор: Томас Лі: У цій книзі розглядаються різні аспекти автоматизації PowerShell на Windows Server 2016, в тому числі як використовувати WinRM для віддаленого управління комп'ютерами Windows.

Список корисного навантаження для WinRM

  • PowerShell Команди: PowerShell - це потужний мова сценаріїв, яка використовується для автоматизації комп'ютерів Windows і управління ними. WinRM можна використовувати для виконання команд PowerShell на віддаленому комп'ютері.

  • Пакетні файли: Пакетні файли - це сценарії, які можуть виконуватися на комп'ютерах з Windows для автоматизації завдань. WinRM можна використовувати для віддаленого запуску пакетних файлів.

  • Запити інструментарію керування Windows (WMI): WMI - це технологія управління, яка використовується Windows для запиту системної інформації і керування нею. WinRM можна використовувати для виконання запитів WMI на віддаленому комп'ютері.

  • Віддалені виклики процедур (RPC): RPC - це механізм, що використовується Windows для взаємодії між процесами. WinRM можна використовувати для віддаленого виконання RPC.

  • Інструменти командного рядка: WinRM можна використовувати для виконання різних інструментів командного рядка, таких як ping, ipconfig, netstat і т. д. на віддаленому комп'ютері.

Пом'якшення наслідків

  1. WinRM підтримує різні методи аутентификації, такі як Kerberos, NTLM і SSL / TLS. Використовуйте самий надійний доступний метод аутентифікації, щоб гарантувати, що тільки авторизовані користувачі можуть отримати доступ до віддаленої системи.

  2. WinRM також підтримує шифрування SSL / TLS. Включення шифрування допомагає захистити конфіденційні дані при передачі шляхом шифрування даних між клієнтом і сервером.

  3. Обмежте доступ WinRM до Інтернету і дозволити доступ тільки з надійних мереж або IP-адрес.

  4. Увімкніть аудит подій WinRM для виявлення будь-яких підозрілих дій та реагування на них.

  5. Налаштуйте параметри WinRM таким чином, щоб обмежити обсяг операцій віддаленого управління і вирішити доступ тільки авторизованим користувачам.

  6. Оновлюйте WinRM останніми виправленнями і оновленнями безпеки, щоб переконатися, що всі відомі уразливості в системі безпеки усунені.

  7. Створіть виділену обліковий запис для WinRM, що володіє мінімальними необхідними привілеями для виконання операцій віддаленого управління.

Висновок

Виграти RM це потужний інструмент для віддаленого управління системами Windows, який може значно підвищити продуктивність і дієвість системних адміністраторів. Однак важливо відповідально використовувати WinRM і впроваджувати належні заходи безпеки, щоб гарантувати, що він не використовується не за призначенням або не використовується у зловмисних цілях.

Інші Послуги

Готові до безпеки?

зв'язатися з нами