ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1028

术语表: /attack/glossary

Windows 远程管理

Windows 远程管理(WinRM)代表允许用户与远程系统交互的 Windows 服务和协议(例如,运行可执行文件,修改注册表,修改服务)。 winrm 命令和很多程序(如 PowerShell)都可以调用它。

缓解

禁用 WinRM 服务。 如果需要该服务,用独立的 WinRM 基础架构、帐户和权限锁定关键区域。 遵循 WinRM 在身份验证方法配置和主机防火墙使用的最佳实践,限制 WinRM 访问,仅允许其与特定设备之间的通信。

检测

通过记录服务执行来监控环境中 WinRM 的使用。 如果它没有正常使用或被禁用,那么这可能是可疑行为的一个标志。 监视 WinRM 进程或 WinRM 调用的脚本创建的进程和采取的操作,以将其与其他相关事件相关联。