Tôi có thiết lập WinRM trong môi trường miền sử dụng xác thực Kerberos. Gần đây tôi đã thực hiện chụp mạng định kỳ bằng WireShark và tôi rất ngạc nhiên khi thấy một số yêu cầu POST của WinRM (trên cổng 5985) bắt nguồn từ một máy chủ nơi không có người dùng cuối nào thực hiện yêu cầu đó.Trên cả máy chủ nguồn và máy chủ đích, WinRM được kích hoạt:
xxx 2021-xx-xx xx:xx:xx,xxxxxx <ip nguồn> <ip đích> HTTP 1385 5985 POST /wsman HTTP/1.1
xxx 2021-xx-xx xx:xx:xx,xxxxxx <ip nguồn> <ip đích> HTTP 800 5985 POST /wsman HTTP/1.1 (application/http-kerberos-session-encrypted)
Trên máy chủ bắt đầu các cuộc gọi đó tới WinRM, nhật ký sự kiện "Windows/Windows Remote Management/Operationnal" hiển thị một loạt các hoạt động WinRM được bắt đầu trong các phiên người dùng hợp pháp khác nhau, nhưng họ chưa đưa ra bất kỳ lệnh Powershell remoting/WinRM nào mà tôi tìm thấy hơi kỳ quặc.
Nguồn: Quản lý từ xa Windows
Id sự kiện: 6, 8, 10, 11,13,15, 16, 33, 91, 132, 145, 254
Những sự kiện đó là khởi tạo API WSMan, lệnh gọi API WSMan, chấm dứt phiên, quản lý phản hồi, v.v.
Có một số loại lưu lượng truy cập hợp pháp được khởi tạo thường xuyên bởi kiến trúc WinRM bên ngoài các hành động do người dùng khởi tạo như thực thi lệnh điều khiển từ xa Powershell hoặc chạy lệnh gọi API rõ ràng từ thư viện/ứng dụng của bên thứ ba như Pywinrm không?
Cho đến nay, tôi chưa thấy bất kỳ đề cập nào về điều này trong quá trình nghiên cứu của mình, vậy làm cách nào để phân biệt các yêu cầu hợp pháp của WinRM với các yêu cầu giả mạo trong ngữ cảnh này?
