Quali sono le implicazioni sulla sicurezza dell'attivazione di WINRM su tutti i membri del dominio?

Question

Quali sono le implicazioni sulla sicurezza dell'attivazione di WINRM su tutti i membri del dominio?

#1 da (6 voti)

6

Poiché PowerShell diventa sempre più popolare, sembra che l'utilizzo di WINRM possa essere un'opzione migliore rispetto all'utilizzo di PSEXEC da SysInternals per la gestione remota. Dato che WINRM è disabilitato per impostazione predefinita, tuttavia, mi chiedo quale tipo di buchi di sicurezza potrebbero creare per abilitare il servizio su tutti i membri del dominio. Ovviamente la superficie di attacco sarebbe aumentata, ma sarebbe peggiore delle condivisioni amministrative predefinite o abilitando SSH?

operating-systems windows powershell attack-prevention

posta bshacklett 04.08.2011 - 17:09

fonte

1 risposta

Leggi altre domande sui tag operating-systems windows powershell attack-prevention

Carico utile Metasploit personalizzato con bypass UAC Come utilizzare e creare grafici di attacco

score 6 · Accepted Answer

"Fori di sicurezza" Penso che sia un po 'soggettivo. Sono necessarie le credenziali di amministratore locale per connettersi a WINRM.

Aumenta la superficie di attacco del sistema, ed è disabilitato di default perché non è uno dei primi n servizi usati dalla maggior parte degli amministratori.

WINRM utilizza SOAP (WCF), che utilizza HTTP.sys, che lo rende un bersaglio privilegiato per l'attacco.

È insicuro? No. È insicuro se è abilitato e non viene mai utilizzato? Non proprio, ma potrebbe esserci una vulnerabilità trovata in futuro, e ti farebbe sentire stupido per abilitare la cosa quando non la usi mai e non ti viene attaccata per questo.

Se stai bene con quel particolare scenario, assicurati che non sia peggio delle condivisioni predefinite. Ma tutto dipende dal tipo di ambiente in cui ti trovi. Se hai bisogno o vuoi usare WINRM per la gestione delle tue macchine, probabilmente stai andando bene per avviarlo.