ฉันมีการตั้งค่า WinRM ในสภาพแวดล้อมโดเมนโดยใช้การตรวจสอบสิทธิ์ Kerberos ฉันเพิ่งทำการจับภาพเครือข่ายเป็นประจำด้วย WireShark และฉันรู้สึกประหลาดใจที่เห็นคำขอ WinRM POST (บนพอร์ต 5985) ที่มาจากเซิร์ฟเวอร์ที่ไม่มีผู้ใช้ปลายทางเป็นผู้เริ่มต้นคำขอดังกล่าวเปิดใช้งาน WinRM ทั้งบนเซิร์ฟเวอร์ต้นทางและเป้าหมาย:
xxx 2021-xx-xx xx:xx:xx,xxxxxx <ต้นทาง ip> <ปลายทาง ip> HTTP 1385 5985 POST /wsman HTTP/1.1
xxx 2021-xx-xx xx:xx:xx,xxxxxx <ไอพีต้นทาง> <ไอพีปลายทาง> HTTP 800 5985 POST /wsman HTTP/1.1 (application/http-kerberos-session-encrypted)
บนเซิร์ฟเวอร์ที่เริ่มต้นการโทรเหล่านั้นไปยัง WinRM บันทึกเหตุการณ์ "Windows/Windows Remote Management/Operationnal" แสดงการดำเนินการ WinRM จำนวนมากที่เริ่มต้นภายใต้เซสชันผู้ใช้ที่ถูกต้องตามกฎหมายต่างๆ แต่ยังไม่ได้ออกคำสั่ง Powershell remoting/WinRM ที่ฉันพบ ค่อนข้างแปลก
ที่มา: Windows Remote Management
รหัสเหตุการณ์: 6, 8, 10, 11,13,15, 16, 33, 91, 132, 145, 254
เหตุการณ์เหล่านั้น ได้แก่ การเริ่มต้น WSMan API, การเรียก WSMan API, การสิ้นสุดเซสชัน, การจัดการการตอบสนอง เป็นต้น
มีการรับส่งข้อมูลที่ถูกต้องตามกฎหมายบางประเภทที่เริ่มต้นเป็นประจำโดยสถาปัตยกรรม WinRM ภายนอกการกระทำที่ผู้ใช้เริ่มต้น เช่น การเรียกใช้คำสั่งระยะไกลของ Powershell หรือการเรียกใช้งาน API อย่างชัดเจนจากไลบรารี/แอปพลิเคชันของบุคคลที่สาม เช่น Pywinrm
ฉันไม่เห็นการพูดถึงเรื่องนี้เลยระหว่างการวิจัยของฉัน ดังนั้นจะแยกแยะคำขอที่ถูกต้องตามกฎหมายของ WinRM จากคำขอหลอกลวงในบริบทนี้ได้อย่างไร
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
