RMM观察与初探

工作&毕设准备做的事情，最基本的信息收集还是要有的

介绍

先看看ChatGPT怎么说;

RMM（远程监控和管理）是一种技术平台，旨在帮助IT服务提供商（MSP）远程监控和管理客户端的设备、网络和计算机。RMM可以帮助MSP深入了解客户网络，提供机器维护和更新，并主动解决问题，而无需亲自到客户的办公室。RMM的主要功能包括收集客户端信息、提供活动报告和数据、创建警报和门票（这里说的应该是票据）、跟踪网络和设备健康状况、同时监控多个端点和客户端，以及自动化计划维护任务[1]。

RMM的历史可以追溯到20世纪90年代初期，当时第一个标准网络管理工具与简单网络管理协议（SNMP）一起被广泛使用。随着技术的发展，RMM技术逐渐成熟，使得中小型企业和MSP能够利用类似于大型公司的管理服务[1]。

使用RMM的好处包括：

中小企业可以享受企业级自动化和监控的好处。

可在问题成为重大问题之前检测出来，避免系统故障。

IT服务提供商可以减少站点访问和相关成本。

客户每月支付固定费用以保持其IT系统正常运行。

通过主动维护实现最佳网络稳定性。

终端用户可以享受更长的正常运行时间，而不会在服务期间受到干扰。

设备的寿命可以通过改进的性能得到延长。

增加技术人员和最终用户的生产力。

允许MSP扩展并提供真正的24x7x365覆盖范围[1]。

RMM服务通常以每月重复收入模型定价，根据所包括的设备和服务的数量进行分层包装。MSP还需要确定是采用“每个设备”还是“每用户”定价结构，以适应不同客户的需求[1]。

通俗的话讲，就是网管+运维。有了RMM后，一些只能线下处理的活就可以在线用平台处理。

那么，问题来了

1.为什么不是Windows域控？

很明显，RMM能干的事情，Windows域控也能干。某种程度上来说，Windows域控可能更加强大（Kerberos认证实现同一个账户登录不同电脑）。实际上，一些RMM平台（比如Atera）也把Windows域控集成进去了。但RMM并不局限于Windows平台，还需要支持Linux和MacOS，其应用范围要远大于Windows域控。

2.这东西怎么看起来跟红队C2 Server/堡垒机那么像

做过内网渗透的一定不会对Cobalt Strike和Metasploit感到陌生😂就本质而言，RMM和红队C2 Server都需要在目标机器上安装Agents（客户端）实现对机器的操纵，都需要高系统权限，都有可能会被杀毒软件报毒处理。我认为，两者的技术是共通的，但C2的侧重点强调如何入侵，而RMM则要确保服务的稳定性与高性能。

插入一个题外话

当时我只是想完善一下手上的C2 Server，搜相关开发资料的时候意外的导到了一个做远程桌面的项目😮，而那个项目组正好在招人，本着多投一个不亏的想法，给该项目组发去了简历，没想到当天就回复了。

周末加急赶了一个Demo后成功进组😘

（至于是什么项目，以后有机会再说）

只能说：缘，妙不可言

由于本人没用过堡垒机，所以真的说不上堡垒机和RMM的差异。

但如果按照开源的堡垒机JumpServer的介绍，那么堡垒机应该是RMM的超集：提供RMM有的资产管理的同时，还兼具更高规格的安全审查。唯一可能有差异的地方，在于RMM的管理颗粒度更低。

3.似乎中国大陆区对RMM不太感冒?

个人感觉是这样的。在百度上搜索”Atera“（一个RMM公司），首屏大部分内容的都是关于Altera（芯片公司）的内容

而每年HW，听到最多的也是“XX堡垒机有漏洞被攻陷”，“黑入域控拿下内网”，很少听见RMM被搞事情的情况出现在复盘案例里。

而网上搜索RMM中国区的调研报告，清一色的国外产品，国内搞信创的又有新的轮子可以造了😛

个人不太看好其在国内的应：

小公司：人手一台个人笔记本就开干，不需要RMM

老国企：全是Windows域控，不需要RMM

新兴企业：统统上云，云厂商的面板足矣

学校：基本都是集采iDste的设备，硬件+软件一站式服务，不可能用开源产品

综上所述，中国大陆区确实对RMM不太感冒