Le chiavi del Registro di sistema di Windows non impediscono l'enumerazione di utenti / gruppi tramite sessione nulla

3

Durante il test del nostro controller di dominio Windows (Server 2012 R2), ero in grado di utilizzare l'utilità Linux rpcclient per enumerare account e gruppi utente tramite una sessione Null (vedere l'output sotto).

Controllando le chiavi del Registro di sistema di Windows sul controller di dominio, ho confermato che:

  • HKLM \ System \ CurrentControlSet \ Control \ Lsa \ RestrictAnonymous = 0
  • HKLM \ System \ CurrentControlSet \ Control \ Lsa \ RestrictAnonymousSAM = 1
  • HKLM \ System \ CurrentControlSet \ Control \ Lsa \ EveryoneIncludesAnonymous = 0

Test degli stessi comandi rpcclient contro un ambiente di laboratorio Server 2012 R2 DC con le stesse identiche tre impostazioni del Registro di sistema ha dato come risultato un messaggio "NT_STATUS_ACCESS_DENIED".

Mettere da parte il problema di abilitare Null Sessions in primo luogo ... La mia comprensione è che un valore di "1" per la chiave "RestrictAnonymousSAM" dovrebbe disabilitare la possibilità di enumerare utenti e gruppi tramite una sessione Null, quindi perché sono ancora in grado di enumerare le informazioni utente usando rpcclient? Inoltre, se la chiave RestrictAnonymousSAM è insufficiente, quali altre modifiche sono necessarie per disabilitare completamente l'enumerazione di utenti e gruppi tramite Null Session?

root@linuxbox:~# rpcclient -U "" {DC IP address}
Enter 's password: {empty}
rpcclient $> querydispinfo
index: 0xad08 RID: 0x122a acb: 0x00020011 Account: 000003   Name: User1 Desc:  
index: 0xab1d RID: 0x1159 acb: 0x00000010 Account: 000004   Name: User2 Desc:  
index: 0xabdc RID: 0x65c acb: 0x00000010 Account: 000009    Name: User3 Desc: 
...[snip]...
rpcclient $> enumdomusers
user:[Administrator] rid:[0x1e5]
user:[Guest] rid:[0x1e6]
user:[krbtgt] rid:[0x1e7]
...[snip]...
rpcclient $> enumalsgroups builtin
group:[RDS Management Servers] rid:[0x252]
group:[Hyper-V Administrators] rid:[0x253]
group:[Access Control Assistance Operators] rid:[0x254]
...[snip]...
rpcclient $> enumalsgroups domain
group:[RAS and IAS Servers] rid:[0x229]
group:[Allowed RODC Password Replication Group] rid:[0x24c]
group:[Denied RODC Password Replication Group] rid:[0x24d]
...[snip]...
    
posta userN071337 03.03.2017 - 06:22
fonte

1 risposta

1

Da technet: link

This policy setting has no impact on domain controllers.

    
risposta data 10.01.2018 - 00:24
fonte

Leggi altre domande sui tag