Al probar nuestro controlador de dominio de Windows (Server 2012 R2), pude usar la utilidad rpcclient de Linux para enumerar cuentas de usuarios y grupos a través de una sesión nula (vea el resultado a continuación).
Al verificar las claves de registro de Windows en el DC, confirmé que:
- HKLM \ System \ CurrentControlSet \ Control \ Lsa \ RestrictAnonymous = 0
- HKLM \ System \ CurrentControlSet \ Control \ Lsa \ RestrictAnonymousSAM = 1
- HKLM \ System \ CurrentControlSet \ Control \ Lsa \ EveryoneIncludesAnonymous = 0
La prueba de los mismos comandos rpcclient en un entorno de laboratorio Server 2012 R2 DC con exactamente las mismas tres configuraciones del Registro dio como resultado un mensaje "NT_STATUS_ACCESS_DENIED", como se esperaba.
Dejando de lado la cuestión de tener habilitadas las sesiones nulas en primer lugar ... Entiendo que un valor de "1" para la tecla "RestrictAnonymousSAM" debería deshabilitar la capacidad de enumerar usuarios y grupos a través de una sesión nula, por lo que ¿Por qué todavía puedo enumerar la información del usuario usando rpcclient? Además, si la clave RestrictAnonymousSAM no es suficiente, ¿qué otros cambios son necesarios para deshabilitar completamente la enumeración de usuarios y grupos a través de sesiones nulas?
root@linuxbox:~# rpcclient -U "" {DC IP address}
Enter 's password: {empty}
rpcclient $> querydispinfo
index: 0xad08 RID: 0x122a acb: 0x00020011 Account: 000003 Name: User1 Desc:
index: 0xab1d RID: 0x1159 acb: 0x00000010 Account: 000004 Name: User2 Desc:
index: 0xabdc RID: 0x65c acb: 0x00000010 Account: 000009 Name: User3 Desc:
...[snip]...
rpcclient $> enumdomusers
user:[Administrator] rid:[0x1e5]
user:[Guest] rid:[0x1e6]
user:[krbtgt] rid:[0x1e7]
...[snip]...
rpcclient $> enumalsgroups builtin
group:[RDS Management Servers] rid:[0x252]
group:[Hyper-V Administrators] rid:[0x253]
group:[Access Control Assistance Operators] rid:[0x254]
...[snip]...
rpcclient $> enumalsgroups domain
group:[RAS and IAS Servers] rid:[0x229]
group:[Allowed RODC Password Replication Group] rid:[0x24c]
group:[Denied RODC Password Replication Group] rid:[0x24d]
...[snip]...