Las claves de registro de Windows no impiden la enumeración de usuarios / grupos mediante una sesión nula

Navega tus respuestas
3

Al probar nuestro controlador de dominio de Windows (Server 2012 R2), pude usar la utilidad rpcclient de Linux para enumerar cuentas de usuarios y grupos a través de una sesión nula (vea el resultado a continuación).

Al verificar las claves de registro de Windows en el DC, confirmé que:

  • HKLM \ System \ CurrentControlSet \ Control \ Lsa \ RestrictAnonymous = 0
  • HKLM \ System \ CurrentControlSet \ Control \ Lsa \ RestrictAnonymousSAM = 1
  • HKLM \ System \ CurrentControlSet \ Control \ Lsa \ EveryoneIncludesAnonymous = 0

La prueba de los mismos comandos rpcclient en un entorno de laboratorio Server 2012 R2 DC con exactamente las mismas tres configuraciones del Registro dio como resultado un mensaje "NT_STATUS_ACCESS_DENIED", como se esperaba.

Dejando de lado la cuestión de tener habilitadas las sesiones nulas en primer lugar ... Entiendo que un valor de "1" para la tecla "RestrictAnonymousSAM" debería deshabilitar la capacidad de enumerar usuarios y grupos a través de una sesión nula, por lo que ¿Por qué todavía puedo enumerar la información del usuario usando rpcclient? Además, si la clave RestrictAnonymousSAM no es suficiente, ¿qué otros cambios son necesarios para deshabilitar completamente la enumeración de usuarios y grupos a través de sesiones nulas? 

root@linuxbox:~# rpcclient -U "" {DC IP address}
Enter 's password: {empty}
rpcclient $> querydispinfo
index: 0xad08 RID: 0x122a acb: 0x00020011 Account: 000003   Name: User1 Desc:  
index: 0xab1d RID: 0x1159 acb: 0x00000010 Account: 000004   Name: User2 Desc:  
index: 0xabdc RID: 0x65c acb: 0x00000010 Account: 000009    Name: User3 Desc: 
...[snip]...
rpcclient $> enumdomusers
user:[Administrator] rid:[0x1e5]
user:[Guest] rid:[0x1e6]
user:[krbtgt] rid:[0x1e7]
...[snip]...
rpcclient $> enumalsgroups builtin
group:[RDS Management Servers] rid:[0x252]
group:[Hyper-V Administrators] rid:[0x253]
group:[Access Control Assistance Operators] rid:[0x254]
...[snip]...
rpcclient $> enumalsgroups domain
group:[RAS and IAS Servers] rid:[0x229]
group:[Allowed RODC Password Replication Group] rid:[0x24c]
group:[Denied RODC Password Replication Group] rid:[0x24d]
...[snip]...
    
pregunta userN071337 03.03.2017 - 06:22
fuente

1 respuesta

1

Desde tecnet: enlace

  

Esta configuración de directiva no tiene impacto en los controladores de dominio.

    
respondido por el CGretski 10.01.2018 - 00:24
fuente

Lea otras preguntas en las etiquetas

¿Por qué FOCA informa sobre las vulnerabilidades de TRACE? OAuth: Acceso de larga ejecución en sistemas posteriores: ¿cómo actualizar el token?