Logo faq-o-matic.net
Logo faq-o-matic.net

SAMRi10: Das Auflisten von Windows-Konten beschränken

von veröffentlicht am4. Januar 2017, 06:32 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: PowerShell, Sicherheit, Windows 10, Windows Server 2016   Translate with Microsoft Translator Translate EN   Die angezeigte Seite drucken

Windows 10 und Windows Server 2016 enthalten eine Konfigurationsänderung, die es Angreifern erschwert, neue Ziele in einem Netzwerk ausfindig zu machen und zu erreichen. Dazu ändern sie das Verhalten des SAMR-Protokolls, das es seit frühen Windows-NT-Versionen gibt.

Bislang war es jedem authentifizierten Benutzer möglich, alle Benutzerkonten eines Computers oder der Domäne aufzulisten. Das ermöglicht eine Reihe weitergehender Angriffe (ein Beispiel gibt es bei uns mit einem simplen DOS-Angriff auf eine Domäne). Dabei umgeht die hier diskutierte Methode das Active Directory und das Kerberos-Protokoll, indem es mit der alten SAM-Logik von Windows NT arbeitet.

Seit Windows 10, Version 1607, und der Release-Version von Windows Server 2016 hat sich hier die Zugriffslogik geändert, indem die Remote-Abfrage nur noch für Administratoren erlaubt ist. Ein PowerShell-Skript in der TechNet Gallery erlaubt eine granularere Steuerung:

[TechNet SAMRi10 – Hardening SAM Remote Access in Windows 10/Server 2016]
https://gallery.technet.microsoft.com/SAMRi10-Hardening-Remote-48d94b5b

© 2005-2017 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!