Logo faq-o-matic.net
Logo faq-o-matic.net

SAMRi10: Das Auflisten von Windows-Konten beschränken

4 Jan 2017
von veröffentlicht am4. Januar 2017, 06:32 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: PowerShell, Sicherheit, Windows 10, Windows Server 2016   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Windows 10 und Windows Server 2016 enthalten eine Konfigurationsänderung, die es Angreifern erschwert, neue Ziele in einem Netzwerk ausfindig zu machen und zu erreichen. Dazu ändern sie das Verhalten des SAMR-Protokolls, das es seit frühen Windows-NT-Versionen gibt.

Bislang war es jedem authentifizierten Benutzer möglich, alle Benutzerkonten eines Computers oder der Domäne aufzulisten. Das ermöglicht eine Reihe weitergehender Angriffe (ein Beispiel gibt es bei uns mit einem simplen DOS-Angriff auf eine Domäne). Dabei umgeht die hier diskutierte Methode das Active Directory und das Kerberos-Protokoll, indem es mit der alten SAM-Logik von Windows NT arbeitet.

Seit Windows 10, Version 1607, und der Release-Version von Windows Server 2016 hat sich hier die Zugriffslogik geändert, indem die Remote-Abfrage nur noch für Administratoren erlaubt ist. Ein PowerShell-Skript in der TechNet Gallery erlaubt eine granularere Steuerung:

[TechNet SAMRi10 – Hardening SAM Remote Access in Windows 10/Server 2016]
https://gallery.technet.microsoft.com/SAMRi10-Hardening-Remote-48d94b5b

Verwandte Beiträge:

  1. Windows Server 2016 ist da – ein bisschen
    Am ersten Tag der Konferenz Ignite 2016 hat Microsoft am 26. September den neuen Windows Server 2016 vorgestellt und freigegeben....
  2. Microsoft-Konten: Künftig nicht mehr mit Firmen-Mailadresse
    Microsoft hat den Prozess zum Erzeugen neuer Microsoft-Konten (früher als “Live-ID” bekannt) geändert. Künftig wird es nicht mehr möglich sein,...
  3. Update für das Bitlocker-Hyper-V-Problem in Windows 10 v1607
    Wir haben kürzlich recht intensiv über ein Problem in Version 1607 von Windows 10 berichtet, das die Bitlocker-Verschlüsselung ins Straucheln...
  4. Release-Datum für Windows Server 2016, System Center 2016 und Azure Stack
    Viele spannende Infos gab es dieser Tage auf der World Partner Konferenz in Toronto, Canada. Eine der wichtigsten Informationen war die...
  5. Active Directory: Objekte differenziert auflisten
    Dieser Beitrag erschien zuerst in Ralfs Blog. In einem Standard-AD sieht man bei Objekten drei verschiedene Leserechte, nämlich List Child...
Kurzlink zu diesem Artikel:
http://faq-o-matic.net/?p=7625
<< (neuer)
(älter) >>

© 2005-2023 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!