Я системный администратор компании, и мы только что провели тест на проникновение в нашей внутренней сети, команда обнаружила, что можно выполнить запрос \ перечислить наш DC (Server 2012) для получения информации с помощью следующих команд:
Global.exe – shows a list of users in a DA group (such as "Domain Administrators" and "Enterprise Admins"
Getpolicy.exe – shows the password policy of the domain.
Local.exe – FAILED – shows the local administrators on any individual machine.
Их рекомендации:
Enable the "Restrict Anonymous" registry key setting on all Windows domain controllers and any other sensitive NT/2000 servers or workstations.
In order to configure the "Restrict Anonymous" setting:
·Open Regedt32.exe (Start > run > type 'regedt32' and click OK)
·Locate the following key: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
·Double Click the DWORD Value Name: 'RestrictAnonymous'
·Enter the appropriate setting according to your environment.
For Windows 2003 and later, edit the network security settings in the group policy editor.
· Network Access: Do not allow anonymous enumeration of SAM accounts and shares
· Network Access: Do not allow anonymous enumeration of SAM accounts
Disable the following settings:
· Network Access: Anonymous access to Named Pipes and Shares
· Network Access: Allow anonymous SID/Name translation
Однако, если я не ошибаюсь, у нас уже есть все эти рекомендации в текущей настройке Live GPO:
Computer configuration\Policies\Windows settings\Security Settings\Local Policies\SecurityOptions - Enabled
Network access: Restrict Anonymous access to Named Pipes and Shares
Network access: Do not allow anonymous enumeration of SAM accounts
Network access: Do not allow anonymous enumeration of SAM accounts and shares
Network access: Shares that can be accessed anonymously = nullsessionpipe - Disabled
Network access: Let Everyone permissions apply to anonymous users – Already set up on GPO
Network access: Allow anonymous SID/Name translation – Already set up on GPO
Additional mitigation we have:
Use GPO to update register with the following
HKEY\SYSTEM\CurrentControlSet\Control\Lsa:
RestrictAnonymous = 1
Restrict AnonymousSAM = 1
EveryoneIncludesAnonymous = 0
Они утверждают, что, поскольку наши глобальные настройки верны, и одно из перечислений \ запросов не работает (local.exe), у нас могут быть другие настройки, которые переопределяют их и не позволяют злоумышленнику запускать Getpolicy.exe и Global .Exe. Что могло быть причиной этого? Куда обратиться, чтобы решить эту проблему? Если можно просто полностью запретить / отключить нулевой сеанс, это также приемлемо, однако я хотел бы знать, как сохранить его и предотвратить выполнение вышеуказанного. Спасибо!