Eu sou um administrador de sistema para uma empresa, e acabamos de realizar um Teste de Penetração em nossa rede interna, a equipe descobriu que é possível realizar consulta \ enumerar nosso DC (Server 2012) para obter informações com os seguintes comandos:
Global.exe – shows a list of users in a DA group (such as "Domain Administrators" and "Enterprise Admins"
Getpolicy.exe – shows the password policy of the domain.
Local.exe – FAILED – shows the local administrators on any individual machine.
Suas recomendações são:
Enable the "Restrict Anonymous" registry key setting on all Windows domain controllers and any other sensitive NT/2000 servers or workstations.
In order to configure the "Restrict Anonymous" setting:
·Open Regedt32.exe (Start > run > type 'regedt32' and click OK)
·Locate the following key: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
·Double Click the DWORD Value Name: 'RestrictAnonymous'
·Enter the appropriate setting according to your environment.
For Windows 2003 and later, edit the network security settings in the group policy editor.
· Network Access: Do not allow anonymous enumeration of SAM accounts and shares
· Network Access: Do not allow anonymous enumeration of SAM accounts
Disable the following settings:
· Network Access: Anonymous access to Named Pipes and Shares
· Network Access: Allow anonymous SID/Name translation
No entanto, se não me engano, já temos todas essas recomendações na configuração atual do Live GPO:
Computer configuration\Policies\Windows settings\Security Settings\Local Policies\SecurityOptions - Enabled
Network access: Restrict Anonymous access to Named Pipes and Shares
Network access: Do not allow anonymous enumeration of SAM accounts
Network access: Do not allow anonymous enumeration of SAM accounts and shares
Network access: Shares that can be accessed anonymously = nullsessionpipe - Disabled
Network access: Let Everyone permissions apply to anonymous users – Already set up on GPO
Network access: Allow anonymous SID/Name translation – Already set up on GPO
Additional mitigation we have:
Use GPO to update register with the following
HKEY\SYSTEM\CurrentControlSet\Control\Lsa:
RestrictAnonymous = 1
Restrict AnonymousSAM = 1
EveryoneIncludesAnonymous = 0
O que eles dizem é que, como nossas configurações globais estão corretas e uma das enumerações \ consultas não funcionam (local.exe), podemos ter configurações diferentes que estão sobrescrevendo essas e impedir que o invasor execute o Getpolicy. exe e Global.exe. O que poderia causar isso? Onde pode procurar para resolver isso? Se for possível simplesmente desabilitar / desabilitar completamente a Sessão Nula que também seja aceitável, no entanto, gostaria de saber como mantê-la e impedir que ela faça o que foi dito acima. Obrigada!