Acesso à rede: restringir clientes autorizados a fazer chamadas remotas ao SAM
Aplicável a
- Windows 10
- Windows 8.1
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
A configuração de política de segurança Acesso à rede: restringir clientes autorizados a fazer chamadas remotas ao SAM determina quais usuários podem enumerar usuários e grupos no banco de dados do Gerenciador de Contas de Segurança (SAM) local e no Active Directory. A configuração foi suportada pela Windows 10 versão 1607 e Windows Server 2016 (RTM) e pode ser configurada em sistemas operacionais de cliente e servidor Windows anteriores.
Este artigo descreve os valores padrão para essa configuração de política de segurança em diferentes versões do Windows. Por padrão, os computadores a partir do Windows 10 versão 1607 e Windows Server 2016 são mais restritivos do que as versões anteriores do Windows. Essa característica restritiva significa que, se você tiver uma combinação de computadores, como servidores membros que executam o Windows Server 2016 e o Windows Server 2012 R2, os servidores que executam o Windows Server 2016 poderão não enumerar contas por padrão em que os servidores executados Windows Server 2012 R2 bem-sucedido.
Este artigo também aborda eventos relacionados e como habilitar o modo de auditoria antes de restringir as entidades de segurança que têm permissão para enumerar remotamente usuários e grupos para que seu ambiente permaneça seguro sem afetar a compatibilidade do aplicativo.
Observação
A implementação dessa política pode afetar a geração de catálogo de endereços offline em servidores que executam o Microsoft Exchange 2016 ou o Microsoft Exchange 2013.
Referência
O protocolo SAMRPC torna possível para um usuário com poucos privilégios consultar um computador em uma rede em busca de dados. Por exemplo, um usuário pode usar o SAMRPC para enumerar usuários, incluindo contas privilegiadas como administradores locais ou de domínio, ou grupos e associações de grupo do Active Directory e do SAM local. Essas informações podem fornecer contexto importante e servir como ponto de partida para um invasor comprometer um ambiente de rede ou um domínio.
Para minimizar esse risco, você pode definir a configuração da política de segurança Acesso à rede: restringir clientes autorizados a fazer chamadas remotas ao SAM para forçar o gerente de contas de segurança (SAM) a fazer uma verificação de acesso nas chamadas remotas. A verificação de acesso permite ou nega conexões RPC remotas ao SAM e ao Active Directory para os usuários e os grupos definidos.
Por padrão, o acesso à rede: os clientes com permissão para fazer chamadas remotas para a configuração de política de segurança SAM não estão definidos. Se você defini-la, poderá editar a cadeia de caracteres SDDL (idioma de definição do descritor de segurança) padrão para permitir ou negar explicitamente que usuários e grupos façam chamadas remotas ao SAM. Se a configuração de política for deixada em branco depois que a política for definida, a política não será imposta.
O descritor de segurança padrão nos computadores a partir do Windows 10 versão 1607 e do Windows Server 2016 permite que apenas o grupo de administradores local (interno) acesse remotamente o SAM em controladores que não são do domínio, e permite que todos acessem os controladores de domínio. Você pode editar o descritor de segurança padrão para permitir ou negar outros usuários e grupos, inclusive os administradores internos.
O descritor de segurança padrão em computadores que executam versões anteriores do Windows não restringe nenhuma chamada remota ao SAM, mas um administrador pode editar o descritor de segurança para impor restrições. Esse padrão menos restritivo permite testar o efeito de habilitar restrições em aplicativos existentes.
Nomes de registro e política
| Descrição | |
|---|---|
| Nome da política | Acesso à rede: restringir clientes autorizados a fazer chamadas remotas ao SAM |
| Local | Configuração do Computador|Configurações do Windows|Configurações de Segurança|Políticas Locais|Opções de Segurança |
| Valores possíveis | - Não definido - Definido, juntamente com o descritor de segurança para usuários e grupos que podem ou não usar o SAMRPC para acessar remotamente o SAM local ou o Active Directory. |
| Local do Registro | HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\RestrictRemoteSam |
| Tipo de Registro | REG_SZ |
| Valor do Registro | Uma cadeia de caracteres que conterá o SDDL do descritor de segurança a ser implantado. |
A configuração da Política de Grupo só está disponível em computadores que executam o Windows Server 2016 ou o Windows 10, versão 1607 e posteriores. Esses computadores são a única opção para definir essa configuração usando uma interface do usuário.
Em computadores que executam versões anteriores do Windows, você precisará editar a configuração do Registro diretamente ou usar as Preferências da Política de Grupo. Para evitar defini-la manualmente nesse caso, configure o GPO em um computador que execute o Windows Server 2016 ou o Windows 10, versão 1607 ou posterior e faça com que ele seja aplicado a todos os computadores do escopo do GPO, pois a mesma chave do Registro constará em todos os computadores após a instalação da base de dados de conhecimento correspondente.
Observação
Essa política é implementada da mesma forma em outras políticas de "Acesso à rede" em que há um elemento de política no caminho do Registro listado. Não há nenhuma noção de política local versus política corporativa; há apenas uma configuração de política, a que for gravada primeiro terá precedência.
Por exemplo, suponhamos que um administrador local defina essa configuração como parte de uma política local usando o snap-in de Política de Segurança Local (Secpol.msc), que edita esse mesmo caminho do Registro. Se um administrador corporativo definir essa configuração como parte de um GPO corporativo, este substituirá o mesmo caminho do Registro.
Valores padrão
A partir do Windows 10, versão 1607 e do Windows Server 2016, os computadores têm valores padrão codificados e mais restritivos do que as versões anteriores do Windows. Os diferentes valores padrão ajudam a atingir um equilíbrio em que as versões recentes do Windows são mais seguras por padrão e as versões mais antigas não passam por nenhuma alteração de comportamento de interrupção. Os administradores podem testar se aplicar a mesma restrição a versões anteriores do Windows causará problemas de compatibilidade em aplicativos existentes antes de implementar essa configuração de política de segurança em um ambiente de produção.
Em outras palavras, o hotfix em cada artigo da base de dados de conhecimento oferece o código e a funcionalidade necessários, mas você precisa configurar a restrição após instalar o hotfix; por padrão, nenhuma restrição é habilitada depois que o hotfix é instalado em versões anteriores do Windows.
| SDDL padrão | SDDL traduzido | Comentários | |
|---|---|---|---|
| Windows Server 2016 (ou posterior) controlador de domínio (lendo o Active Directory) | "" | - | Todos têm permissões de leitura para preservar a compatibilidade. |
| Controlador de domínio anterior | - | - | Nenhuma verificação de acesso é realizada por padrão. |
| Windows 10, versão 1607 (ou posterior) não controlador de domínio | O:SYG:SYD:(A;;RC;;;BA) |
Proprietário: NTAUTHORITY/SYSTEM (WellKnownGroup) (S-1-5-18) Grupo primário: NTAUTHORITY/SYSTEM (WellKnownGroup) (S-1-5-18) DACL: - Revisão: 0x02 - Tamanho: 0x0020 - Contagem de aces: 0x001 - Ace[00]------------------------- AceType:0x00 (ACCESS_ALLOWED_ACE_TYPE) AceSize:0x0018 InheritFlags:0x00 Máscara de Acesso:0x00020000 AceSid: BUILTIN\Administrators (Alias) (S-1-5-32-544) SACL: Not present |
Concede acesso RC (READ_CONTROL, também conhecido como STANDARD_RIGHTS_READ) apenas a membros do grupo de administradores local (interno). |
| Controlador anterior que não é do domínio | - | - | Nenhuma verificação de acesso é realizada por padrão. |
Gerenciamento de políticas
Esta seção explica como configurar o modo somente auditoria, como analisar os eventos relacionados registrados em log quando a configuração de política de segurança Acesso à rede: restringir clientes autorizados a fazer chamadas remotas ao SAM está habilitada e como configurar a limitação de evento para evitar a saturação do log de eventos.
Modo somente auditoria
O modo somente auditoria configura o protocolo SAMRPC para fazer a verificação de acesso no descritor de segurança configurado no momento, mas não falhará na chamada se a verificação de acesso falhar. Em vez disso, a chamada será permitida, mas o SAMRPC registrará um evento descrevendo o que teria acontecido se o recurso tivesse sido habilitado. Esse modo fornece aos administradores uma maneira de testar seus aplicativos antes de habilitar a política em produção. O modo somente auditoria não está configurado por padrão. Para configurá-lo, adicione a seguinte configuração do Registro.
| Registro | Detalhes |
|---|---|
| Caminho | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa |
| Configuração | RestrictRemoteSamAuditOnlyMode |
| Tipo de dados | REG_DWORD |
| Valor | 1 |
| Observações | Essa configuração não pode ser adicionada ou removida usando configurações Política de Grupo predefinida. Os administradores podem criar uma política personalizada para definir o valor do Registro, se necessário. O SAM responde dinamicamente às alterações nesse valor do Registro sem uma reinicialização. |
Eventos relacionados
Há eventos correspondentes que indicam quando as chamadas remotas ao SAM serão restringidas, quais contas tentaram ler o banco de dados SAM e muito mais. O fluxo de trabalho a seguir é recomendado para identificar os aplicativos que podem ser afetados pela restrição de chamadas remotas ao SAM:
- Despeje logs de eventos em um compartilhamento comum.
- Clique com o botão direito do mouse no log do sistema, selecione Filtrar Log Atual e especifique
16962-16969no campo IDs de Evento. - Examine as IDs de Evento 16962 a 16969, conforme listado na tabela a seguir, com a origem do evento Directory-Service-SAM.
- Identifique quais contextos de segurança estão enumerando usuários ou grupos no banco de dados SAM.
- Priorize os chamadores, determine se eles devem ter permissão ou não e, em seguida, inclua os chamadores permitidos na cadeia de caracteres SDDL.
| ID do evento | Texto de mensagem do evento | Explicação |
|---|---|---|
| 16962 | "As chamadas remotas ao banco de dados SAM estão sendo restringidas por meio do descritor de segurança padrão: %1.%n " %2- "Cadeia de caracteres do SD padrão:" |
Emite o evento quando o SDDL do Registro está ausente, o que ocasionará o fallback no SDDL codificado padrão (o evento deve incluir uma cópia do SDDL padrão). |
| 16963 | Texto da mensagem: "As chamadas remotas ao banco de dados SAM estão sendo restringidas por meio do descritor de segurança do Registro configurado: %1.%n" %1 - "Cadeia de caracteres do SD do Registro:" |
Emite evento quando um novo SDDL é lido no Registro (seja na inicialização ou na alteração) e é considerado válido. O evento inclui a origem e uma cópia do SDDL consultado. |
| 16964 | "O formato do descritor de segurança do Registro é inválido: %1.%n As chamadas remotas ao banco de dados SAM estão sendo restringidas por meio do descritor de segurança padrão: %2.%n" %1- "Cadeia de Caracteres do SD Inválido:" %2- "Cadeia de Caracteres do SD Padrão:" |
Emite o evento quando o SDDL do Registro é inválido, o que ocasionará o fallback no SDDL codificado padrão (o evento deve incluir uma cópia do SDDL padrão). |
| 16965 | Texto da mensagem: "Uma chamada remota ao banco de dados SAM foi negada.%nSID do Cliente: %1%n Endereço de rede: %2%n" %1- "SID do Cliente:" %2- "Endereço de Rede do Cliente |
Emite evento quando o acesso é negado a um cliente remoto. O evento deve incluir a identidade e o endereço de rede do cliente. |
| 16966 | O modo de auditoria está habilitado- Texto da mensagem: "Agora, o modo Somente auditoria está habilitado para chamadas remotas ao banco de dados SAM. O SAM registrará um evento para clientes que tiverem o acesso negado no modo normal. %n" |
Emite evento sempre que o modo de treinamento (consulte o evento 16968) é habilitado ou desabilitado. |
| 16967 | O modo de auditoria está desabilitado- Texto da mensagem: "Agora, o modo Somente auditoria está desabilitado para chamadas remotas ao banco de dados SAM.%n Para obter mais informações" |
Emite evento sempre que o modo de treinamento (consulte o evento 16968) é habilitado ou desabilitado. |
| 16968 | Texto da mensagem: "Audit only mode is currently enabled for remote calls to the SAM database.%n The following client would have been normally denied access:%nClient SID: %1 from network address: %2. %n" %1- "SID do Cliente:" %2- "Endereço de Rede do Cliente:" |
Emite evento quando o acesso é negado a um cliente remoto, mas permitido devido à habilitação do modo de treinamento. O evento deve incluir a identidade e o endereço de rede do cliente. |
| 16969 | Texto da mensagem: "%2 chamadas remotas para o banco de dados SAM foram negadas na última janela de limitação de %1 segundos.%n "%1- "Período de limitação:" %2- "Número de Mensagens Suprimidas:" |
Talvez seja necessária a limitação em alguns eventos devido ao alto volume esperado em alguns servidores que estão ocasionando o encapsulamento do log de eventos. Observação: não há limitação de eventos quando o modo de auditoria está habilitado. Ambientes com um grande número de consultas anônimas e de baixos privilégios do banco de dados remoto podem ver um grande número de eventos registrados no log do sistema. Para obter mais informações, consulte a seção Limitação de eventos. |
Compare o contexto de segurança que está tentando enumerar contas remotamente com o descritor de segurança padrão. Em seguida, edite o descritor de segurança para adicionar contas que exijam acesso remoto.
Limitação de evento
Um servidor ocupado pode saturar logs de eventos com os eventos relacionados à verificação de acesso remoto de enumeração. Para evitar isso, os eventos de acesso negado são registrados uma vez a cada 15 minutos por padrão. A duração desse período é controlado pelo valor do Registro a seguir.
| Caminho do Registro | HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ |
|---|---|
| Configuração | RestrictRemoteSamEventThrottlingWindow |
| Tipo de Dados | DWORD |
| Valor | segundos |
| Reinicialização Necessária? | Não |
| Observações | O padrão é 900 segundos (15 minutos). A limitação usa um contador de eventos suprimidos que começa em 0 e é incrementado durante a janela de limitação. Por exemplo, X eventos foram suprimidos nos últimos 15 minutos. O contador é reiniciado depois que o evento 16969 é registrado. |
Requisito de reinicialização
As reinicializações não são necessárias para habilitar, desabilitar ou modificar o acesso à rede: restrinja os clientes com permissão para fazer chamadas remotas à configuração de política de segurança SAM , incluindo o modo somente auditoria. As alterações se tornam efetivas sem uma reinicialização do dispositivo quando são salvas localmente ou distribuídas por meio de Política de Grupo.
Considerações de segurança
Esta seção descreve como um invasor pode explorar um recurso ou sua configuração, como implementar a contramedida e as possíveis consequências negativas da implementação da contramedida.
Vulnerabilidade
O protocolo SAMRPC tem uma postura de segurança padrão que torna possível para os invasores com baixos privilégios consultar um computador na rede em busca de dados que são fundamentais para seus planos de penetração e invasão.
O exemplo a seguir ilustra como um invasor pode explorar a enumeração SAM remota:
- Um invasor com baixos privilégios ganha destaque em uma rede.
- Em seguida, o invasor consulta todos os computadores da rede para determinar quais têm um usuário de domínio altamente privilegiado configurado como um administrador local nesse computador.
- Se o invasor puder, encontre qualquer outra vulnerabilidade nesse computador que permita assumi-la, o invasor poderá então se alocar no computador aguardando o usuário com privilégios elevados entrar e, em seguida, roubar ou representar essas credenciais.
Contramedida
Você pode minimizar essa vulnerabilidade habilitando a configuração de política de segurança Acesso à rede: restringir clientes autorizados a fazer chamadas remotas ao SAM e configurando o SDDL apenas para as contas que têm permissão explícita de acesso.
Possível efeito
Se a política for definida, as ferramentas de administração, os scripts e o software que anteriormente enumeravam usuários, grupos e associações de grupo poderão apresentar falha. Para identificar as contas que podem ser afetadas, teste essa configuração no modo somente auditoria.
Próximas etapas
Comentários
Submeter e ver comentários