域控制器阻止 SAMR 请求

Question

检查 RestrictRemoteSAM 注册表值。该注册表值的默认设置在 Windows 10 版本 1607 和 Windows Server 2016 中已更改。

它也可能是一个策略设置“网络访问：限制允许对 SAM 进行远程调用的客户端”

https://blog.netwrix.com/2022/11/18/making-internal-reconnaissance-harder-using-netcease-and-samri1o/

https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/network-access-restrict-clients-allowed-to-make-remote-sam-calls

请注意，SAMR 与任何其他文件共享一样使用 tcp/445，因此这通常不是基于主机的防火墙会处理的问题。此外，SAMR 对单域控制器 (PDCe) 具有很高的亲和力，因此使用旧版 SAMR 协议无法扩展，并且可能会导致其他难以解决的持续问题。SAMR 有一个非常具体的用例，除此之外，多年来我所见过的唯一用途要么是无意的（导致巨大的问题），要么是威胁行为者利用古老协议中的漏洞。

Answer 1

检查 RestrictRemoteSAM 注册表值。该注册表值的默认设置在 Windows 10 版本 1607 和 Windows Server 2016 中已更改。

它也可能是一个策略设置“网络访问：限制允许对 SAM 进行远程调用的客户端”

https://blog.netwrix.com/2022/11/18/making-internal-reconnaissance-harder-using-netcease-and-samri1o/

https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/network-access-restrict-clients-allowed-to-make-remote-sam-calls

请注意，SAMR 与任何其他文件共享一样使用 tcp/445，因此这通常不是基于主机的防火墙会处理的问题。此外，SAMR 对单域控制器 (PDCe) 具有很高的亲和力，因此使用旧版 SAMR 协议无法扩展，并且可能会导致其他难以解决的持续问题。SAMR 有一个非常具体的用例，除此之外，多年来我所见过的唯一用途要么是无意的（导致巨大的问题），要么是威胁行为者利用古老协议中的漏洞。

域控制器阻止 SAMR 请求

答案1

相关内容