Eu tenho um software que é usado para monitorar logins de usuários. No software, ele usa uma solicitação SAMR para obter grupos de usuários para permitir que os usuários entrem e saiam da máquina. Quando o software faz uma solicitação SAMR para os grupos, parece que está sendo bloqueado pelo controlador de domínio. Acho que talvez do firewall, porque se eu instalá-lo no controlador de domínio, ele será bem-sucedido.
Como posso testar a solicitação SAMR e ver se consigo fazer logon nela ou quais regras de firewall preciso criar para permitir que o SAMR seja concluído?
Verifique o valor do registro RestrictRemoteSAM. As configurações padrão para isso foram alteradas no Windows 10 versão 1607 e no Windows Server 2016.
Também pode ser uma configuração de política "Acesso à rede: restringir clientes com permissão para fazer chamadas remotas para SAM"
https://blog.netwrix.com/2022/11/18/making-internal-reconnaissance-harder-using-netcease-and-samri1o/
https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/network-access-restrict-clients-allowed-to-make-remote-sam-calls
Observe que o SAMR usa tcp/445 como qualquer outro compartilhamento de arquivo, portanto, isso normalmente não é algo com o qual o firewall baseado em host lidaria. Além disso, o SAMR tem uma alta afinidade para um único controlador de domínio (PDCe), portanto, usar o protocolo SAMR herdado não escala e pode causar outros problemas difíceis de resolver que persistem. O SAMR tem um caso de uso muito específico e, além disso, o único uso que vi ao longo dos anos foi inadvertido (o que causa grandes problemas) e agentes de ameaças explorando vulnerabilidades em protocolos antigos.