JukEboX Asked: 2023-06-22 19:16:56 +0800 CST2023-06-22 19:16:56 +0800 CST 2023-06-22 19:16:56 +0800 CST 域控制器阻止 SAMR 请求 772 我有一个用于监控用户登录的软件。在软件中,它使用 SAMR 请求来获取用户组,以允许用户进出机器。当软件向组发出 SAMR 请求时,它看起来像是被域控制器阻止了。我想也许是来自防火墙,因为如果我将它安装在域控制器上,它就会成功。 如何测试 SAMR 请求并查看是否可以登录它,或者我需要创建哪些防火墙规则才能允许 SAMR 完成? security 1 个回答 Voted Best Answer Greg Askew 2023-06-22T19:31:18+08:002023-06-22T19:31:18+08:00 检查 RestrictRemoteSAM 注册表值。Windows 10 版本 1607 和 Windows Server 2016 中的默认设置已更改。 它也可能是策略设置“网络访问:限制允许远程调用 SAM 的客户端” https://blog.netwrix.com/2022/11/18/making-internal-reconnaissance-harder-using-netcease-and-samri1o/ https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/network-access-restrict-clients-allowed-to-make-remote-sam-calls 请注意,SAMR 与任何其他文件共享一样使用 tcp/445,因此基于主机的防火墙通常不会处理这种情况。此外,SAMR 对单个域控制器 (PDCe) 具有很高的亲和力,因此使用旧版 SAMR 协议无法扩展,并且可能会导致其他难以解决的问题持续存在。SAMR 有一个非常具体的用例,除此之外,我多年来看到的唯一用法要么是无意的(导致巨大的问题),要么是威胁行为者利用古代协议中的漏洞。
检查 RestrictRemoteSAM 注册表值。Windows 10 版本 1607 和 Windows Server 2016 中的默认设置已更改。
它也可能是策略设置“网络访问:限制允许远程调用 SAM 的客户端”
https://blog.netwrix.com/2022/11/18/making-internal-reconnaissance-harder-using-netcease-and-samri1o/
https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/network-access-restrict-clients-allowed-to-make-remote-sam-calls
请注意,SAMR 与任何其他文件共享一样使用 tcp/445,因此基于主机的防火墙通常不会处理这种情况。此外,SAMR 对单个域控制器 (PDCe) 具有很高的亲和力,因此使用旧版 SAMR 协议无法扩展,并且可能会导致其他难以解决的问题持续存在。SAMR 有一个非常具体的用例,除此之外,我多年来看到的唯一用法要么是无意的(导致巨大的问题),要么是威胁行为者利用古代协议中的漏洞。