Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Системное администрирование и сети

Включение нулевого/анонимного перечисления на сервере 2022

На чтение 4 мин Опубликовано

Вопрос или проблема

Я настроил тестовый домен для демонстрации, над которой работаю, и мне нужно включить перечисление пользователей с помощью netexec/rpcclient и т.д. с использованием анонимной аутентификации.

Я создал GPO с этими настройками, установил их принудительно и связал с группой контроллеров домена:

Сетевой доступ: Разрешить анонимный перевод SID/имени Включено
Сетевой доступ: Не разрешать анонимное перечисление учетных записей SAM
Отключено Сетевой доступ: Не разрешать анонимное перечисление учетных записей SAM
и общих ресурсов Отключено Сетевой доступ: Разрешить применение разрешений для всех
к анонимным пользователям Включено Сетевой доступ:
Именованные трубы, доступ к которым может быть анонимным COMNAP, COMNODE,
SQL\QUERY, LLSRPC, BROWSER, netlogon, samr Сетевой доступ:
Ограничить анонимный доступ к именованным трубам и общим ресурсам Отключено

Я также изменил эти значения реестра на DC:

restrictanonymous в HKLM\System\CurrentControlSet\Control\Lsa

restrictanonymoussam в HKLM\System\CurrentControlSet\Control\Lsa

RestrictNullSessAccess в HKLM\System\CurrentControlSet\Services\RpcSs

Однако после выполнения gpupdate /force и перезагрузки нулевая аутентификация все еще не работает. Я не администратор AD, кто-нибудь знает, что я могу упустить? Это Server 2022.

Ответ или решение

Настройка анонимного перечисления на Windows Server 2022 требует глубокой проработки множества параметров безопасности и конфигураций. Ваше стремление настроить этот процесс для демонстрационной среды отражает необходимость детального понимания инфраструктуры Active Directory и особенностей управления политиками безопасности. Рассмотрим теорию, примеры, и применение данных настроек.

Теория

Анонимное перечисление пользователей и ресурсов в среде Windows Server осуществляется через различные механизмы, такие как NetBIOS, SMB и RPC. В Windows 2000 и более поздних версиях по умолчанию настройки безопасности были ужесточены, чтобы предотвратить возможные атаки, использующие анонимное перечисление. Для обеспечения возможности анонимного перечисления на Server 2022, требуется изменить ряд политик и параметров реестра.

Пример

  1. Политики безопасности в Групповых Политиках (GPO):

    • Network access: Allow anonymous SID/Name translation (Разрешить анонимный перевод SID/имени): Позволяет анонимам отображать идентификаторы безопасности (SID) в имена учетных записей. Это необходимо включить.
    • Network access: Do not allow anonymous enumeration of SAM accounts (Запретить анонимное перечисление учетных записей SAM): Должен быть отключен, чтобы разрешить анонимное перечисление пользователей.
    • Network access: Do not allow anonymous enumeration of SAM accounts and shares (Запретить анонимное перечисление учетных записей SAM и ресурсов): Должен быть отключен.
    • Network access: Let Everyone permissions apply to anonymous users (Применение разрешений для группы "Все" к анонимным пользователям): Должен быть включен для расширения доступа.
    • Указание именованных каналов, к которым могут обращаться анонимные пользователи, включает такие как: COMNAP, COMNODE, SQL\QUERY, LLSRPC, BROWSER, netlogon, samr.
    • Network access: Restrict anonymous access to Named Pipes and Shares (Ограничить анонимный доступ к именованным каналам и ресурсам): Должен быть отключен.

  2. Параметры реестра:

    • restrictanonymous в HKLM\System\CurrentControlSet\Control\Lsa: Значение должно быть установлено на 0, что позволит более свободный доступ анонимам.
    • restrictanonymoussam в HKLM\System\CurrentControlSet\Control\Lsa: Установка на 0 разрешит анонимное перечисление SAM.
    • RestrictNullSessAccess в HKLM\System\CurrentControlSet\Services\RpcSs: Установка на 0, что разрешит полный доступ для ненулевых сессий.

Применение

Чтобы убедиться в успешной конфигурации, необходимо провести несколько проверок. В первую очередь, убедитесь, что все изменения в групповых политиках учтены системой. Для этого выполните gpupdate /force для обновления политик и перезагрузите сервер.

Проверьте корректность применения настроек через RSOP (Resultant Set of Policies) для рассмотрения всех политик, которые в конечном итоге применяются на сервер. Это позволит убедиться, что ссылки на группы политик и их принудительное применение настроены корректно.

Далее, проверьте реальные параметры реестра, чтобы убедиться в их соответствии установленным требованиям. Не забудьте проверить права учетной записи или группы, под которой осуществляется анонимный доступ, так как неправильно настроенные ACL (Access Control Lists) могут ограничивать доступ, даже если настройки системы разрешают его.

Заключительным шагом будет проверка на практике. Для сетевых протоколов, таких как LDAP, SMB или NetBIOS, можно использовать такие утилиты как rpcclient или net view, чтобы подтвердить, что анонимное перечисление действительно возможно.

Если после всех шагов анонимная авторизация и перечисление всё ещё не работает, важно обратить внимание на журналы событий системы и безопасности. Они могут содержать подсказки или ошибки, которые помогут выявить проблемы.

Настройка анонимного доступа — это баланс между необходимыми функциональными возможностями и потенциальными рисками безопасности. Несмотря на то, что ваш случай предполагает тестовую среду, всегда полезно понимать потенциальные издержки, связанные с подобными конфигурациями в продуктивной среде.

active-directory
Оцените материал
Добавить комментарий

Капча загружается...

© 2025 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности