none
Acceso a redes: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM RRS feed

  • Pregunta

  • ¿Cómo están gente? Les quería realizar una consulta de esta política (Acceso a redes: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM), la misma la  tengo deshabilitada y hemos tenido una llamada de atención por parte de un auditor para que la misma esté habilitada. El tema es que al habilitarla no encontramos efectos ni positivos ni negativos. También vemos que al momento de habilitarla logramos tener éxito con inicio de sesión con cuentas anónimas. ¿Cual sería el fin de dicha política? ¿cuales son los efectos positivos y negativos que se podrían encontrar al habilitar dicha política? y ¿cual podría ser una política efectiva para no poder iniciar sesión de forma anónima? Si me pueden dar una mano, se los agradecería.

    Saludos.

    jueves, 16 de abril de 2015 16:51

Respuestas

  • Hola buenas tardes,

    Es normal que te haya dicho que habilites esa política, fíjate que por defecto viene deshabilitada, hay que habilitarla para impedir que usuarios anónimos puedan obtener una lista de los nombres de las cuentas de tu dominio, y de los recursos compartidos de tu red. A tener en cuenta que puedes tener problema con los accesos a través de relaciones de confianza.

    Acceso a redes: no permitir enumeraciones anónimas de cuentas SAM

    El valor de configuración Acceso a redes: no permitir enumeraciones anónimas de cuentas SAM determina los permisos adicionales que se otorgarán para conexiones anónimas al equipo. Windows permite a los usuarios anónimos realizar determinadas actividades, como la enumeración de nombres de cuentas de dominio y recursos compartidos de red. Esto es útil, por ejemplo, cuando un administrador desea conceder acceso a usuarios en un dominio de confianza que no mantiene una confianza recíproca. Sin embargo, incluso cuando este valor de configuración está habilitado, los usuarios anónimos tendrán acceso a cualquier recurso con permisos que incluyen, de forma explícita, el grupo integrado especial INICIO DE SESIÓN ANÓNIMO.

    Nota: este valor no influye en los controladores de dominio.

    En Windows 2000, un valor de configuración similar denominado Restricciones adicionales para conexiones anónimas administraba un valor de Registro denominado RestrictAnonymous, ubicado en la clave de Registro HKLM\SYSTEM\CurrentControlSet\Control\LSA. En Windows Server 2003, las directivas Acceso a redes: no permitir enumeraciones anónimas de cuentas SAM y Acceso de red: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM sustituyen el valor de configuración de Windows 2000. Ambas se encargan de administrar los valores de Registro RestrictAnonymousSAM y RestrictAnonymous respectivamente, que se encuentran en la clave de Registro HKLM\System\CurrentControlSet\Control\Lsa\.

    Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:

    Habilitado

    Deshabilitado

    No está definido

    Vulnerabilidad

    Un usuario no autorizado puede obtener de forma anónima una lista con los nombres de cuentas y utilizar dicha información para intentar averiguar contraseñas o realizar ataques de ingeniería social. La ingeniería social es el proceso por el cual se engaña a las personas para que revelen sus contraseñas o algún tipo de información de seguridad.

    Contramedida

    Establezca el valor de configuración Acceso a redes: no permitir enumeraciones anónimas de cuentas SAM en Habilitado.

    Impacto potencial

    Resultará imposible establecer confianzas con dominios basados en NT 4.0. Del mismo modo, con este valor surgirán problemas con clientes de nivel inferior como Windows NT 3.51 y Windows 95 que intentan utilizar recursos en el servidor.

    Acceso a redes: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM

    El valor de configuración Acceso a redes: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM determina si se permitirá la enumeración anónima de cuentas y recursos compartidos del Administrador de cuentas de seguridad (SAM). Windows permite a los usuarios anónimos realizar determinadas actividades, como la enumeración de nombres de cuentas de dominio y recursos compartidos de red. Resulta útil, por ejemplo, cuando un administrador desea conceder acceso a usuarios en un dominio de confianza que no mantiene una confianza recíproca. En caso de que no quiera permitir la enumeración anónima de cuentas y recursos compartidos SAM, habilite este valor de configuración. Sin embargo, incluso cuando este valor está habilitado, los usuarios anónimos tendrán acceso a cualquier recurso con permisos que incluyen, de forma explícita, el grupo integrado especial INICIO DE SESIÓN ANÓNIMO.

    En Windows 2000, un valor de configuración similar denominado Restricciones adicionales para conexiones anónimas administraba un valor de Registro denominado RestrictAnonymous, situado en la clave de Registro HKLM\SYSTEM\CurrentControlSet\Control\LSA. En Windows Server 2003, las directivas Acceso a redes: no permitir enumeraciones anónimas de cuentas SAM y Acceso de red: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM sustituyen el valor de configuración de Windows 2000. Ambas se encargan de administrar los valores de Registro denominados RestrictAnonymousSAM y RestrictAnonymous respectivamente, que se encuentran en la clave de Registro HKLM\System\CurrentControlSet\Control\Lsa\.

    Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:

    Habilitado

    Deshabilitado

    No está definido

    Vulnerabilidad

    Un usuario no autorizado podría obtener de forma anónima una lista de los nombres de las cuentas y los recursos compartidos y utilizar dicha información para intentar averiguar contraseñas o realizar ataques de ingeniería social.

    Contramedida

    Configure Acceso a redes: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM como Habilitado.

    Impacto potencial

    No se podrá conceder acceso a usuarios de otro dominio a través de una confianza de una sola dirección, ya que los administradores del dominio de confianza no podrán enumerar listas de cuentas del otro dominio. Los usuarios con acceso anónimo a servidores de archivo e impresoras tampoco podrán enumerar los recursos compartidos de red en tales servidores, de tal modo que se deben autenticar antes de poder ver las listas de carpetas e impresoras compartidas.

    https://www.microsoft.com/spain/technet/recursos/articulos/secmod52.mspx



    Daniel Graciá - Madrid / España

    MCSA 2012, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000,ITIL Foundation v3

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn


    • Editado Dani Gracia jueves, 16 de abril de 2015 17:04
    • Propuesto como respuesta Moderador M martes, 21 de abril de 2015 15:42
    • Marcado como respuesta Moderador M jueves, 30 de abril de 2015 15:02
    jueves, 16 de abril de 2015 17:03

Todas las respuestas

  • Hola buenas tardes,

    Es normal que te haya dicho que habilites esa política, fíjate que por defecto viene deshabilitada, hay que habilitarla para impedir que usuarios anónimos puedan obtener una lista de los nombres de las cuentas de tu dominio, y de los recursos compartidos de tu red. A tener en cuenta que puedes tener problema con los accesos a través de relaciones de confianza.

    Acceso a redes: no permitir enumeraciones anónimas de cuentas SAM

    El valor de configuración Acceso a redes: no permitir enumeraciones anónimas de cuentas SAM determina los permisos adicionales que se otorgarán para conexiones anónimas al equipo. Windows permite a los usuarios anónimos realizar determinadas actividades, como la enumeración de nombres de cuentas de dominio y recursos compartidos de red. Esto es útil, por ejemplo, cuando un administrador desea conceder acceso a usuarios en un dominio de confianza que no mantiene una confianza recíproca. Sin embargo, incluso cuando este valor de configuración está habilitado, los usuarios anónimos tendrán acceso a cualquier recurso con permisos que incluyen, de forma explícita, el grupo integrado especial INICIO DE SESIÓN ANÓNIMO.

    Nota: este valor no influye en los controladores de dominio.

    En Windows 2000, un valor de configuración similar denominado Restricciones adicionales para conexiones anónimas administraba un valor de Registro denominado RestrictAnonymous, ubicado en la clave de Registro HKLM\SYSTEM\CurrentControlSet\Control\LSA. En Windows Server 2003, las directivas Acceso a redes: no permitir enumeraciones anónimas de cuentas SAM y Acceso de red: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM sustituyen el valor de configuración de Windows 2000. Ambas se encargan de administrar los valores de Registro RestrictAnonymousSAM y RestrictAnonymous respectivamente, que se encuentran en la clave de Registro HKLM\System\CurrentControlSet\Control\Lsa\.

    Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:

    Habilitado

    Deshabilitado

    No está definido

    Vulnerabilidad

    Un usuario no autorizado puede obtener de forma anónima una lista con los nombres de cuentas y utilizar dicha información para intentar averiguar contraseñas o realizar ataques de ingeniería social. La ingeniería social es el proceso por el cual se engaña a las personas para que revelen sus contraseñas o algún tipo de información de seguridad.

    Contramedida

    Establezca el valor de configuración Acceso a redes: no permitir enumeraciones anónimas de cuentas SAM en Habilitado.

    Impacto potencial

    Resultará imposible establecer confianzas con dominios basados en NT 4.0. Del mismo modo, con este valor surgirán problemas con clientes de nivel inferior como Windows NT 3.51 y Windows 95 que intentan utilizar recursos en el servidor.

    Acceso a redes: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM

    El valor de configuración Acceso a redes: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM determina si se permitirá la enumeración anónima de cuentas y recursos compartidos del Administrador de cuentas de seguridad (SAM). Windows permite a los usuarios anónimos realizar determinadas actividades, como la enumeración de nombres de cuentas de dominio y recursos compartidos de red. Resulta útil, por ejemplo, cuando un administrador desea conceder acceso a usuarios en un dominio de confianza que no mantiene una confianza recíproca. En caso de que no quiera permitir la enumeración anónima de cuentas y recursos compartidos SAM, habilite este valor de configuración. Sin embargo, incluso cuando este valor está habilitado, los usuarios anónimos tendrán acceso a cualquier recurso con permisos que incluyen, de forma explícita, el grupo integrado especial INICIO DE SESIÓN ANÓNIMO.

    En Windows 2000, un valor de configuración similar denominado Restricciones adicionales para conexiones anónimas administraba un valor de Registro denominado RestrictAnonymous, situado en la clave de Registro HKLM\SYSTEM\CurrentControlSet\Control\LSA. En Windows Server 2003, las directivas Acceso a redes: no permitir enumeraciones anónimas de cuentas SAM y Acceso de red: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM sustituyen el valor de configuración de Windows 2000. Ambas se encargan de administrar los valores de Registro denominados RestrictAnonymousSAM y RestrictAnonymous respectivamente, que se encuentran en la clave de Registro HKLM\System\CurrentControlSet\Control\Lsa\.

    Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:

    Habilitado

    Deshabilitado

    No está definido

    Vulnerabilidad

    Un usuario no autorizado podría obtener de forma anónima una lista de los nombres de las cuentas y los recursos compartidos y utilizar dicha información para intentar averiguar contraseñas o realizar ataques de ingeniería social.

    Contramedida

    Configure Acceso a redes: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM como Habilitado.

    Impacto potencial

    No se podrá conceder acceso a usuarios de otro dominio a través de una confianza de una sola dirección, ya que los administradores del dominio de confianza no podrán enumerar listas de cuentas del otro dominio. Los usuarios con acceso anónimo a servidores de archivo e impresoras tampoco podrán enumerar los recursos compartidos de red en tales servidores, de tal modo que se deben autenticar antes de poder ver las listas de carpetas e impresoras compartidas.

    https://www.microsoft.com/spain/technet/recursos/articulos/secmod52.mspx



    Daniel Graciá - Madrid / España

    MCSA 2012, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000,ITIL Foundation v3

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn


    • Editado Dani Gracia jueves, 16 de abril de 2015 17:04
    • Propuesto como respuesta Moderador M martes, 21 de abril de 2015 15:42
    • Marcado como respuesta Moderador M jueves, 30 de abril de 2015 15:02
    jueves, 16 de abril de 2015 17:03
  • Hola Daniel, sobre lo que has comentado, si algún usuario o servicio, en el que se tenga confianza, no podrá realizar este listado si se habilita esta política? Hay algún comando que te permita listar los usuarios en otro equipo (como el net user a nivel local) para corroborar que esta política efectivamente funciona. Tengo Windows Server 2008 r2

    Saludos.


    • Editado M4V3R1CK80 jueves, 30 de abril de 2015 15:15
    miércoles, 22 de abril de 2015 14:16