Accounts angemeldeter Windows-Nutzer für anonymous sichtbar?
Servus!
Kann mir jemand sagen, ob es von remote (selbes Subnet) möglich ist, ohne einen Login zu einem Windows 2008R2-Terminalserver zu haben, dessen angemeldete Nutzer zu sehen? Das System sollte hierbei durchaus aktuell gepatcht sein, jedoch nicht speziell gehärtet. Es hat zumindest Port 445 (SMB) und 3389 (klar, RDP) offen.
Hintergrund: ein Sicherheitstool (metasploit) warf angemeldete Nutzer aus und ich frage mich ganz simpel, ob dies mit default-Konfig überhaupt möglich sein dürfte.
Kann mir jemand sagen, ob es von remote (selbes Subnet) möglich ist, ohne einen Login zu einem Windows 2008R2-Terminalserver zu haben, dessen angemeldete Nutzer zu sehen? Das System sollte hierbei durchaus aktuell gepatcht sein, jedoch nicht speziell gehärtet. Es hat zumindest Port 445 (SMB) und 3389 (klar, RDP) offen.
Hintergrund: ein Sicherheitstool (metasploit) warf angemeldete Nutzer aus und ich frage mich ganz simpel, ob dies mit default-Konfig überhaupt möglich sein dürfte.
Please also mark the comments that contributed to the solution of the article
Content-Key: 245113
Url: https://administrator.de/contentid/245113
Printed on: April 18, 2024 at 07:04 o'clock
3 Comments
Latest comment
Moin Dagobert,
normalerweise nicht wenn du das tatsächlich mit einem nicht Admin-Konto durchgeführt hast.
http://www.offensive-security.com/metasploit-unleashed/Scanner_SMB_Auxi ...
Es gibt aber eine Einstellung die du mal in der lokalen Security-Policy des Servers überprüfen solltest:
Lokale Richtlinien > Sicherheitsoptionen > Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten nicht erlauben
Dies sollte auf Aktiviert stehen.
Grüße Uwe
normalerweise nicht wenn du das tatsächlich mit einem nicht Admin-Konto durchgeführt hast.
http://www.offensive-security.com/metasploit-unleashed/Scanner_SMB_Auxi ...
Es gibt aber eine Einstellung die du mal in der lokalen Security-Policy des Servers überprüfen solltest:
Lokale Richtlinien > Sicherheitsoptionen > Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten nicht erlauben
Dies sollte auf Aktiviert stehen.
Grüße Uwe