1.net user原理
net user调用打开与两个域的连接:
1.基于域的SID连接到你的AD域。
2.基于已知的SID(S-1-5-32)连接到BUILTIN域。
大多数查询是对第一个连接进行的,有一个是通过第二个连接传递的。这个传递将$YOURDOMAIN/Domain Users变成已知的BUILTIN/Domain Users(S-1-5-32-545)的原则,系统知道要特别对待它。当与BUILTIN域的连接被拒绝时,整个调用就会失败。
2.安全加固措施
方法一:
通过设置BUILTIN容器权限,实现防御。
配置:打开“Active Directory 用户和计算机” > 查看 > 高级功能,xxx.com > 右击“Builtin” > 安全 > Authenticated Users > 读取,选择拒绝(默认为:允许)
net user调用打开与两个域的连接
基于域的SID连接到你的AD域
基于已知的SID(S-1-5-32)连接到BUILTIN域
方法二:
通过组策略,将“网络访问:限制允许远程调用SAM的客户端”配置Domain Users的权限为“拒绝”。
Active Directory高级主题:
使用MITRE Shield实现Active Directory积极防御
往期精选
围观
热文
热文
本文始发于微信公众号(天御攻防实验室):Active Directory安全加固 - 防御net user信息收集
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论