Ferramenta SAMRi10 promete ajudar a proteger redes corporativas

Os pesquisadores Itai Grady e Tal Be’ery, da Microsoft, lançaram hoje a ferramenta SAMRi10. Ela foi criada para ajudar a proteger redes corporativas contra certos ataques.

Pesquisadores da Microsoft lançam ferramenta SAMRi10

A ferramenta SAMRi10 (ou Samaritan) foi criada para aumentar a segurança do Windows contra consultas SAMR (Security Account Manager Remote), que permitem que atacantes obtenham uma lista de usuários locais e de domínios, e outras informações.

Atacantes de posse destas informações dentro de um ambiente corporativo poderia utilizá-las para criar um “mapa virtual” da rede que poderia ajudá-lo a identificar possíveis computadores ou servidores como potenciais alvos de ataques.

Os administradores com certeza já sabem disso, mas SAM ou Windows Security Account Manager é um banco de dados que contém todas as informações sobre as contas dos usuários. SAMR é o ato de consultar remotamente um banco de dados SAM.

Todos os computadores com Windows suportam SAM. Computadores que fazem parte de um domínio armazenam informações sobre suas contas no banco de dados SAM do domínio. Eles então usam SAMR para consultar remotamente o banco de dados SAM para obter informações sobre seus usuários ou sobre usuários em outros computadores/servidores.

A ferramenta SAMRi10 ajuda a proteger principalmente computadores com Windows em rede que fazem parte de um domínio. A ferramenta basicamente é um script do PowerShell que os administradores podem executar nos computadores em uma rede.

A ferramenta deve ser executada com privilégios administrativos e é compatível apenas com o Windows 10 e com o Windows Server 2016.

A ferramenta SAMRi10 automatiza uma série de operações e limita a capacidade de execução de consultas SAMR para informações de usuários no mesmo domínio.

Ela faz isso editando uma chave no Registro do Windows que controla o acesso remoto aos bancos de dados SAM. Esta chave foi introduzida no Windows 10 e não é encontrada em versões anteriores.

A chave editada pela ferramenta é esta:

HKLM/System/CurrentControlSet/Control/Lsa/RestrictRemoteSAM

Os administradores podem fazer o download da ferramenta e obter informações mais técnicas sobre ela neste link.

Pesquisadores da Microsoft lançam ferramenta SAMRi10

via Baboo

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *