Lo strumento si chiama SAMRi10 (la pronuncia inglese diventa qualcosa del tipo “samaritan”, da cui la parola Samaritano nel titolo del post) serve a proteggere i computer dalle interrogazioni remote al database SAM.
Perché è importante e quale problema si vuole risolvere? Perché il database SAM (Security Account Manager) è il luogo dove i sistemi operativi Microsoft tengono le informazioni relativamente al dominio, agli utenti, ai gruppi e altro ancora.
Ecco quindi che se in condizioni normali si può interrogare una macchina chiedendo quali sono i suoi utenti, i suoi gruppi, si tratta di informazioni che per un attaccante possono avere molto valore.
Infatti si possono ottenere anche i nomi dei computer all’interno di una rete e quindi gli hacker si possono fare una “mappa” di come è fatta la rete e possono provare ad attaccare con più facilità le loro prede (PC e server che custodiscono le informazioni chiave).
Come dicevo, ogni computer Windows utilizza il database SAM. Una volta che sono agganciati al dominio, i PC memorizzano le informazioni sugli account e sui gruppi all’interno del database SAM di dominio.
Un hacker che prende controllo di un PC (mettendoci dentro un virus o in ogni caso un software che gli permette di interrogare la rete) può utilizzare SAMR, ossia le interrogazioni remote al database, per ottenere informazioni sugli utenti e sui computer della rete.
Cosa è SAMRi10?
E’ uno strumento pensato per proteggere le informazioni immagazzinate nei SAM di dominio.
In realtà lo strumento non é null’altro che uno script Powershell.
Lo script, che va eseguito con privilegi amministrativi, funziona con Windows 10 e Windows 2016 e “fa un po’ di cose” fra le quali impedire l’esecuzione di query remote sul database SAM. Ossia impedisce che da remoto si possano ottenere informazioni sugli utenti, sui gruppi e sui computer della rete.
Questo blocco avviene lavorando una chiave di registro.
Questa chiave di registro si trova solo in Windows 10 (ecco perché questa funzionalità non è disponibile in versioni precedenti del sistema operativo).
La chiave di registro in questione è
HKLM/System/CurrentControlSet/Control/Lsa/RestrictRemoteSAM
L’utility SAMRi10 permette non solo di disabilitare la possibilità di eseguire query remote, ma anche di stabilire chi può eseguire le query remote. Infatti disabilitare completamente la funzionalità sarebbe di ostacolo agli amministratori di rete “legittimi”.
Giusto per dare un aspetto concreto e pratico a questa utility, per capire cosa fa è sufficiente controllare l’esito del comando net user /domain prima e dopo la sua applicazione.
L’immagine che segue è stata presa da un computer senza “protezione”, dove si può vedere che il comando risponde con tutte le informazioni
Dopo aver applicato la protezione, invece l’esito dello stesso comando è questo
Chi vuole proteggere le informazioni della propria rete trova le istruzioni complete per SAMRi10 e il download sul sito Technet di Microsoft.
TUTTORIALISMO.COM 