Я обнаружил уязвимость в своей сети;
(проявите терпение, так как я работаю всего 2 недели и все еще прохожу обучение).
Любой пользователь конечной точки (независимо от разрешений) может выполнить команду NET USER /domain и просмотреть всех пользователей в домене. Даже если доступ к командной строке отключен, это можно обойти, создав файл блокнота с COMMAND.COM и создав пакетный файл. Мы не можем отключить пакетные файлы, поскольку они активно используются пользователями конечной точки для обычных задач.
К сожалению, эта команда показывает все имена пользователей наших различных тестовых аккаунтов. Многие из этих тестовых аккаунтов имеют очень простые пароли и часто имеют те же пароли, что и имена пользователей. Таких тестовых аккаунтов буквально сотни, и было бы очень неудобно менять пароли/удалять устаревшие аккаунты.
Многие из этих тестовых учетных записей имеют повышенные/административные привилегии (не спрашивайте меня почему, похоже, готовится серьезная утечка).
Есть ли способ предотвратить запуск команды net user /domain? Я знаю, что можно проверить, кто запускал запросы домена, но это на самом деле не предотвращает уязвимость.
решение1
Руководство по ограничению этого:https://www.adamcouch.co.uk/disable-domain-user-enumeration/