Gestione IT

Il buon samaritano che protegge le informazioni di rete

20 Dicembre 2016

Microsoft ha rilasciato da poco uno strumento dedicato ai sistemisti il cui scopo è proteggere le reti dai cosiddetti reconnaissance attack, ossia quegli attacchi mirati in cui prima dell’attacco vero e proprio viene fatta una “ricognizione” del territorio per capire dove e come è possibile sferrare l’attacco.

Lo strumento si chiama SAMRi10 (la pronuncia inglese diventa qualcosa del tipo “samaritan”, da cui la parola Samaritano nel titolo del post) serve a proteggere i computer dalle interrogazioni remote al database SAM.

Perché è importante e quale problema si vuole risolvere? Perché il database SAM (Security Account Manager) è il luogo dove i sistemi operativi Microsoft tengono le informazioni relativamente al dominio, agli utenti, ai gruppi e altro ancora.
Ecco quindi che se in condizioni normali si può interrogare una macchina chiedendo quali sono i suoi utenti, i suoi gruppi, si tratta di informazioni che per un attaccante possono avere molto valore.
Infatti si possono ottenere anche i nomi dei computer all’interno di una rete e quindi gli hacker si possono fare una “mappa” di come è fatta la rete e possono provare ad attaccare con più facilità le loro prede (PC e server che custodiscono le informazioni chiave).

Come dicevo, ogni computer Windows utilizza il database SAM. Una volta che sono agganciati al dominio, i PC memorizzano le informazioni sugli account e sui gruppi all’interno del database SAM di dominio.
Un hacker che prende controllo di un PC (mettendoci dentro un virus o in ogni caso un software che gli permette di interrogare la rete) può utilizzare SAMR, ossia le interrogazioni remote al database, per ottenere informazioni sugli utenti e sui computer della rete.

Cosa è SAMRi10?

E’ uno strumento pensato per proteggere le informazioni immagazzinate nei SAM di dominio.
In realtà lo strumento non é null’altro che uno script Powershell.

Lo script, che va eseguito con privilegi amministrativi, funziona con Windows 10 e Windows 2016 e "fa un po’ di cose" fra le quali impedire l’esecuzione di query remote sul database SAM. Ossia impedisce che da remoto si possano ottenere informazioni sugli utenti, sui gruppi e sui computer della rete.

Questo blocco avviene lavorando una chiave di registro.
Questa chiave di registro si trova solo in Windows 10 (ecco perché questa funzionalità non è disponibile in versioni precedenti del sistema operativo).

La chiave di registro in questione è
HKLM/System/CurrentControlSet/Control/Lsa/RestrictRemoteSAM
 
L'utility SAMRi10 permette non solo di disabilitare la possibilità di eseguire query remote, ma anche di stabilire chi può eseguire le query remote. Infatti disabilitare completamente la funzionalità sarebbe di ostacolo agli amministratori di rete "legittimi".
 
Giusto per dare un aspetto concreto e pratico a questa utility, per capire cosa fa è sufficiente controllare l'esito del comando net user /domain  prima e dopo la sua applicazione.
 
L'immagine che segue è stata presa da un computer senza "protezione", dove si può vedere che il comando risponde con tutte le informazioni
 

 

 
Dopo aver applicato la protezione, invece l’esito dello stesso comando è questo
 

 
Chi vuole proteggere le informazioni della propria rete trova le istruzioni complete per SAMRi10 e il download sul sito Technet di Microsoft.

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.