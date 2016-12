Mit dem kostenlosen PowerShell-Skript sollen Admins Schnüfflern den Zutritt zum Security Account Manager effektiver versperren können.

Microsoft hat das neue und kostenlose Windows-Tool SAMRi10 für Windows 10 und Windows Server 2016 veröffentlicht , mit dem Admins ihre Netzwerke härten können. Ist das PowerShell-Skript aktiv, sollen Angreifer keinen Zugriff auf den Security Account Manager (SAM) bekommen können.

Eigenen Angaben zufolge hat sich SAMRi10 in Tests bereits erfolgreich gegen Ausspähungsstools wie BloodHound und PowerSploit bewährt.

In der SAM-Datenbank sind Informationen zu allen Nutzer-Accounts abgelegt, wie etwa Listen mit Infos zu lokalen und Domain-Nutzern und Gruppen-Zugehörigkeiten. Ist ein Angreifer bereits in einem Netzwerk, kann er über diese Informationen unter Umständen eine detaillierte Karte eines Firmen-Netzwerkes erstellen, um so Angriffe auf Computer mit vermeintlich wichtigen Informationen besser planen zu können.

Seit XP bietet Windows SAM an. Im Grunde kann jeder im Netzwerk per Remote-Zugriff darüber Infos abfragen – das nennt sich SAMR. Seit dem Windows-Update auf Version 1607 hat Microsoft den Remote-Zugriff ausschließlich auf Admins eingeschränkt.

Funktionsweise

Mit dem PowerShell-Skript SAMRi10 können Admins von Windows 10 und Windows Server 2016 nun den Remote-Zugriff gezielt für einzelne Nutzer einstellen und unerwünschte Aufrufe unterbinden.

Man kann aber auch mehr Nutzern eine Abfrage erlauben: So sollen etwa auch nicht Domain-Admins per Remote-Zugriff auf SAM zugreifen können. Dabei setzt das Tool am mit Windows 10 eingeführten Registry-Eintrag HKLM/System/CurrentControlSet/Control/Lsa/RestrictRemoteSAM an.

Weitere Infos zur Funktionsweise und den Möglichkeiten von SAMRi10 findet sich auf der Microsoft-Webseite des Tools. (des)