Услуги и партнеры SAM

В рамках SAM-сервиса Microsoft работает вместе с партнерами, чтобы помочь своим клиентам наладить максимально эффективное управление программными активами. Все SAM-партнеры проходят сертификацию в MPN (Сеть Партнеров Microsoft), чтобы подтвердить свои компетенции и глубокий уровень знаний в области SAM.

SAM отвечает потребностям вашего бизнеса

SAM — важный элемент, который позволяет улавливать современные тренды ИТ-индустрии. Через сеть партнеров Microsoft предлагает различные типы SAM-проектов, которые помогают повысить прозрачность вашей ИТ-инфраструктуры и наладить контроль за использованием программного обеспечения.

• Базовый SAM-проект
• Подготовка к переходу в облако
• Оценка кибербезопасности
• Управление мобильными устройствами
• Управление непроизводственными средами
• Оценка рабочих нагрузок SQL
• Управление виртуализацией
• Хостинг (SPLA)

Эксперты к вашим услугам

Реализация SAM-проекта может быть довольно сложной вне зависимости от ее масштабов. Особенно в том случае, если ваша компания не использует никаких способов управления ПО и развернутыми лицензиями, и если у вас в ИТ-парке много настольных ПК, мобильных устройств и серверов. К счастью, есть много партнеров Microsoft, готовых вам помочь.

Преимущества SAM-партнеров Microsoft

• Помогает вашему ИТ-отделу прогнозировать и контролировать расходы на ИТ по мере роста компании.
• Выделяет активы, которые недостаточно используются, и которые можно оптимизировать.
• Помогает с инвентаризацией ПО и аппаратного обеспечения, отслеживает состояние лицензий, следит за политиками и процедурами по вопросам закупок и развертывания ПО, а также много другое.

Сертификаты SAM

• Координация сбора и оценки текущего состояния вашего развернутого ПО и лицензирования.
• Создание и совершенствование вашей SAM-программы
• Предоставление рекомендаций по политикам приобретения, развертывания и прекращения использования активов ПО
• Оптимизации программных активов на основе полученных данные о развертывании

Участие партнера в управлении программными активами

Партнер будет координировать ваше участие в проекте по управлению программными активами в зависимости от ваших задач и потребностей. Партнеры всегда следуют общим положениям о взаимодействии и делятся ценными для вас данными во время работы над проектом и после его окончания.

Подробная информации о проведении SAM-проекта доступна в разделе Участие в SAM , вы также можете загрузить дополнительные документы.

Участие партнера в управлении программными активами

Выбирая партнера, не стесняйтесь задавать ему вопросы. Например:

Сетевой доступ: ограничить доступ клиентов, которым разрешены удаленные вызовы SAM Network access: Restrict clients allowed to make remote calls to SAM

Область применения Applies to

• Windows 10, версия 1607 и более поздние Windows 10, version 1607 and later
• Windows 10, версия 1511 с установленным компонентом KB 4103198 Windows 10, version 1511 with KB 4103198 installed
• Windows 10, версия 1507 с установленным компонентом KB 4012606 Windows 10, version 1507 with KB 4012606 installed
• Windows 8.1 с установленным компонентом KB 4102219 Windows 8.1 with KB 4102219 installed
• Windows 7 с установленным компонентом KB 4012218 Windows 7 with KB 4012218 installed
• WindowsServer2019 Windows Server 2019
• WindowsServer2016 Windows Server 2016
• Windows Server 2012 R2 с установленным компонентом KB 4012219 Windows Server 2012 R2 withKB 4012219 installed
• Windows Server 2012 с установленным компонентом KB 4012220 Windows Server 2012 with KB 4012220 installed
• Windows Server 2008 R2 с установленным компонентом KB 4012218 Windows Server 2008 R2 with KB 4012218 installed

Параметр политики безопасности Сетевой доступ: ограничить доступ клиентов, которым разрешены удаленные вызовы SAM контролирует, какие пользователи могут перечислять пользователей и группы в локальной базе данных диспетчера учетных записей безопасности (SAM) и Active Directory. The Network access: Restrict clients allowed to make remote calls to SAM security policy setting controls which users can enumerate users and groups in the local Security Accounts Manager (SAM) database and Active Directory. Параметр был впервые поддержан Windows 10 версии 1607 и Windows Server 2016 (RTM) и может быть настроен на более ранних операционных системах Windows клиент и сервер, установив обновления из статей KB, перечисленных в Applies to section of this topic. The setting was first supported by Windows 10 version 1607 and Windows Server 2016 (RTM) and can be configured on earlier Windows client and server operating systems by installing updates from the KB articles listed in Applies to section of this topic.

В этом разделе описываются значения по умолчанию для этого параметра политики безопасности в разных версиях Windows. This topic describes the default values for this security policy setting in different versions of Windows. По умолчанию, компьютеры, в которых изначально установлена Windows 10 версии 1607 и Windows Server 2016, имеют больше ограничений, чем более ранние версии Windows. By default, computers beginning with Windows 10 version 1607 and Windows Server 2016 are more restrictive than earlier versions of Windows. Это означает, что если у вас есть несколько компьютеров, например рядовые серверы, работающие под управлением как Windows Server 2016, так и Windows Server 2012 R2, то серверам под управлением Windows Server 2016 может не удаться перечислить учетные записи по умолчанию, в то время как серверы с Windows Server 2012 R2 смогут успешно выполнить эту задачу. This means that if you have a mix of computers, such as member servers that run both Windows Server 2016 and Windows Server 2012 R2, the servers that run Windows Server 2016 may fail to enumerate accounts by default where the servers that run Windows Server 2012 R2 succeed.

Кроме того, в этом разделе рассматриваются связанные события и описывается процедура включения режима аудита перед добавлением ограничений для участников безопасности, которым не разрешено удаленно перечислять пользователей и группы, так чтобы ваша среда оставалась защищенной без нарушения совместимости приложений. This topic also covers related events, and how to enable audit mode before constraining the security principals that are allowed to remotely enumerate users and groups so that your environment remains secure without impacting application compatibility.

Реализация этой политики может повлиять на автономное поколение адресных книг на серверах под управлением Microsoft Exchange 2016 или Microsoft Exchange 2013. Implementation of this policy could affect offline address book generation on servers running Microsoft Exchange 2016 or Microsoft Exchange 2013.

Справочники Reference

Протокол SAMRPC позволяет пользователю с низким уровнем привилегий запрашивать данные у компьютера в сети. The SAMRPC protocol makes it possible for a low privileged user to query a machine on a network for data. Например, пользователь может с помощью SAMRPC перечислять пользователей, в том числе привилегированные учетные записи, такие как локальные администраторы или администраторы домена, либо перечислять группы и участие в группах из локального SAM и Active Directory. For example, a user can use SAMRPC to enumerate users, including privileged accounts such as local or domain administrators, or to enumerate groups and group memberships from the local SAM and Active Directory. Эта информация может предоставить важный контекст и послужить отправной точкой для злоумышленника, намеревающегося атаковать домен или сетевую среду. This information can provide important context and serve as a starting point for an attacker to compromise a domain or networking environment.

Чтобы снизить этот риск, можно настроить параметр политики безопасности Сетевой доступ: ограничить доступ клиентов, которым разрешены удаленные вызовы SAM таким образом, чтобы диспетчер учетных записей безопасности выполнял проверку доступа на предмет удаленных вызовов. To mitigate this risk, you can configure the Network access: Restrict clients allowed to make remote calls to SAM security policy setting to force the security accounts manager (SAM) to do an access check against remote calls. На основании проверки доступа система разрешает или запрещает подключения удаленного RPC к SAM и Active Directory для пользователей и групп, которые вы определите. The access check allows or denies remote RPC connections to SAM and Active Directory for users and groups that you define.

По умолчанию параметр политики безопасности Сетевой доступ: ограничить доступ клиентов, которым разрешены удаленные вызовы SAM не установлен. By default, the Network access: Restrict clients allowed to make remote calls to SAM security policy setting is not defined. Если его установить, вы сможете изменить строку в формате языка определения дескрипторов безопасности (SDDL) по умолчанию, чтобы явно разрешить или запретить пользователям и группам осуществлять удаленные вызовы SAM. If you define it, you can edit the default Security Descriptor Definition Language (SDDL) string to explicitly allow or deny users and groups to make remote calls to the SAM. Если не задавать этот параметр политики после определения политики, то она не будет применяться. If the policy setting is left blank after the policy is defined, the policy is not enforced.

Дескриптор безопасности по умолчанию на компьютерах, на которых изначально установлены Windows 10 версии 1607 и Windows Server 2016, разрешает удаленный доступ к SAM только локальной (встроенной) группе «Администраторы» в системе, не являющейся контроллером домена, тогда как на контроллерах домена он предоставляет общий доступ. The default security descriptor on computers beginning with Windows 10 version 1607 and Windows Server 2016 allows only the local (built-in) Administrators group remote access to SAM on non-domain controllers, and allows Everyone access on domain controllers. Дескриптор безопасности по умолчанию можно изменить, с тем чтобы разрешить или запретить доступ другим пользователям и группам, в том числе встроенной группе «Администраторы». You can edit the default security descriptor to allow or deny other users and groups, including the built-in Administrators.

Дескриптор безопасности по умолчанию на компьютерах под управлением более ранних версий Windows не ограничивает удаленные вызовы SAM, но администратор может изменить дескриптор безопасности, чтобы применить ограничения. The default security descriptor on computers that run earlier versions of Windows does not restrict any remote calls to SAM, but an administrator can edit the security descriptor to enforce restrictions. Это менее строгое значение по умолчанию позволяет проверять влияние применения ограничений к существующим приложениям. This less restrictive default allows for testing the impact of enabling restrictions on existing applications.

Имена политики и реестра Policy and Registry Names

Имя политики Policy Name	Доступ к сети: ограничение на совершение удаленных вызовов SAM для клиентов Network access: Restrict clients allowed to make remote calls to SAM
Местоположение Location	Конфигурация компьютера|Параметры Windows|Параметры безопасности|Локальные политики|Параметры безопасности Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options
Возможные значения Possible values	— Не определено — Not defined — Определено, наряду с дескриптором безопасности для пользователей и групп, которым разрешено или запрещено использовать SAMRPC для получения удаленного доступа к локальному SAM или Active Directory. — Defined, along with the security descriptor for users and groups who are allowed or denied to use SAMRPC to remotely access either the local SAM or Active Directory.
Расположение реестра Registry location	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\RestrictRemoteSam
Тип реестра Registry type	REG_SZ REG_SZ
Значение реестра Registry value	Строка, которая будет содержать SDDL дескриптора безопасности, подлежащего развертыванию. A string that will contain the SDDL of the security descriptor to be deployed.

Параметр групповой политики доступен только на компьютерах под управлением Windows Server 2016 или Windows 10 версии 1607 и более новых версий. The Group Policy setting is only available on computers that run Windows Server 2016 or Windows 10, version 1607 and later. Это единственная возможность настроить данный параметр через пользовательский интерфейс. This is the only option to configure this setting by using a user interface (UI).

На компьютерах под управлением более ранних версий Windows необходимо изменить непосредственно параметр реестра или использовать предпочтения групповой политики. On computers that run earlier versions of Windows, you need to edit the registry setting directly or use Group Policy Preferences. Чтобы не выполнять настройку вручную, можно настроить сам объект групповой политики на компьютере под управлением Windows Server 2016 или Windows 10 версии 1607 или более новой версии, и применить его ко всем компьютерам в области его действия, поскольку после установки соответствующей базы знаний один и тот же ключ реестра существует на каждом компьютере. To avoid setting it manually in this case, you can configure the GPO itself on a computer that runs Windows Server 2016 or Windows 10, version 1607 or later and have it apply to all computers within the scope of the GPO because the same registry key exists on every computer after the corresponding KB is installed.

Эта политика применяется аналогично другим политикам «Доступ к сети» по тому принципу, что в пути реестра указан один элемент политики. This policy is implemented similarly to other «Network access» policies in that there is a single policy element at the registry path listed. В данном случае нет нотации локальной политики и корпоративной политики; есть только один параметр политики, и в учет принимается тот, который записывается последним. There is no notion of a local policy versus an enterprise policy; there is just one policy setting and whichever writes last wins.

Например, предположим, что локальный администратор настраивает этот параметр как часть локальной политики с помощью оснастки «Локальная политика безопасности» (Secpol.msc), которая изменяет тот же самый путь реестра. For example, suppose a local administrator configures this setting as part of a local policy using the Local Security Policy snap-in (Secpol.msc), which edits that same registry path. Если администратор предприятия настроит этот параметр как часть объекта групповой политики, то этот корпоративный объект перезапишет тот же самый путь реестра. If an enterprise administrator configures this setting as part of an enterprise GPO, that enterprise GPO will overwrite the same registry path.

Значения по умолчанию Default values

Начиная с Windows 10 версии 1607 и Windows Server 2016, компьютеры имеют более жестко запрограммированные и более строгие значения по умолчанию, чем это было в более ранних версиях Windows. Beginning with Windows 10, version 1607 and Windows Server 2016, computers have hard-coded and more restrictive default values than earlier versions of Windows. Различные значения по умолчанию помогают добиться оптимального результата: последние версии Windows по умолчанию являются более надежными, а более старые версии не подвергаются никаким изменениям, нарушающим их функционирование. The different default values help strike a balance where recent Windows versions are more secure by default and older versions don’t undergo any disruptive behavior changes. Прежде чем применить данный параметр политики безопасности в рабочей среде, администраторы могу проверять, приведет ли применение такого же ограничения в более ранних версиях Windows к возникновению проблем с совместимостью в существующих приложениях. Administrators can test whether applying the same restriction earlier versions of Windows will cause compatibility problems for existing applications before implementing this security policy setting in a production environment.

Таким образом, исправление в каждой статье базы знаний обеспечивает необходимый код и функции, однако после установки исправления вам необходимо настроить ограничение— по умолчанию в более ранних версиях Windows после установки исправления не применяются никакие ограничения. In other words, the hotfix in each KB article provides the necessary code and functionality, but you need to configure the restriction after you install the hotfix—no restrictions are enabled by default after the hotfix is installed on earlier versions of Windows.

SDDL по умолчанию Default SDDL	Переведенный SDDL Translated SDDL	Комментарии Comments
Контроллер домена Windows Server 2016 (или более поздний) (чтение Active Directory) Windows Server 2016 (or later) domain controller (reading Active Directory)	“” “”	—	Все прочитали разрешения для сохранения совместимости. Everyone has read permissions to preserve compatibility.
Контроллер более старого домена Earlier domain controller	—	—	По умолчанию проверка доступа не выполняется. No access check is performed by default.
Контроллер Windows 10 версии 1607 (или более поздней версии) Windows 10, version 1607 (or later) non-domain controller	O:SYG:SYD:(A;; RC;;; Ba) O:SYG:SYD:(A;;RC;;;BA)	Владелец: NTAUTHORITY/SYSTEM (WellKnownGroup) (S-1-5-18) Owner: NTAUTHORITY/SYSTEM (WellKnownGroup) (S-1-5-18) Основная группа: NTAUTHORITY/SYSTEM (WellKnownGroup) (S-1-5-18) Primary group: NTAUTHORITY/SYSTEM (WellKnownGroup) (S-1-5-18) СПИСОК DACL: DACL: • Изменение: 0x02 • Revision: 0x02 • Размер: 0x0020 • Size: 0x0020 • Число Ace: 0x001 • Ace Count: 0x001 • Ace[00]————————- • Ace[00]————————- AceType:0x00 AceType:0x00 (ACCESS_ALLOWED_ACE_TYPE) (ACCESS_ALLOWED_ACE_TYPE) AceSize:0x0018 AceSize:0x0018 InheritFlags:0x00 InheritFlags:0x00 Маска доступа:0x00020000 Access Mask:0x00020000 AceSid: BUILTIN\Администраторы (псевдоним) (S-1-5-32-544) AceSid: BUILTIN\Administrators (Alias) (S-1-5-32-544) SACL: отсутствует SACL: Not present	Предоставляет доступ RC (READ_CONTROL или STANDARD_RIGHTS_READ) только членам локальной (встроенной) группы «Администраторы». Grants RC access (READ_CONTROL, also known as STANDARD_RIGHTS_READ) only to members of the local (built-in) Administrators group.
Более старая система, не являющаяся контроллером домена Earlier non-domain controller	—	—	По умолчанию проверка доступа не выполняется. No access check is performed by default.

Средства управления политикой Policy management

В этом разделе поясняется, как настраивать режим «только аудит», как анализировать связанные события, которые записываются в журнал при включенном параметре политики безопасности Сетевой доступ: ограничить доступ клиентов, которым разрешены удаленные вызовы SAM, а также как настраивать регулирование событий во избежание переполнения журнала событий. This section explains how to configure audit-only mode, how to analyze related events that are logged when the Network access: Restrict clients allowed to make remote calls to SAM security policy setting is enabled, and how to configure event throttling to prevent flooding the event log.

Режим «только аудит» Audit only mode

В режиме «только аудит» протокол SAMRPC настраивается таким образом, чтобы он выполнял проверку доступа в соответствии с заданным на данный момент дескриптором безопасности, однако в том случае, если проверка доступа не будет пройдена, вызов не будет отменен. Audit only mode configures the SAMRPC protocol to do the access check against the currently configured security descriptor but will not fail the call if the access check fails. Вызов будет разрешен, но SAMRPC зарегистрирует в журнал событие с описанием того, что произошло, если эта функция включена. Instead, the call will be allowed, but SAMRPC will log an event describing what would have happened if the feature had been enabled. Это обеспечивает администраторам возможность проверять свои приложения до того, как политика будет включена в рабочей среде. This provides administrators a way to test their applications before enabling the policy in production. Режим «только аудит» настроен по умолчанию. Audit only mode is not configured by default. Чтобы настроить его, задайте указанный ниже параметр реестра. To configure it, add the following registry setting.

Реестр Registry	Подробности Details
Путь Path	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Параметр Setting	RestrictRemoteSamAuditOnlyMode RestrictRemoteSamAuditOnlyMode
Тип данных Data Type	REG_DWORD REG_DWORD
Значение Value	1 1
Примечания Notes	Этот параметр нельзя задать или удалить с помощью предопределенных параметров групповой политики. This setting cannot be added or removed by using predefined Group Policy settings. При необходимости администраторы могут создать пользовательскую политику, чтобы указать значение реестра. Administrators may create a custom policy to set the registry value if needed. SAM динамически реагирует на изменения в его реестре, не выполняя при этом перезагрузку. SAM responds dynamically to changes in this registry value without a reboot. Проанализировать журналы событий можно с помощью сценария Events 16962 — 16969 Reader, как описано в следующем разделе. You can use the Events 16962 — 16969 Reader script to parse the event logs, as explained in the next section.

Связанные события Related events

Существуют соответствующие события, которые свидетельствуют о применении ограничений к удаленным вызовам SAM, указывают, какие учетные записи пытались считать из базы данных SAM и т.д. There are corresponding events that indicate when remote calls to the SAM are restricted, what accounts attempted to read from the SAM database, and more. Рекомендуется выполнять описанную ниже процедуру в целях определения приложений, на которые могли повлиять ограничительные удаленные вызовы SAM: The following workflow is recommended to identify applications that may be affected by restricting remote calls to SAM:

1. Выгрузите журналы событий в общую папку. Dump event logs to a common share.
2. Проанализируйте их с помощью сценария Events 16962 — 16969 Reader. Parse them with the Events 16962 — 16969 Reader script.
3. Просмотрите коды событий с 16962 по 16969, указанные в таблице ниже, в системном журнале с помощью источника событий Каталог-Служба-SAM. Review Event IDs 16962 to 16969, as listed in the following table, in the System log with event source Directory-Service-SAM.
4. Определите, в каких контекстах безопасности выполняется перечисление пользователей или групп в базе данных SAM. Identify which security contexts are enumerating users or groups in the SAM database.
5. Назначьте приоритеты вызывающих объектов; определите, будут ли им разрешены вызовы, а затем включите вызывающие объекты в строку SDDL. Prioritize the callers, determine if they should be allowed or not, then include the allowed callers in the SDDL string.

Код события Event ID	Текст сообщения о событии Event Message Text	Объяснение Explanation
16962 16962	«Удаленные вызовы к базе данных SAM запрещены с помощью дескриптора безопасности по умолчанию: %1.%n» «Remote calls to the SAM database are being restricted using the default security descriptor: %1.%n « %2 — «Строка SD по умолчанию:» %2- «Default SD String:»	Создайте событие, когда не будет реестра SDDL. Это приведет к откату к жестко запрограммированному SDDL по умолчанию (событие должно включать копию SDDL по умолчанию). Emit event when registry SDDL is absent, causing fallback to default hard-coded SDDL (event should include a copy of the default SDDL).
16963 16963	Текст сообщения: «Удаленные вызовы к базе данных SAM запрещены с помощью настроенного дескриптора безопасности реестра: %1.%n» Message Text: «Remote calls to the SAM database are being restricted using the configured registry security descriptor: %1.%n» %1 — «Строка SD реестра:» %1 — «Registry SD String:»	Создайте событие, когда новый SDDL будет считываться из реестра (при запуске или изменении) и будет считаться допустимым. Emit event when a new SDDL is read from the registry (either on startup or change) and is considered valid. Событие включает источник и копию запрошенного SDDL. The event includes the source and a copy of the queried SDDL.
16964 16964	«Неверный формат дескриптора безопасности реестра: %1.%n Удаленные вызовы к базе данных SAM запрещены с помощью дескриптора безопасности по умолчанию: %2.%n» «The registry security descriptor is malformed: %1.%n Remote calls to the SAM database are being restricted using the default security descriptor: %2.%n» %1 — «Строка SD неправильного формата:» %1- «Malformed SD String:» %2 — «Строка SD по умолчанию:» %2- «Default SD String:»	Создайте событие, когда реестр SDDL будет иметь неправильный формат. Это приведет к откату к жестко запрограммированному SDDL по умолчанию (событие должно включать копию SDDL по умолчанию). Emit event when registry SDDL is mal-formed, causing fallback to default hard-coded SDDL (event should include a copy of the default SDDL).
16965 16965	Текст сообщения: «Удаленный вызов к базе данных SAM отклонен.%nSID клиента: %1%n Сетевой адрес: %2%n» Message Text: «A remote call to the SAM database has been denied.%nClient SID: %1%n Network address: %2%n» %1- «SID клиента:» %2- «Сетевой адрес клиента %1- «Client SID:» %2- «Client Network Address	Создайте событие, когда удаленному клиенту будет запрещен доступ. Emit event when access is denied to a remote client. Событие должно включать данные для удостоверения и сетевой адрес клиента. Event should include identity and network address of the client.
16966 16966	Режим аудита включен- Audit Mode is enabled- Текст сообщения: «Режим «Только аудит» включен для удаленных вызовов к базе данных SAM». Message Text: «Audit only mode is now enabled for remote calls to the SAM database. SAM будет записывать событие для клиентов, которым в обычном режиме был запрещен доступ. SAM will log an event for clients who would have been denied access in normal mode. %n» %n»	Создавайте событие при каждом включении или выключении режима обучения (см. 16968). Emit event whenever training mode (see 16968) is enabled or disabled.
16967 16967	Режим аудита выключен- Audit Mode is disabled- Текст сообщения: «Режим «Только аудит» отключен для удаленных вызовов к базе данных SAM».%n Для получения дополнительных сведений» Message Text: «Audit only mode is now disabled for remote calls to the SAM database.%n For more information»	Создавайте событие при каждом включении или выключении режима обучения (см. 16968). Emit event whenever training mode (see 16968) is enabled or disabled.
16968 16968	Текст сообщения: «Режим «Только аудит» включен для удаленных вызовов к базе данных SAM.%n Следующему клиенту в обычных ситуациях будет отказано в доступе:%nSID клиента: %1 с сетевого адреса: %2. Message Text: «Audit only mode is currently enabled for remote calls to the SAM database.%n The following client would have been normally denied access:%nClient SID: %1 from network address: %2. %n» %n» %1- «SID клиента:» %1- «Client SID:» %2- «Сетевой адрес клиента:» %2- «Client Network Address:»	Создайте событие, когда удаленному клиенту должно быть отказано в доступе, но в итоге доступ разрешен в связи с тем, что включен режим обучения. Emit event when access would have been denied to a remote client, but was allowed through due to training mode being enabled. Событие должно включать данные для удостоверения и сетевой адрес клиента. Event should include identity and network address of the client.
16969 16969	Текст сообщения: «Удаленные вызовы %2 к базе данных SAM были отклонены за прошлый период регулирования длительностью %1 сек.%n Message Text: «%2 remote calls to the SAM database have been denied in the past %1 seconds throttling window.%n «%1- «Период регулирования» «%1- «Throttle window:» %2- «Счетчик подавленных сообщений:» %2- «Suppressed Message Count:»	Регулирование может потребоваться для некоторых событий в связи с ожидаемым большим объемом на некоторых серверах, в результате чего происходит усечение журнала событий. Throttling may be necessary for some events due to expected high volume on some servers causing the event log to wrap. Примечание. Регулирование событий не происходит при включенном режиме аудита. Note: There is no throttling of events when audit mode is enabled. В средах с большим количеством запросов с минимальными правами и анонимных запросов к удаленной базе данных может наблюдаться запись большого количества событий в системный журнал. Environments with a large number of low-privilege and anonymous querying of the remote database may see large numbers of events logged to the System log. Дополнительные сведения см. в разделе Регулирование событий. For more info, see the Event Throttling section.

Сравните контекст безопасности, пытающийся удаленно перечислить учетные записи, с дескриптором безопасности по умолчанию. Compare the security context attempting to remotely enumerate accounts with the default security descriptor. Затем измените дескриптор безопасности таким образом, чтобы были добавлены учетные записи, требующие удаленного доступа. Then edit the security descriptor to add accounts that require remote access.

Регулирование событий Event Throttling

Занятый сервер может переполнить журналы событий событиями, связанными с проверкой доступа для удаленного перечисления. A busy server can flood event logs with events related to the remote enumeration access check. Чтобы избежать этого, события, которым отказано в доступе, по умолчанию записываются в журнал каждые 15 минут. To prevent this, access-denied events are logged once every 15 minutes by default. Длительность этого периода регулируется следующим значением реестра. The length of this period is controlled by the following registry value.

Путь реестра Registry Path	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa \
Параметр Setting	RestrictRemoteSamEventThrottlingWindow RestrictRemoteSamEventThrottlingWindow
Тип данных Data Type	DWORD DWORD
Значение Value	секунды seconds
Требуется перезагрузка? Reboot Required?	Нет No
Примечания Notes	Значение по умолчанию составляет 900 секунд – 15 мин. Default is 900 seconds – 15mins. При регулировании используется счетчик подавленных событий, который начинается с 0 и увеличивается дискретно в период регулирования. The throttling uses a suppressed events counter which starts at 0 and gets incremented during the throttling window. Например, за последние 15 минут было подавлено X событий. For example, X events were suppressed in the last 15 minutes. Счетчик перезапускается после записи события 16969. The counter is restarted after the event 16969 is logged.

Необходимость перезапуска Restart requirement

Перезапуски не требуются для включения, выключения или изменения параметра политики Сетевой доступ: ограничить доступ клиентов, которым разрешены удаленные вызовы SAM, в том числе в режиме «Только аудит». Restarts are not required to enable, disable or modify the Network access: Restrict clients allowed to make remote calls to SAM security policy setting, including audit only mode. Изменения вступают в силу без перезапуска устройства после их локального сохранения или распространения через групповую политику. Changes become effective without a device restart when they are saved locally or distributed through Group Policy.

Вопросы безопасности Security considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Уязвимость Vulnerability

Протокол SAMRPC имеет уровень безопасности по умолчанию, в результате чего злоумышленники с минимальными правами могут запрашивать у машины в сети данные, имеющие критическое значение для их дальнейших планов атак и проникновения. The SAMRPC protocol has a default security posture that makes it possible for low-privileged attackers to query a machine on the network for data that is critical to their further hacking and penetration plans.

В следующем примере показано, как злоумышленник может воспользоваться удаленным перечислением SAM: The following example illustrates how an attacker might exploit remote SAM enumeration:

1. Злоумышленник с минимальными правами получает исходную точку доступа к сети. A low-privileged attacker gains a foothold on a network.
2. Затем злоумышленник опрашивает все машины в сети, чтобы определить, у каких из них имеется пользователь домена с широкими правами, которому присвоен статус локального администратора на данной машине. The attacker then queries all machines on the network to determine which ones have a highly privileged domain user configured as a local administrator on that machine.
3. Если злоумышленнику удастся найти любую другую уязвимость на той машине, которую он захватит, злоумышленник сможет получить доступ к машине, ожидающей входа пользователя с широкими правами, и похитить учетные данные или войти в систему с их помощью. If the attacker can then find any other vulnerability on that machine that allows taking it over, the attacker can then squat on the machine waiting for the high-privileged user to logon and then steal or impersonate those credentials.

Противодействие Countermeasure

Эту уязвимость можно уменьшить, включив параметр политики безопасности SAM Сетевой доступ: ограничить доступ клиентов, которым разрешены удаленные вызовы SAM и настроив SDDL только для учетных записей с явно разрешенным доступом. You can mitigate this vulnerability by enabling the Network access: Restrict clients allowed to make remote calls to SAM security policy setting and configuring the SDDL for only those accounts that are explicitly allowed access.

Возможное влияние Potential impact

В случае определения политики может возникнуть сбой в работе средств администрирования, сценариев и программного обеспечения, которые ранее выполняли перечисление пользователей, групп и членств в группах. If the policy is defined, admin tools, scripts and software that formerly enumerated users, groups and group membership may fail. Для определения учетных записей, на которые могут повлиять данные изменения, испытайте параметр в режиме «только аудит». To identify accounts that may be affected, test this setting in audit only mode.