Konfigurace SAM-R pro povolení detekce cest laterálního pohybu v Programu Microsoft Defender for Identity

  • Článek

Mapování identity v programu Microsoft Defender pro potenciální cesty laterálního pohybu závisí na dotazech, které identifikují místní správce na konkrétních počítačích. Tyto dotazy se provádějí s protokolem SAM-R pomocí účtu služby Directory Service Defender for Identity, který jste nakonfigurovali.

Tento článek popisuje změny konfigurace potřebné k tomu, aby mohl účet DSA (Defender for Identity Directory Services) provádět dotazy SAM-R.

Tip

I když je tento postup volitelný, doporučujeme nakonfigurovat účet adresářové služby a nakonfigurovat SAM-R pro detekci cest laterálního pohybu, abyste plně zabezpečili prostředí pomocí defenderu pro identitu.

Konfigurace požadovaných oprávnění SAM-R

Pokud chcete zajistit, aby klienti a servery Windows povolili vašemu účtu DSA (Defender for Identity Directory Services) provádět dotazy SAM-R, musíte upravit zásady skupiny a přidat DSA kromě nakonfigurovaných účtů uvedených v zásadách přístupu k síti. Nezapomeňte použít zásady skupiny pro všechny počítače s výjimkou řadičů domény.

Důležité

Nejprve proveďte tento postup v režimu auditu a před provedením změn v produkčním prostředí ověřte kompatibilitu navrhované konfigurace.

Testování v režimu auditu je důležité pro zajištění zabezpečení vašeho prostředí a případné změny nebudou mít vliv na kompatibilitu vaší aplikace. Můžete sledovat zvýšený provoz SAM-R vygenerovaný senzory Defenderu for Identity.

Konfigurace požadovaných oprávnění:

  1. Vyhledejte zásadu. V nastavení > konfigurace > počítače nastavení Systému Windows Nastavení zabezpečení Místní zásady Zabezpečení > možnosti > zabezpečení vyberte Možnosti síťového přístupu – Omezit klienty povolené provádět vzdálená volání do zásad SAM. Příklad:

    Snímek obrazovky s vybranou zásadou přístupu k síti

  2. Přidejte dsA do seznamu schválených účtů, které můžou tuto akci provést, společně s jakýmkoli jiným účtem, který jste zjistili v režimu auditování.

Další informace najdete v tématu Přístup k síti: Omezení klientů, kteří mohou provádět vzdálená volání do SAM.

Ujistěte se, že dsA má povolený přístup k počítačům ze sítě (volitelné).

Poznámka:

Tento postup se vyžaduje jenom v případě, že jste někdy nakonfigurovali přístup k tomuto počítači ze síťového nastavení, protože přístup k tomuto počítači ze síťového nastavení není ve výchozím nastavení nakonfigurovaný.

Přidání DSA do seznamu povolených účtů:

  1. Přejděte na zásadu a přejděte do části Konfigurace počítače ->Policies ->Windows Nastavení -Local Policies ->>User Right Assignment a v nastavení sítě vyberte Přístup k tomuto počítači. Příklad:

    Snímek obrazovky s Editorem správy zásad skupiny

  2. Přidejte účet adresářové služby Defender for Identity Do seznamu schválených účtů.

Důležité

Při konfiguraci přiřazeníuživatelských Proto nezapomeňte do efektivních zásad skupiny zahrnout všechny požadované účty. Ve výchozím nastavení zahrnují pracovní stanice a servery následující účty: Správa istrators, Backup Operators, Users a Everyone

Sada nástrojů Microsoft Security Compliance Toolkit doporučuje nahradit výchozí nastavení Všichni ověřenými uživateli , aby zabránila anonymním připojením v provádění síťových přihlášení. Před správou přístupu k tomuto počítači ze síťového nastavení z objektu zásad skupiny zkontrolujte nastavení místních zásad a v případě potřeby zvažte zahrnutí ověřených uživatelů do objektu zásad skupiny.

Konfigurace profilu zařízení pouze pro zařízení připojená k Microsoft Entra

Tento postup popisuje, jak pomocí Centra pro správu Microsoft Intune nakonfigurovat zásady v profilu zařízení, pokud pracujete jenom se zařízeními připojenými k Microsoft Entra a žádná zařízení připojená k hybridnímu připojení.

  1. V Centru pro správu Microsoft Intune vytvořte nový profil zařízení, který definuje následující hodnoty:

    • Platforma: Windows 10 nebo novější
    • Typ profilu: katalog Nastavení

    Zadejte smysluplný název a popis zásad.

  2. Přidejte nastavení pro definování zásady NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM :

    1. V nástroji pro výběr Nastavení vyhledejte možnost Síťový přístup omezit klienty, kteří mohou provádět vzdálená volání do SAM.

    2. Vyberte, pokud chcete procházet kategorii Možnosti zabezpečení místních zásad, a pak vyberte nastavení Omezit přístup k síti klientům povoleno provádět vzdálená volání do SAM .

    3. Zadejte popisovač zabezpečení (SDDL): O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;%SID%)a nahraďte %SID% identifikátorEM SID účtu služby Defender for Identity Directory Service.

      Nezapomeňte zahrnout integrovanou skupinu Správa istrators:O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;S-1-5-32-544)

  3. Přidejte nastavení pro definování zásad AccessFromNetwork :

    1. V nástroji pro výběr Nastavení vyhledejte přístup ze sítě.

    2. Vyberte, jestli chcete procházet kategorii Uživatelská práva , a pak vyberte nastavení Přístup ze sítě .

    3. Vyberte import nastavení a pak vyhledejte a vyberte soubor CSV, který obsahuje seznam uživatelů a skupin, včetně identifikátorů SID nebo názvů.

      Nezapomeňte zahrnout integrovanou skupinu Správa istrators (S-1-5-32-544) a identifikátor SID účtu služby Defender for Identity Directory Service.

  4. Pokračujte v průvodci výběrem značek oboru a přiřazení a výběrem možnosti Vytvořit vytvořte svůj profil.

Další informace najdete v tématu Použití funkcí a nastavení na zařízeních pomocí profilů zařízení v Microsoft Intune.

Další krok

Konfigurace senzorů pro AD FS a AD CS »