Konfigurieren von SAM-R zum Aktivieren der Erkennung von Lateral Movement-Pfaden in Microsoft Defender for Identity
Microsoft Defender for Identity Erkennung von Lateral Movement-Pfaden basiert auf Abfragen, die lokale Administratoren auf bestimmten Computern identifizieren. Diese Abfragen werden mit dem SAM-R-Protokoll unter Verwendung des konfigurierten Defender for Identity Directory Service-Kontos ausgeführt.
Konfigurieren von für SAM-R erforderliche Berechtigungen
Um sicherzustellen, dass Windows-Clients und -Server Ihrem Defender for Identity Directory Service-Konto die Ausführung von SAM-R ermöglichen, muss eine Änderung an Gruppenrichtlinie vorgenommen werden, um das Defender for Identity Directory Service-Konto zusätzlich zu den konfigurierten Konten hinzuzufügen, die in der Netzwerkzugriffsrichtlinie aufgeführt sind. Stellen Sie sicher, dass Gruppenrichtlinien auf alle Computer außer Domänencontroller angewendet werden.
Hinweis
Bevor Sie neue Richtlinien wie die zuvor erwähnte erzwingen, ist es wichtig, dass Sie die Sicherheit Ihrer Umgebung gewährleisten können und dass die Änderungen sich nicht auf die Anwendungskompatibilität auswirken. Aktivieren und überprüfen Sie daher zunächst die Kompatibilität vorgeschlagener Änderungen im Überwachungsmodus, bevor Sie Änderungen an Ihrer Produktionsumgebung vornehmen. Sie können einen erhöhten SAM-R-Datenverkehr beobachten, der von den Defender for Identity-Sensoren generiert wird.
Finden der Richtlinie:
- Richtlinienname: Netzwerkzugriff: Clients einschränken, die Remoteaufrufe an SAM ausführen dürfen
- Speicherort: Computerkonfiguration, Windows-Einstellungen, Sicherheitseinstellungen, lokale Richtlinien, Sicherheitsoptionen
Fügen Sie das Defender for Identity Directory Service-Konto der Liste der genehmigten Konten hinzu, die diese Aktion auf Ihren modernen Windows-Systemen ausführen können.
Das Defender for Identity Directory Service-Konto verfügt jetzt über die Berechtigungen, die zum Ausführen von SAM-R in der Umgebung erforderlich sind.
Weitere Informationen zu SAM-R und dieser Gruppenrichtlinie, finden Sie unter Netzwerkzugriff: Clients einschränken, die Remoteaufrufe an SAM ausführen dürfen.
Zugreifen auf diesen Computer über die Netzwerkeinstellung
Wenn Sie die Einstellung Zugriff auf diesen Computer über das Netzwerk in einem beliebigen Gruppenrichtlinienobjekt definiert haben, das für Computer in Ihrer Domäne gilt, müssen Sie das Defender for Identity Directory Service-Konto der Liste der zulässigen Konten für diese Einstellung hinzufügen:
Hinweis
Die Einstellung ist standardmäßig nicht aktiviert. Wenn Sie sie zuvor noch nicht aktiviert haben, müssen Sie es nicht ändern, damit Defender for Identity Remoteaufrufe an SAM tätigen kann.
Um das Verzeichnisdienstkonto hinzuzufügen, wechseln Sie zur Richtlinie, und navigieren Sie zu Computerkonfiguration ->Richtlinien ->Windows-Einstellungen ->Lokale Richtlinien ->Benutzerrechtszuweisung. Öffnen Sie dann die Einstellung Zugriff auf diesen Computer aus dem Netzwerk.
Fügen Sie dann das Defender for Identity Directory Service-Konto der Liste der genehmigten Konten hinzu.
Hinweis
In den von Microsoft empfohlenen Baselines wird im Rahmen des Microsoft Security Compliance Toolkit empfohlen, die Standardeinstellung Jeder durch authentifizierte Benutzer zu ersetzen, um zu verhindern, dass anonyme Verbindungen Netzwerkanmeldungen durchführen. Überprüfen Sie die lokalen Richtlinieneinstellungen, bevor Sie diese Einstellung über ein Gruppenrichtlinienobjekt verwalten, und ziehen Sie ggf. in Betracht, authentifizierte Benutzer in das Gruppenrichtlinienobjekt einzugeben.