Instalación de ATA: paso 9
Se aplica a: Advanced Threat Analytics versión 1.9
Nota:
Antes de aplicar cualquier nueva directiva, asegúrese siempre de que el entorno permanezca seguro, sin afectar a la compatibilidad de aplicaciones habilitando y comprobando primero los cambios propuestos en modo auditoría.
Paso 9: Configuración de los permisos necesarios de SAM-R
La detección de rutas de desplazamiento lateral se basa en consultas que identifican a los administradores locales en máquinas específicas. Estas consultas se realizan mediante el protocolo SAM-R, a través de la cuenta de servicio de ATA creada en el Paso 2. Conexión a AD.
Para asegurarse de que los clientes y servidores de Windows permiten que la cuenta de servicio de ATA realice esta operación de SAM-R, se debe realizar una modificación en la Directiva de grupo que agregue la cuenta de servicio de ATA además de las cuentas configuradas que aparecen en la directiva de acceso de red. Esta directiva de grupo se debe aplicar para cada dispositivo de la organización.
Busque la directiva:
- Nombre de directiva: Acceso de red: evitar que clientes con permiso realicen llamadas remotas a SAM
- Ubicación: Configuración del ordenador, Configuración de Windows, Configuración de seguridad, Políticas locales, Opciones de seguridad
Agregue la cuenta de servicio de ATA a la lista de las cuentas aprobadas que pueden realizar esta acción en los sistemas Windows modernos.
El servicio ATA (el servicio ATA creado durante la instalación) ahora tiene los privilegios adecuados para realizar SAM-R en el entorno.
Para obtener más información sobre SAM-R y la directiva de grupo, consulte Acceso a la red: Restricción de clientes permitidos para realizar llamadas remotas a SAM.
Configuración de acceso a este equipo desde la red
Si ha definido la configuración Acceder a este equipo desde la red en cualquier GPO que se aplique a los equipos de su dominio, deberá añadir la cuenta de servicio ATA a la lista de cuentas permitidas para dicha configuración:
Nota:
Esta opción no está habilitada de forma predeterminada. Si no la ha habilitado anteriormente, no es necesario modificarla para permitir que Defender for Identity realice llamadas remotas a SAM.
Para agregar la cuenta de servicio, vaya a la directiva y a Configuración del equipo ->Directivas ->Configuración de Windows ->Directivas locales ->Asignación de derechos de usuario. A continuación, abra la configuración Acceder a este equipo desde la red.
A continuación, agregue la cuenta de servicio de ATA a la lista de cuentas aprobadas.
