Configurer SAM-R pour activer la détection de chemins de mouvement latéral dans Microsoft Defender pour Identity

  • Article

Le mappage Microsoft Defender pour Identity pour les chemins de mouvement latéral potentiels s’appuie sur des requêtes qui identifient les administrateurs locaux sur des ordinateurs spécifiques. Ces requêtes sont effectuées avec le protocole SAM-R, à l’aide du compte de service d’annuaire Defender pour Identity que vous avez configuré.

Cet article décrit les modifications de configuration nécessaires pour permettre au compte des Services d’annuaire de Defender for Identity (DSA) d’effectuer les requêtes SAM-R.

Conseil

Bien que cette procédure soit facultative, nous vous recommandons de configurer un compte de service d’annuaire et de configurer SAM-R pour la détection de chemin de mouvement latéral pour sécuriser entièrement votre environnement avec Defender pour Identity.

Configurer les autorisations requises SAM-R

Pour vous assurer que les clients et serveurs Windows autorisent votre compte des Services d’annuaire de Defender for Identity (DSA) à effectuer des requêtes SAM-R, vous devez modifier la stratégie de groupe et ajouter le DSA, en plus des comptes configurés répertoriés dans la politique d’accès au réseau. Veillez à appliquer des stratégies de groupe à tous les ordinateurs, à l’exception des contrôleurs de domaine.

Important

Effectuez cette procédure en mode audit d’abord, en vérifiant la compatibilité de la configuration proposée avant d’apporter les modifications à votre environnement de production.

Le test en mode audit est essentiel pour garantir que votre environnement reste sécurisé et que les modifications n’affectent pas la compatibilité de votre application. Vous pouvez observer une augmentation du trafic SAM-R généré par les capteurs Defender pour Identity.

Pour configurer les autorisations requises :

  1. Recherchez la stratégie . Dans Configuration de l’ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité, sélectionnez la stratégie Accès réseau : restreindre les clients autorisés à passer des appels distants à SAM. Par exemple :

    Capture d’écran de la politique d’accès réseau sélectionnée.

  2. Ajoutez le DSA à la liste des comptes approuvés pouvant effectuer cette action, ainsi que tout autre compte que vous avez découvert pendant le mode audit.

Pour plus d’informations, consultez Accès réseau : restreindre les clients autorisés à passer des appels distants à SAM.

Assurez-vous que le DSA est autorisé à accéder aux ordinateurs du réseau (facultatif).

Remarque

Cette procédure est uniquement requise si vous avez déjà configuré le paramètre Accéder à cet ordinateur depuis le réseau, car le paramètre Accéder à cet ordinateur depuis le réseau n’est pas configuré par défaut.

Pour ajouter le DSA à la liste des comptes autorisés :

  1. Accédez à la stratégie et accédez à Configuration de l’ordinateur ->Stratégies ->Paramètres Windows ->Stratégies locales ->Attribution des droits utilisateur, puis sélectionnez le paramètre Accéder à cet ordinateur à partir du réseau. Par exemple :

    Capture d’écran de l’Éditeur de gestion des stratégies de groupe.

  2. Ajoutez le compte de service d’annuaire Defender pour Identity à la liste des comptes approuvés.

Important

Lors de la configuration des affectations de droits utilisateur dans les stratégies de groupe, il est important de noter que le paramètre remplace le précédent plutôt que de l’ajouter. Assurez-vous donc d’inclure tous les comptes désirés dans la stratégie de groupe effective. Par défaut, les postes de travail et serveurs incluent les comptes suivants : Administrateurs, Opérateurs de sauvegarde, Utilisateurs et Tout le monde.

Le kit de ressources de conformité à la sécurité Microsoft recommande de remplacer le paramètre par défaut Tout le monde par le paramètre Utilisateurs authentifiés pour empêcher les connexions anonymes d’effectuer des connexions réseau. Passez en revue les paramètres de votre stratégie locale avant de gérer le paramètre Accéder à cet ordinateur à partir du réseau à partir d’un GPO et envisagez d’inclure le paramètre Utilisateurs authentifiés dans le GPO si nécessaire.

Configurez un profil de périphérique pour les périphériques joints à Microsoft Entra uniquement.

Cette procédure décrit comment utiliser le centre d’administration Microsoft Intune pour configurer les politiques dans un profil de périphérique si vous travaillez uniquement avec des périphériques joints à Microsoft Entra, et aucun périphérique hybride joint.

  1. Dans le centre d’administration Microsoft Intune, créez un nouveau profil de périphérique, en définissant les valeurs suivantes :

    • Plate-forme : Windows 10 et versions ultérieures
    • Type de profil : Catalogue de paramètres

    Saisissez un nom significatif et une description pour votre politique.

  2. Ajoutez des paramètres pour définir une politique NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM :

    1. Dans le Sélecteur de paramètres, recherchez Restriction de l’accès réseau Autoriser les clients à effectuer des appels distants à SAM.

    2. Sélectionnez pour parcourir la catégorie Options de sécurité des stratégies locales, puis sélectionnez le paramètre Restriction de l’accès réseau Autoriser les clients à effectuer des appels distants à SAM.

    3. Saisissez le descripteur de sécurité (SDDL) : O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;%SID%), en remplaçant %SID% par le SID du compte des Services d’annuaire de Defender for Identity.

      Assurez-vous d’inclure le groupe intégré Administrateurs : O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;S-1-5-32-544)

  3. Ajoutez des paramètres pour définir une politique AccessFromNetwork :

    1. Dans le Sélecteur de paramètres, recherchez Accès depuis le réseau.

    2. Sélectionnez pour parcourir la catégorie Droits utilisateur, puis sélectionnez le paramètre Accès depuis le réseau.

    3. Sélectionnez pour importer les paramètres, puis parcourez et sélectionnez un fichier CSV contenant une liste d’utilisateurs et de groupes, incluant des SIDs ou des noms.

      Assurez-vous d’inclure le groupe intégré Administrateurs (S-1-5-32-544), et le SID du compte des Services d’annuaire de Defender for Identity.

  4. Continuez l’assistant pour sélectionner les balises d’étendue et les affectations, et sélectionnez Créer pour créer votre profil.

Pour plus d’informations, veuillez consulter la rubrique Appliquer des fonctionnalités et des paramètres sur vos appareils à l’aide de profils de périphérique dans Microsoft Intune.

Étape suivante

Configuration de capteurs pour AD FS et AD CS »