Sam-R konfigurálása az oldalirányú mozgási útvonal észlelésének engedélyezéséhez a Microsoft Defender for Identityben

A Microsoft Defender identitásleképezése a lehetséges oldalirányú mozgási útvonalakhoz olyan lekérdezésekre támaszkodik, amelyek bizonyos gépek helyi rendszergazdáit azonosítják. Ezeket a lekérdezéseket a SAM-R protokollal hajtja végre a defender for Identity Directory Service-fiók használatával, amelyet konfigurált.

Ez a cikk azokat a konfigurációs módosításokat ismerteti, amelyek szükségesek ahhoz, hogy a Defender for Identity Directory Services-fiók (DSA) végrehajthassa az SAM-R-lekérdezéseket.

Tipp.

Bár ez az eljárás nem kötelező, javasoljuk, hogy konfiguráljon egy Címtárszolgáltatás-fiókot, és konfigurálja az SAM-R-t az oldalirányú mozgási útvonalak észleléséhez, hogy teljes mértékben biztonságossá tegye a környezetet a Defender for Identity használatával.

SAM-R szükséges engedélyeinek konfigurálása

Annak biztosítása érdekében, hogy a Windows-ügyfelek és -kiszolgálók lehetővé tegyék a Defender for Identity Directory Services-fiók (DSA) számára SAM-R-lekérdezések végrehajtását, módosítania kell a csoportházirendet, és hozzá kell adnia a DSA-t a hálózati hozzáférési házirendben felsorolt konfigurált fiókok mellett. Győződjön meg arról, hogy a tartományvezérlők kivételével minden számítógépre alkalmazza a csoportházirendeket.

Fontos

Először naplózási módban végezze el ezt az eljárást, és ellenőrizze a javasolt konfiguráció kompatibilitását, mielőtt végrehajtja az éles környezet módosításait.

A naplózási módban végzett tesztelés kritikus fontosságú annak biztosításához, hogy a környezet biztonságos maradjon, és a módosítások nem befolyásolják az alkalmazás kompatibilitását. Megfigyelheti a Defender for Identity érzékelői által generált megnövekedett SAM-R-forgalmat.

A szükséges engedélyek konfigurálása:

  1. Keresse meg a szabályzatot. A számítógép konfigurációjában > a Windows beállításai > Biztonsági beállítások > Helyi házirendek > Biztonsági beállítások, válassza a Hálózati hozzáférés lehetőséget – Korlátozza az ügyfelek számára, hogy távoli hívásokat kezdeményezhessenek a SAM-házirend felé. Példa:

    Képernyőkép a kiválasztott hálózati hozzáférési szabályzatról.

  2. Adja hozzá a DSA-t azoknak a jóváhagyott fiókoknak a listájához, amelyek képesek elvégezni ezt a műveletet, valamint a naplózási módban felfedezett bármely más fiókkal együtt.

További információ: Hálózati hozzáférés: A SAM felé irányuló távoli hívások indítására engedélyezett ügyfelek korlátozása.

Győződjön meg arról, hogy a DSA hozzáfér a hálózatról származó számítógépekhez (nem kötelező)

Feljegyzés

Ez az eljárás csak akkor szükséges, ha valaha is a hálózati beállításból konfigurálta a számítógép elérését, mivel a számítógép hálózati beállításból való elérése alapértelmezés szerint nincs konfigurálva

A DSA hozzáadása az engedélyezett fiókok listájához:

  1. Nyissa meg a házirendet, és lépjen a Számítógép konfigurációja -Házirendek ->>Windows Gépház -Helyi házirendek ->>Felhasználó jobb hozzárendelése elemre, és válassza ki a számítógép elérése lehetőséget a hálózati beállításból. Példa:

    Képernyőkép a Csoportházirend-kezelési szerkesztőről.

  2. Adja hozzá a Defender for Identity Directory Service-fiókot a jóváhagyott fiókok listájához.

Fontos

A felhasználói jogosultsági hozzárendelések csoportházirendekben való konfigurálásakor fontos megjegyezni, hogy a beállítás a hozzáadás helyett az előzőt váltja fel . Ezért ügyeljen arra, hogy az összes kívánt fiókot belefoglalja a hatályos csoportházirendbe. Alapértelmezés szerint a munkaállomások és kiszolgálók a következő fiókokat tartalmazzák: Rendszergazda istratorok, biztonsági mentési operátorok, felhasználók és mindenki

A Microsoft Security Compliance Toolkit azt javasolja, hogy cserélje le az alapértelmezett Mindenkit hitelesített felhasználókra, hogy a névtelen kapcsolatok ne hajtsanak végre hálózati bejelentkezéseket. Tekintse át a helyi házirend-beállításokat, mielőtt egy csoportházirend-objektumból felügyeli a számítógép elérését a hálózati beállításból, és szükség esetén fontolja meg a hitelesített felhasználók beírását a csoportházirend-objektumba.

Eszközprofil konfigurálása csak a Microsoft Entra-hoz csatlakoztatott eszközökhöz

Ez az eljárás azt ismerteti, hogyan konfigurálhatja a microsoft intune felügyeleti központot az eszközprofil házirendjeinek konfigurálásához, ha csak a Microsoft Entra-hoz csatlakoztatott eszközökkel dolgozik, és nem csatlakozik hibrid csatlakoztatott eszközökhöz.

  1. A Microsoft Intune Felügyeleti központban hozzon létre egy új eszközprofilt, amely a következő értékeket határozza meg:

    • Platform: Windows 10 vagy újabb
    • Profil típusa: Gépház katalógus

    Adjon meg egy jelentéssel bíró nevet és leírást a szabályzathoz.

  2. Beállítások hozzáadása NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM szabályzat definiálásához:

    1. A Gépház választóban keressen rá a hálózati hozzáférés korlátozására, amely korlátozza a SAM felé irányuló távoli hívások indítására engedélyezett ügyfeleket.

    2. Válassza a Helyi házirendek biztonsági beállítások kategóriát, majd válassza a Hálózati hozzáférés korlátozása az ügyfelek számára engedélyezett távoli hívások SAM-be beállítását.

    3. Adja meg a biztonsági leírót (SDDL): O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;%SID%)a Defender for Identity Directory Service-fiók SID-jével helyettesítve %SID% .

      Ügyeljen arra, hogy tartalmazza a beépített Rendszergazda istrators csoportot:O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;S-1-5-32-544)

  3. Adja hozzá az AccessFromNetwork-szabályzat definiálásához szükséges beállításokat:

    1. A Gépház választóban keresse meg az Access from Network (Hozzáférés a hálózatról) lehetőséget.

    2. Válassza ki a Felhasználói jogosultságok kategória tallózásához, majd válassza az Access From Network (Hozzáférés a hálózatról) beállítást.

    3. Válassza ki a beállítások importálásához, majd keresse meg és válassza ki azt a CSV-fájlt, amely tartalmazza a felhasználók és csoportok listáját, beleértve az SID-ket vagy a neveket.

      Ügyeljen arra, hogy tartalmazza a beépített Rendszergazda istrators csoportot (S-1-5-32-544) és a Defender for Identity Directory Service-fiók SID-jét.

  4. Folytassa a varázslót a hatókörcímkék és -hozzárendelések kiválasztásához, majd válassza a Létrehozás lehetőséget a profil létrehozásához.

További információ: Szolgáltatások és beállítások alkalmazása az eszközökön eszközprofilok használatával a Microsoft Intune-ban.

Következő lépés