Sam-R konfigurálása az oldalirányú mozgási útvonal észlelésének engedélyezéséhez a Microsoft Defender for Identityben
A Microsoft Defender identitásleképezése a lehetséges oldalirányú mozgási útvonalakhoz olyan lekérdezésekre támaszkodik, amelyek bizonyos gépek helyi rendszergazdáit azonosítják. Ezeket a lekérdezéseket a SAM-R protokollal hajtja végre a defender for Identity Directory Service-fiók használatával, amelyet konfigurált.
Ez a cikk azokat a konfigurációs módosításokat ismerteti, amelyek szükségesek ahhoz, hogy a Defender for Identity Directory Services-fiók (DSA) végrehajthassa az SAM-R-lekérdezéseket.
Tipp.
Bár ez az eljárás nem kötelező, javasoljuk, hogy konfiguráljon egy Címtárszolgáltatás-fiókot, és konfigurálja az SAM-R-t az oldalirányú mozgási útvonalak észleléséhez, hogy teljes mértékben biztonságossá tegye a környezetet a Defender for Identity használatával.
SAM-R szükséges engedélyeinek konfigurálása
Annak biztosítása érdekében, hogy a Windows-ügyfelek és -kiszolgálók lehetővé tegyék a Defender for Identity Directory Services-fiók (DSA) számára SAM-R-lekérdezések végrehajtását, módosítania kell a csoportházirendet, és hozzá kell adnia a DSA-t a hálózati hozzáférési házirendben felsorolt konfigurált fiókok mellett. Győződjön meg arról, hogy a tartományvezérlők kivételével minden számítógépre alkalmazza a csoportházirendeket.
Fontos
Először naplózási módban végezze el ezt az eljárást, és ellenőrizze a javasolt konfiguráció kompatibilitását, mielőtt végrehajtja az éles környezet módosításait.
A naplózási módban végzett tesztelés kritikus fontosságú annak biztosításához, hogy a környezet biztonságos maradjon, és a módosítások nem befolyásolják az alkalmazás kompatibilitását. Megfigyelheti a Defender for Identity érzékelői által generált megnövekedett SAM-R-forgalmat.
A szükséges engedélyek konfigurálása:
Keresse meg a szabályzatot. A számítógép konfigurációjában > a Windows beállításai > Biztonsági beállítások > Helyi házirendek > Biztonsági beállítások, válassza a Hálózati hozzáférés lehetőséget – Korlátozza az ügyfelek számára, hogy távoli hívásokat kezdeményezhessenek a SAM-házirend felé. Példa:
Adja hozzá a DSA-t azoknak a jóváhagyott fiókoknak a listájához, amelyek képesek elvégezni ezt a műveletet, valamint a naplózási módban felfedezett bármely más fiókkal együtt.
További információ: Hálózati hozzáférés: A SAM felé irányuló távoli hívások indítására engedélyezett ügyfelek korlátozása.
Győződjön meg arról, hogy a DSA hozzáfér a hálózatról származó számítógépekhez (nem kötelező)
Feljegyzés
Ez az eljárás csak akkor szükséges, ha valaha is a hálózati beállításból konfigurálta a számítógép elérését, mivel a számítógép hálózati beállításból való elérése alapértelmezés szerint nincs konfigurálva
A DSA hozzáadása az engedélyezett fiókok listájához:
Lépjen a házirendre, és lépjen a Számítógép konfigurációja -Házirendek ->>Windows-beállítások ->Helyi házirendek ->Felhasználó jobb hozzárendelése elemre, és válassza ki a számítógép elérését a hálózati beállításból. Példa:
Adja hozzá a Defender for Identity Directory Service-fiókot a jóváhagyott fiókok listájához.
Fontos
A felhasználói jogosultsági hozzárendelések csoportházirendekben való konfigurálásakor fontos megjegyezni, hogy a beállítás a hozzáadás helyett az előzőt váltja fel . Ezért ügyeljen arra, hogy az összes kívánt fiókot belefoglalja a hatályos csoportházirendbe. Alapértelmezés szerint a munkaállomások és kiszolgálók a következő fiókokat tartalmazzák: Rendszergazdák, Biztonsági mentési operátorok, Felhasználók és Mindenki
A Microsoft Security Compliance Toolkit azt javasolja, hogy cserélje le az alapértelmezett Mindenkit hitelesített felhasználókra, hogy a névtelen kapcsolatok ne hajtsanak végre hálózati bejelentkezéseket. Tekintse át a helyi házirend-beállításokat, mielőtt egy csoportházirend-objektumból felügyeli a számítógép elérését a hálózati beállításból, és szükség esetén fontolja meg a hitelesített felhasználók beírását a csoportházirend-objektumba.
Eszközprofil konfigurálása csak a Microsoft Entra hibrid csatlakoztatott eszközeihez
Ez az eljárás azt ismerteti, hogyan konfigurálhatja a microsoft intune felügyeleti központot a szabályzatok eszközprofilban való konfigurálásához, ha hibrid Microsoft Entra-eszközökkel dolgozik.
A Microsoft Intune Felügyeleti központban hozzon létre egy új eszközprofilt, amely a következő értékeket határozza meg:
- Platform: Windows 10 vagy újabb
- Profil típusa: Beállításkatalógus
Adjon meg egy jelentéssel bíró nevet és leírást a szabályzathoz.
Beállítások hozzáadása NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM szabályzat definiálásához:
A Beállításokválasztóban keressen rá a hálózati hozzáférés korlátozására, amely korlátozza az ügyfelek számára, hogy távoli hívásokat kezdeményezhessenek a SAM felé.
Válassza a Helyi házirendek biztonsági beállítások kategóriát, majd válassza a Hálózati hozzáférés korlátozása az ügyfelek számára engedélyezett távoli hívások SAM-be beállítását.
Adja meg a biztonsági leírót (SDDL):
O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;%SID%)a Defender for Identity Directory Service-fiók SID-jével helyettesítve%SID%.Ügyeljen arra, hogy tartalmazza a beépített Rendszergazdák csoportot:
O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;S-1-5-32-544)
Adja hozzá az AccessFromNetwork-szabályzat definiálásához szükséges beállításokat:
A Beállításokválasztóban keresse meg az Access from Network (Hozzáférés a hálózatról) lehetőséget.
Válassza ki a Felhasználói jogosultságok kategória tallózásához, majd válassza az Access From Network (Hozzáférés a hálózatról) beállítást.
Válassza ki a beállítások importálásához, majd keresse meg és válassza ki azt a CSV-fájlt, amely tartalmazza a felhasználók és csoportok listáját, beleértve az SID-ket vagy a neveket.
Ügyeljen arra, hogy tartalmazza a beépített Rendszergazdák csoportot (S-1-5-32-544) és a Defender for Identity Directory Service-fiók SID-jét.
Folytassa a varázslót a hatókörcímkék és -hozzárendelések kiválasztásához, majd válassza a Létrehozás lehetőséget a profil létrehozásához.
További információ: Szolgáltatások és beállítások alkalmazása az eszközökön eszközprofilok használatával a Microsoft Intune-ban.