Mengonfigurasi SAM-R untuk mengaktifkan deteksi jalur gerakan lateral di Microsoft Defender untuk Identitas

  • Artikel

Microsoft Defender untuk Identitas pemetaan potensi jalur gerakan lateral bergantung pada kueri yang mengidentifikasi admin lokal pada komputer tertentu. Kueri ini dilakukan dengan protokol SAM-R, menggunakan akun Layanan Defender for Identity Directory yang Anda konfigurasikan.

Artikel ini menjelaskan perubahan konfigurasi yang diperlukan untuk memungkinkan Akun Layanan Direktori Identitas (DSA) Defender untuk melakukan kueri SAM-R.

Tip

Meskipun prosedur ini bersifat opsional, kami sarankan Anda mengonfigurasi akun Layanan Direktori dan mengonfigurasi SAM-R untuk deteksi jalur gerakan lateral untuk sepenuhnya mengamankan lingkungan Anda dengan Defender for Identity.

Mengonfigurasi izin yang diperlukan SAM-R

Untuk memastikan bahwa klien dan server Windows mengizinkan Defender for Identity Directory Services Account (DSA) Anda untuk melakukan kueri SAM-R, Anda harus memodifikasi Kebijakan Grup dan menambahkan DSA, selain akun yang dikonfigurasi yang tercantum dalam kebijakan akses Jaringan. Pastikan untuk menerapkan kebijakan grup ke semua komputer kecuali pengendali domain.

Penting

Lakukan prosedur ini dalam mode audit terlebih dahulu, verifikasi kompatibilitas konfigurasi yang diusulkan sebelum membuat perubahan pada lingkungan produksi Anda.

Pengujian dalam mode audit sangat penting dalam memastikan bahwa lingkungan Anda tetap aman, dan perubahan apa pun tidak akan memengaruhi kompatibilitas aplikasi Anda. Anda dapat mengamati peningkatan lalu lintas SAM-R, yang dihasilkan oleh sensor Defender for Identity.

Untuk mengonfigurasi izin yang diperlukan:

  1. Temukan kebijakan. Di konfigurasi Komputer Anda Pengaturan keamanan Pengaturan keamanan Opsi keamanan kebijakan > lokal, pilih akses Jaringan - Batasi klien yang diizinkan untuk melakukan panggilan jarak jauh ke kebijakan SAM.>>> Contohnya:

    Cuplikan layar kebijakan akses Jaringan dipilih.

  2. Tambahkan DSA ke daftar akun yang disetujui yang dapat melakukan tindakan ini, bersama dengan akun lain yang telah Anda temukan selama mode audit

Untuk informasi selengkapnya, lihat Akses jaringan: Membatasi klien yang diizinkan untuk melakukan panggilan jarak jauh ke SAM.

Pastikan DSA diizinkan untuk mengakses komputer dari jaringan (opsional)

Catatan

Prosedur ini hanya diperlukan jika Anda pernah mengonfigurasi Akses komputer ini dari pengaturan jaringan , karena pengaturan Akses komputer ini dari jaringan tidak dikonfigurasi secara default

Untuk menambahkan DSA ke daftar akun yang diizinkan:

  1. Buka kebijakan dan navigasi ke Konfigurasi Komputer -Kebijakan ->>Windows Pengaturan ->Kebijakan Lokal ->Penetapan Hak Pengguna, dan pilih Akses komputer ini dari pengaturan jaringan. Contohnya:

    Cuplikan layar Editor Manajemen Kebijakan Grup.

  2. Tambahkan akun Layanan Defender for Identity Directory ke daftar akun yang disetujui.

Penting

Saat mengonfigurasi penetapan hak pengguna dalam kebijakan grup, penting untuk dicatat bahwa pengaturan menggantikan yang sebelumnya daripada menambahkannya. Oleh karena itu, pastikan untuk menyertakan semua akun yang diinginkan dalam kebijakan grup yang efektif. Secara default, stasiun kerja dan server mencakup akun berikut: Administrator, Operator Cadangan, Pengguna, dan Semua Orang

Toolkit Kepatuhan Keamanan Microsoft merekomendasikan untuk mengganti Semua Orang dengan Pengguna Terautentikasi default untuk mencegah koneksi anonim melakukan masuk jaringan. Tinjau pengaturan kebijakan lokal Anda sebelum mengelola Akses komputer ini dari pengaturan jaringan dari GPO, dan pertimbangkan untuk menyertakan Pengguna Terautentikasi di GPO jika diperlukan.

Mengonfigurasi profil Perangkat hanya untuk perangkat yang bergabung dengan Microsoft Entra

Prosedur ini menjelaskan cara menggunakan pusat admin Microsoft Intune untuk mengonfigurasi kebijakan di profil Perangkat jika Anda hanya bekerja dengan perangkat yang bergabung dengan Microsoft Entra, dan tidak ada perangkat yang bergabung dengan hibrid.

  1. Di pusat admin Microsoft Intune, buat profil Perangkat baru, yang menentukan nilai berikut:

    • Platform: Windows 10 atau yang lebih baru
    • Jenis profil: katalog Pengaturan

    Masukkan nama dan deskripsi yang bermakna untuk kebijakan Anda.

  2. Tambahkan pengaturan untuk menentukan kebijakan NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM :

    1. Di pemilih Pengaturan, cari Akses Jaringan Batasi Klien yang Diizinkan Untuk Melakukan Panggilan Jarak Jauh Ke SAM.

    2. Pilih untuk menelusuri berdasarkan kategori Opsi Keamanan Kebijakan Lokal, lalu pilih pengaturan Batasi Akses Jaringan Klien Yang Diizinkan Untuk Melakukan Panggilan Jarak Jauh Ke SAM .

    3. Masukkan pendeskripsi keamanan (SDDL): O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;%SID%), ganti %SID% dengan SID akun Layanan Defender for Identity Directory.

      Pastikan untuk menyertakan grup Administrator bawaan:O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;S-1-5-32-544)

  3. Tambahkan pengaturan untuk menentukan kebijakan AccessFromNetwork :

    1. Di pemilih Pengaturan, cari Access From Network.

    2. Pilih untuk menelusuri berdasarkan kategori Hak Pengguna, lalu pilih pengaturan Akses Dari Jaringan .

    3. Pilih untuk mengimpor pengaturan, lalu telusuri dan pilih file CSV yang berisi daftar pengguna dan grup, termasuk SID atau nama.

      Pastikan untuk menyertakan grup Administrator bawaan (S-1-5-32-544), dan SID akun Layanan Defender for Identity Directory.

  4. Lanjutkan wizard untuk memilih tag cakupan dan tugas, dan pilih Buat untuk membuat profil Anda.

Untuk informasi selengkapnya, lihat Menerapkan fitur dan pengaturan di perangkat Anda menggunakan profil perangkat di Microsoft Intune.

Langkah selanjutnya

Mengonfigurasi sensor untuk Layanan Federasi Direktori Aktif dan AD CS ยป