Instalar o ATA - Etapa 9
Aplica-se a: Advanced Threat Analytics versão 1.9
Observação
Antes de impor qualquer nova política, certifique-se sempre de que seu ambiente permaneça seguro, sem afetar a compatibilidade de aplicativos, primeiro habilitando e verificando as alterações propostas no modo de auditoria.
Etapa 9: Configurar as permissões obrigatórias do SAM-R
A detecção de caminho de movimento lateral depende de consultas que identificam administradores locais em máquinas específicas. Essas consultas são executadas usando o protocolo SAM-R, por meio da conta do Serviço ATA criada na Etapa 2. Conectar-se ao AD.
Para garantir que os clientes e servidores Windows permitam que a conta de serviço do ATA execute essa operação do SAM-R, deve ser feita uma modificação na Política de grupo que adicione a conta de serviço do ATA além das contas configuradas listadas na política de Acesso à rede. Essa política de grupo deve ser aplicada a todos os dispositivos em sua organização.
Localize a política:
- Nome da política: Acesso à rede - Restringir clientes autorizados a fazer chamadas remotas ao SAM
- Local: Configuração do computador, Configurações do Windows, Configurações de segurança, Políticas locais, Opções de segurança
Adicione a conta de serviço do ATA à lista de contas aprovadas capazes de executar essa ação em seus sistemas Windows modernos.
O Serviço do ATA (o serviço do ATA criado durante a instalação) agora tem os privilégios adequados para executar o SAM-R no ambiente.
Para obter mais informações sobre o SAM-R e a Política de Grupo, consulte Acesso à rede: restringir clientes com permissão para fazer chamadas remotas ao SAM.
Opção Acesse este computador a partir da rede
Se você definiu a opção Acessar este computador a partir da rede em qualquer GPO que se aplique a computadores em seu domínio, será necessário adicionar a conta de serviço do ATA à lista de contas permitidas para essa configuração:
Observação
A configuração não está habilitada por padrão. Se você não a habilitou anteriormente, não será necessário modificá-la para permitir que o Defender for Identity faça chamadas remotas ao SAM.
Para adicionar a conta de serviço, vá para a política e navegue até Configuração do Computador ->Políticas ->Configurações do Windows ->Políticas Locais ->Atribuição de Direitos de Usuário. Em seguida, abra a configuração Acessar este computador a partir da rede.
Em seguida, adicione a conta de serviço do ATA à lista de contas aprovadas.