Configurar o SAM-R para habilitar a deteção de caminho de movimento lateral no Microsoft Defender for Identity
O mapeamento do Microsoft Defender for Identity para possíveis caminhos de movimento lateral depende de consultas que identificam administradores locais em máquinas específicas. Essas consultas são realizadas com o protocolo SAM-R, usando a conta do Defender for Identity Directory Service configurada.
Este artigo descreve as alterações de configuração necessárias para permitir que o Defender for Identity Directory Services Account (DSA) execute as consultas SAM-R.
Gorjeta
Embora esse procedimento seja opcional, recomendamos que você configure uma conta do Serviço de Diretório e configure o SAM-R para deteção de caminho de movimento lateral para proteger totalmente seu ambiente com o Defender for Identity.
Configurar as permissões necessárias do SAM-R
Para garantir que os clientes e servidores Windows permitam que sua Conta de Serviços de Diretório de Identidade (DSA) do Defender para executar consultas SAM-R, você deve modificar a Diretiva de Grupo e adicionar o DSA, além das contas configuradas listadas na Diretiva de acesso à rede. Certifique-se de aplicar diretivas de grupo a todos os computadores , exceto controladores de domínio.
Importante
Execute este procedimento no modo de auditoria primeiro, verificando a compatibilidade da configuração proposta antes de fazer as alterações no ambiente de produção.
O teste no modo de auditoria é fundamental para garantir que seu ambiente permaneça seguro e que quaisquer alterações não afetarão a compatibilidade do aplicativo. Você pode observar o aumento do tráfego SAM-R, gerado pelos sensores do Defender for Identity.
Para configurar as permissões necessárias:
Localize a política. Na configuração > do computador, configurações > do Windows, Configurações de segurança, Políticas > > locais, Opções de segurança, selecione a Diretiva Acesso à rede - Restringir clientes autorizados a fazer chamadas remotas para SAM. Por exemplo:
Adicione o DSA à lista de contas aprovadas capazes de executar esta ação, juntamente com qualquer outra conta que tenha descoberto durante o modo de auditoria
Para obter mais informações, consulte Acesso à rede: restringir clientes autorizados a fazer chamadas remotas para SAM.
Verifique se o DSA tem permissão para acessar computadores da rede (opcional)
Nota
Este procedimento só é necessário se alguma vez tiver configurado a definição Aceder a este computador a partir da rede , uma vez que a definição Aceder a este computador a partir da rede não está configurada por predefinição
Para adicionar o DSA à lista de contas permitidas:
Vá para a política e navegue até Configuração do Computador ->Políticas ->Configurações do Windows -Políticas Locais> ->Atribuição de Direito de Usuário e selecione Acessar este computador na configuração de rede. Por exemplo:
Adicione a conta do Defender for Identity Directory Service à lista de contas aprovadas.
Importante
Ao configurar atribuições de direitos de usuário em diretivas de grupo, é importante observar que a configuração substitui a anterior em vez de adicioná-la. Portanto, certifique-se de incluir todas as contas desejadas na política de grupo efetiva. Por padrão, estações de trabalho e servidores incluem as seguintes contas: Administradores, Operadores de backup, Usuários e Todos
O Microsoft Security Compliance Toolkit recomenda a substituição do padrão Todos por Usuários Autenticados para impedir que conexões anônimas executem entradas na rede. Revise suas configurações de diretiva local antes de gerenciar a configuração Acessar este computador a partir da rede a partir de um GPO e considere incluir Usuários Autenticados no GPO, se necessário.
Configurar um perfil de dispositivo apenas para dispositivos associados híbridos do Microsoft Entra
Este procedimento descreve como usar o centro de administração do Microsoft Intune para configurar as políticas em um perfil de dispositivo se você estiver trabalhando com dispositivos associados híbridos do Microsoft Entra.
No centro de administração do Microsoft Intune, crie um novo perfil de Dispositivo, definindo os seguintes valores:
- Plataforma: Windows 10 ou posterior
- Tipo de perfil: Catálogo de configurações
Insira um nome e uma descrição significativos para sua política.
Adicione configurações para definir uma política de NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM :
No seletor de configurações, procure por Clientes restritos de acesso à rede autorizados a fazer chamadas remotas para SAM.
Selecione para navegar pela categoria Opções de Segurança de Políticas Locais e, em seguida, selecione a configuração Restringir Clientes de Acesso à Rede Autorizados a Fazer Chamadas Remotas para SAM.
Insira o descritor de segurança (SDDL):
O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;%SID%)
, substituindo%SID%
pelo SID da conta do Defender for Identity Directory Service.Certifique-se de incluir o grupo Administradores interno:
O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;S-1-5-32-544)
Adicione configurações para definir uma política AccessFromNetwork :
No seletor de configurações, procure Acesso da rede.
Selecione para navegar pela categoria Direitos do Usuário e, em seguida, selecione a configuração Acesso da rede .
Selecione para importar configurações e, em seguida, procure e selecione um arquivo CSV que contenha uma lista de usuários e grupos, incluindo SIDs ou nomes.
Certifique-se de incluir o grupo interno Administradores (S-1-5-32-544) e o SID da conta do Defender for Identity Directory Service.
Continue o assistente para selecionar as tags e atribuições de escopo e selecione Criar para criar seu perfil.
Para obter mais informações, consulte Aplicar recursos e configurações em seus dispositivos usando perfis de dispositivo no Microsoft Intune.