Dela via

Installera ATA – steg 9

  • Artikel

Gäller för: Advanced Threat Analytics version 1.9

« Steg 8

Kommentar

Innan du framtvingar en ny princip måste du alltid se till att din miljö förblir säker, utan att påverka programkompatibiliteten genom att först aktivera och verifiera de föreslagna ändringarna i granskningsläge.

Steg 9: Konfigurera NÖDVÄNDIGA SAM-R-behörigheter

Identifieringen av lateral förflyttningssökväg förlitar sig på frågor som identifierar lokala administratörer på specifika datorer. Dessa frågor utförs med hjälp av SAM-R-protokollet via ATA-tjänstkontot som skapades i steg 2. Anslut till AD.

För att säkerställa att Windows-klienter och -servrar tillåter ATA-tjänstkontot att utföra den här SAM-R-åtgärden måste en ändring av grupprincipen göras som lägger till ATA-tjänstkontot utöver de konfigurerade konton som anges i nätverksåtkomstprincipen. Den här grupprincipen bör tillämpas för varje enhet i din organisation.

  1. Leta upp principen:

    • Principnamn: Nätverksåtkomst – Begränsa klienter som tillåts göra fjärranrop till SAM
    • Plats: Datorkonfiguration, Windows-inställningar, Säkerhetsinställningar, Lokala principer, Säkerhetsalternativ

    Locate the policy.

  2. Lägg till ATA-tjänsten i listan över godkända konton som kan utföra den här åtgärden på dina moderna Windows-system.

    Add the service.

  3. ATA-tjänsten (ATA-tjänsten som skapades under installationen) har nu rätt behörighet att utföra SAM-R i miljön.

Mer information om SAM-R och grupprincip finns i Nätverksåtkomst: Begränsa klienter som tillåts göra fjärranrop till SAM.

Få åtkomst till den här datorn från nätverksinställningen

Om du har definierat inställningen Åtkomst till den här datorn från nätverksinställningen i ett grupprincipobjekt som gäller för datorer i domänen måste du lägga till ATA-tjänstkontot i listan över tillåtna konton för den inställningen:

Kommentar

Inställningen är inte aktiverad som standard. Om du inte har aktiverat det tidigare behöver du inte ändra det så att Defender for Identity kan göra fjärranrop till SAM.

Om du vill lägga till tjänstkontot går du till principen och navigerar till Datorkonfiguration ->Principer ->Windows Inställningar ->Lokala principer ->Tilldelning av användarrätt. Öppna sedan inställningen Åtkomst till den här datorn från nätverket.

Access this computer from the network setting.

Lägg sedan till ATA-tjänstkontot i listan över godkända konton.

Add the service account.

« Steg 8

Se även