設定SAM-R 以在 適用於身分識別的 Microsoft Defender 中啟用橫向動作路徑偵測

  • 文章

適用於身分識別的 Microsoft Defender 對應潛在橫向動作路徑時,會依賴可識別特定計算機上本機系統管理員的查詢。 這些查詢是使用您設定的 Defender for Identity Directory 服務帳戶 ,使用 SAM-R 通訊協定來執行。

本文說明允許適用於身分識別目錄服務帳戶的 Defender 執行 SAM-R 查詢所需的設定變更。

提示

雖然此程式是選擇性的,但建議您設定目錄服務帳戶,並設定SAM-R進行橫向動作路徑偵測,以使用適用於身分識別的Defender來完全保護您的環境。

設定SAM-R必要許可權

為了確保 Windows 用戶端和伺服器允許適用於身分識別的 Defender 目錄服務帳戶 (DSA) 執行 SAM-R 查詢,除了網路存取原則中列出的已設定帳戶之外,還必須修改組策略並新增 DSA。 請務必將組策略套用至域控制器以外的所有計算機

重要

先在稽核模式執行此程式,先確認建議組態的相容性,再對生產環境進行變更。

在稽核模式中進行測試對於確保環境保持安全非常重要,而且任何變更都不會影響您的應用程式相容性。 您可能會觀察到適用於身分識別的 Defender 感測器所產生的 SAM-R 流量增加。

若要設定必要的權限

  1. 找出 原則。 在 \[ 計算機設定 > \] \[Windows 設定 > \] \[安全性設定 > \] \[本機原則 > \] \[安全性選項\] 中,選取 \ [網络存取 - 限制允許遠端呼叫 SAM 原則的用戶端\ ]。 例如:

    已選取 [網络存取原則] 的螢幕快照。

  2. 將 DSA 新增至可執行此動作的已核准帳戶清單,以及您在稽核模式期間探索到的任何其他帳戶

如需詳細資訊,請參閱 網路存取:限制允許對 SAM 進行遠端呼叫的用戶端。

確定 DSA 允許從網路存取電腦(選擇性)

注意

只有在您已 設定 [從網络 存取這部計算機] 設定時,才需要此程式,因為 預設不會設定 [從網络 存取這部計算機] 設定

若要將 DSA 新增至允許的帳戶清單:

  1. 移至原則並流覽至 [計算機設定-> 原則 -> Windows 設定 -> 本機原則 -> 使用者權力指派],然後從網路設定選取 [存取這部計算機]。 例如:

    組策略管理編輯器的螢幕快照。

  2. 將適用於身分識別的 Defender 目錄服務帳戶新增至核准的帳戶清單。

重要

在組策略中設定用戶權力指派時,請務必注意,此設定會取代先前的設定,而不是新增至該設定。 因此,請務必在 有效的組策略中包含所有 所需的帳戶。 根據預設,工作站和伺服器包含下列帳戶:管理員 istrators、Backup Operators、Users 和 Everyone

Microsoft 安全性合規性工具組建議將預設的 Everyone 取代為已驗證的使用者,以防止匿名連線執行網路登入。在管理 GPO 的網路設定存取這部電腦之前,請先檢閱您的本機原則設定,並視需要在 GPO 中包含已驗證的使用者

僅設定 Microsoft Entra 已加入裝置的裝置配置檔

此程序說明如果您只使用已加入 Microsoft Entra 的裝置,且沒有混合式加入的裝置,請使用 Microsoft Intune 系統管理中心 在裝置設定檔中設定原則。

  1. 在 Microsoft Intune 系統管理中心中,建立新的裝置配置檔,並定義下列值:

    • 平臺:Windows 10 或更新版本
    • 配置檔類型:設定 目錄

    為您的原則輸入有意義的名稱和描述。

  2. 新增設定以定義 NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM 原則:

    1. 設定 選擇器中,搜尋 [網络存取限制允許對 SAM 進行遠端呼叫的用戶端]。

    2. 選取 [本機原則安全性選項] 類別瀏覽,然後選取 [網络存取限制允許對 SAM 進行遠端呼叫的用戶端] 設定。

    3. 輸入安全性描述元 (SDDL): O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;%SID%),將 取代 %SID% 為適用於身分識別的 Defender 目錄服務帳戶 SID。

      請務必包含內建 管理員 istrators 群組:O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;S-1-5-32-544)

  3. 新增設定以定義 AccessFromNetwork 原則:

    1. 設定 選擇器中,搜尋 [從網络存取]。

    2. 選取 [用戶權力] 類別來瀏覽,然後選取 [從網络存取] 設定。

    3. 選取以匯入設定,然後流覽至並選取包含使用者和群組清單的 CSV 檔案,包括 SID 或名稱。

      請務必包含內建的 管理員 istrators 群組 (S-1-5-32-544),以及適用於身分識別的 Defender 目錄服務帳戶 SID。

  4. 繼續精靈以選取 範圍標籤指派,然後選取 [ 建立 ] 以建立您的配置檔。

如需詳細資訊,請參閱 在 Microsoft Intune 中使用裝置設定檔在裝置上套用功能和設定。

後續步驟

設定 AD FS 和 AD CS 的感測器 »