重要
从 2025 年 5 月中旬开始,Microsoft Defender for Identity不再使用 SAM-R 查询从终结点收集本地管理员组成员。 此数据用于构建不再更新的潜在横向移动路径映射。 更改已自动应用,无需执行任何管理作或配置更改。
潜在横向移动路径Microsoft Defender for Identity映射依赖于标识特定计算机上的本地管理员的查询。 这些查询使用你配置的 Defender for Identity Directory 服务帐户 通过 SAM-R 协议执行。
本文介绍允许 Defender for Identity Directory Services 帐户 (DSA) 执行 SAM-R 查询所需的配置更改。
提示
虽然此过程是可选的,但我们建议你配置目录服务帐户,并为横向移动路径检测配置 SAM-R,以便使用 Defender for Identity 完全保护环境。
配置 SAM-R 所需的权限
若要确保 Windows 客户端和服务器允许 Defender for Identity Directory 服务帐户 (DSA) 执行 SAM-R 查询,除了网络访问策略中列出的已配置帐户外,还必须修改组策略并添加 DSA。 请确保将组策略应用于 域控制器以外的所有计算机。
重要
首先在 审核模式下 执行此过程,方法是在对生产环境进行更改之前验证建议配置的兼容性。
在审核模式下进行测试对于确保环境保持安全至关重要,任何更改都不会影响应用程序兼容性。 你可能会观察到 Defender for Identity 传感器生成的 SAM-R 流量增加。
配置所需权限:
创建新的组策略或使用现有组策略。
在 “计算机配置 > ”“Windows 设置 > ”“安全设置 > ”“本地策略 > ”“安全选项”中,选择“ 网络访问 - 限制允许客户端对 SAM 进行远程调用 ”策略。 例如:
将 DSA 添加到能够执行此作的已批准帐户列表,以及你在审核模式下发现的任何其他帐户。
有关详细信息,请参阅 网络访问:限制允许对 SAM 进行远程调用的客户端。
确保允许 DSA 从网络访问计算机 (可选)
注意
仅当已配置“ 从网络访问此计算机” 设置时,才需要此过程,因为默认情况下未配置 “从网络访问此计算机 ”设置
若要将 DSA 添加到允许的帐户列表,请执行以下作:
转到策略并导航到“计算机配置”->“策略”->“Windows 设置”->“本地策略”->“用户权限分配”,然后选择“从网络访问此计算机”设置。 例如:
将 Defender for Identity Directory 服务帐户添加到已批准的帐户列表中。
重要
在组策略中配置用户权限分配时,请务必注意,该设置 将替换 上一个设置,而不是将其添加到其中。 因此,请确保在有效的组策略中包含 所有 所需的帐户。 默认情况下,工作站和服务器包括以下帐户:管理员、备份作员、用户和每个人。
Microsoft安全合规性工具包建议将默认的“每个人”替换为“经过身份验证的用户”,以防止匿名连接执行网络登录。在管理从 GPO 的网络访问此计算机设置之前,请查看本地策略设置,并考虑在 GPO 中包含经过身份验证的用户(如果需要)。
仅为Microsoft Entra混合联接的设备配置设备配置文件
此过程介绍如何使用 Microsoft Intune 管理中心在设备配置文件中配置策略(如果使用Microsoft Entra混合加入的设备)。
在 Microsoft Intune 管理中心中,创建新的设备配置文件,定义以下值:
- 平台:Windows 10或更高版本
- 配置文件类型:设置目录
为策略输入有意义的名称和说明。
添加设置以定义 NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM 策略:
在 “设置”选取器中,搜索 “允许对 SAM 进行远程调用的网络访问限制客户端”。
选择以按 “本地策略安全选项” 类别浏览,然后选择“ 网络访问限制允许客户端对 SAM 进行远程调用 ”设置。
输入安全描述符 (SDDL) :
O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;%SID%)
,将%SID%
替换为 Defender for Identity Directory 服务帐户 SID。请确保包含内置 管理员 组:
O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;S-1-5-32-544)
添加设置以定义 AccessFromNetwork 策略:
在 “设置”选取器中,搜索 “从网络访问”。
选择按 “用户权限” 类别浏览,然后选择“ 从网络访问” 设置。
选择以导入设置,然后浏览并选择包含用户和组列表(包括 SID 或名称)的 CSV 文件。
请确保包含内置 管理员 组 (S-1-5-32-544) 和 Defender for Identity Directory 服务帐户 SID。
继续向导以选择 范围标记 和 分配,然后选择“ 创建 ”以创建配置文件。
有关详细信息,请参阅在 Microsoft Intune 中使用设备配置文件在设备上应用功能和设置。