配置 SAM-R 以在 Microsoft Defender for Identity 中启用横向移动路径检测

重要

从 2025 年 5 月中旬开始,Microsoft Defender for Identity不再使用 SAM-R 查询从终结点收集本地管理员组成员。 此数据用于构建不再更新的潜在横向移动路径映射。 更改已自动应用,无需执行任何管理作或配置更改。

潜在横向移动路径Microsoft Defender for Identity映射依赖于标识特定计算机上的本地管理员的查询。 这些查询使用你配置的 Defender for Identity Directory 服务帐户 通过 SAM-R 协议执行。

本文介绍允许 Defender for Identity Directory Services 帐户 (DSA) 执行 SAM-R 查询所需的配置更改。

提示

虽然此过程是可选的,但我们建议你配置目录服务帐户,并为横向移动路径检测配置 SAM-R,以便使用 Defender for Identity 完全保护环境。

配置 SAM-R 所需的权限

若要确保 Windows 客户端和服务器允许 Defender for Identity Directory 服务帐户 (DSA) 执行 SAM-R 查询,除了网络访问策略中列出的已配置帐户外,还必须修改组策略并添加 DSA。 请确保将组策略应用于 域控制器以外的所有计算机。

重要

首先在 审核模式下 执行此过程,方法是在对生产环境进行更改之前验证建议配置的兼容性。

在审核模式下进行测试对于确保环境保持安全至关重要,任何更改都不会影响应用程序兼容性。 你可能会观察到 Defender for Identity 传感器生成的 SAM-R 流量增加。

配置所需权限

  1. 创建新的组策略或使用现有组策略。

  2. “计算机配置 > ”“Windows 设置 > ”“安全设置 > ”“本地策略 > ”“安全选项”中,选择“ 网络访问 - 限制允许客户端对 SAM 进行远程调用 ”策略。 例如:

    所选网络访问策略的屏幕截图。

  3. 将 DSA 添加到能够执行此作的已批准帐户列表,以及你在审核模式下发现的任何其他帐户。

    网络访问策略设置的屏幕截图。

    有关详细信息,请参阅 网络访问:限制允许对 SAM 进行远程调用的客户端

确保允许 DSA 从网络访问计算机 (可选)

注意

仅当已配置“ 从网络访问此计算机” 设置时,才需要此过程,因为默认情况下未配置 “从网络访问此计算机 ”设置

若要将 DSA 添加到允许的帐户列表,请执行以下作

  1. 转到策略并导航到“计算机配置”->“策略”->“Windows 设置”->“本地策略”->“用户权限分配”,然后选择“从网络访问此计算机”设置。 例如:

    组策略管理编辑器的屏幕截图。

  2. 将 Defender for Identity Directory 服务帐户添加到已批准的帐户列表中。

    重要

    在组策略中配置用户权限分配时,请务必注意,该设置 将替换 上一个设置,而不是将其添加到其中。 因此,请确保在有效的组策略中包含 所有 所需的帐户。 默认情况下,工作站和服务器包括以下帐户:管理员、备份作员、用户和每个人。

    Microsoft安全合规性工具包建议将默认的“每个人”替换为“经过身份验证的用户”,以防止匿名连接执行网络登录。在管理从 GPO 的网络访问此计算机设置之前,请查看本地策略设置,并考虑在 GPO 中包含经过身份验证的用户(如果需要)。

    安全策略设置的屏幕截图。

仅为Microsoft Entra混合联接的设备配置设备配置文件

此过程介绍如何使用 Microsoft Intune 管理中心在设备配置文件中配置策略(如果使用Microsoft Entra混合加入的设备)。

  1. 在 Microsoft Intune 管理中心中,创建新的设备配置文件,定义以下值:

    • 平台:Windows 10或更高版本
    • 配置文件类型:设置目录

    为策略输入有意义的名称和说明。

  2. 添加设置以定义 NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM 策略:

    1. “设置”选取器中,搜索 “允许对 SAM 进行远程调用的网络访问限制客户端”。

    2. 选择以按 “本地策略安全选项” 类别浏览,然后选择“ 网络访问限制允许客户端对 SAM 进行远程调用 ”设置。

    3. 输入安全描述符 (SDDL) : O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;%SID%),将 %SID% 替换为 Defender for Identity Directory 服务帐户 SID。

      请确保包含内置 管理员 组: O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;S-1-5-32-544)

  3. 添加设置以定义 AccessFromNetwork 策略:

    1. “设置”选取器中,搜索 “从网络访问”。

    2. 选择按 “用户权限” 类别浏览,然后选择“ 从网络访问” 设置。

    3. 选择以导入设置,然后浏览并选择包含用户和组列表(包括 SID 或名称)的 CSV 文件。

      请确保包含内置 管理员 组 (S-1-5-32-544) 和 Defender for Identity Directory 服务帐户 SID。

  4. 继续向导以选择 范围标记分配,然后选择“ 创建 ”以创建配置文件。

    有关详细信息,请参阅在 Microsoft Intune 中使用设备配置文件在设备上应用功能和设置

后续步骤