Configurar Microsoft Defender for Identity para realizar llamadas remotas a SAM

Microsoft Defender for IdentityLa detección de rutas de desplazamiento lateral se basa en consultas que identifican a los administradores locales en máquinas específicas. Estas consultas se realizan con el protocolo SAM-R mediante la cuenta Defender for Identity de servicio creada durante el paso Defender for Identity 2 de la instalación. Conectar a AD.

Configuración de los permisos necesarios de SAM-R

Para asegurarse de que Windows clientes y servidores permiten que la cuenta realice SAM-R, se debe realizar una modificación en directiva de grupo para agregar la cuenta de servicio además de las cuentas configuradas enumeradas en la directiva de acceso a la Defender for Identity Defender for Identity red. Asegúrese de aplicar directivas de grupo a todos los equipos excepto a los controladores de dominio.

Nota

Antes de aplicar nuevas directivas como esta, es fundamental asegurarse de que el entorno sigue protegido y de que los cambios no afectarán a la compatibilidad de las aplicaciones. Para ello, primero debe habilitar y comprobar la compatibilidad de los cambios propuestos en modo de auditoría para poder aplicar cambios al entorno de producción.

  1. Busque la directiva:

    • Nombre de la directiva: Acceso de red: evitar que clientes con permiso realicen llamadas remotas a SAM
    • Ubicación: Configuración del equipo, Configuración de Windows, Configuración de seguridad, Directivas locales, Opciones de seguridad

    Busque la directiva.

  2. Agregue la Defender for Identity cuenta de servicio a la lista de cuentas aprobadas que pueden realizar esta acción en los sistemas Windows modernos.

    Adición del servicio.

  3. El servicio AATP (la cuenta de servicio creada durante la instalación) ahora tiene los privilegios necesarios para Defender for Identity realizar SAM-R en el entorno.

Para más información sobre SAM-R y esta directiva de grupo, consulte Acceso de red: evitar que clientes con permiso realicen llamadas remotas a SAM.

Acceso a este equipo desde la configuración de red

Si ha definido la configuración Acceso a este equipo desde la red en cualquier GPO que se aplique a los equipos del dominio, deberá agregar la cuenta del servicio Defender for Identity a la lista de cuentas permitidas para esa configuración:

Nota

La configuración no está habilitada de forma predeterminada. Si no lo ha habilitado anteriormente, no es necesario modificarlo para permitir que Defender for Identity realice llamadas remotas a SAM.

Para agregar la cuenta de servicio, vaya a la directiva y vaya a Directivas de configuración del -> -> equipo Windows Configuración -> asignación -> de derecho de usuario de directivas locales . A continuación, abra la configuración Acceder a este equipo desde la red.

Acceda a este equipo desde la configuración de red.

A continuación, Defender for Identity agregue la cuenta de servicio a la lista de cuentas aprobadas.

Agregue la cuenta de servicio.

Consulte también