Micro soft Defender configureren voor identiteit om externe aanroepen naar SAM te makenConfigure Microsoft Defender for Identity to make remote calls to SAM

Micro soft Defender voor identiteitMicrosoft Defender for Identityde detectie van het pad naar de zijdelingse verplaatsing is afhankelijk van query's waarmee lokale beheerders op specifieke computers worden geïdentificeerd.Micro soft Defender voor identiteitMicrosoft Defender for Identity lateral movement path detection relies on queries that identify local admins on specific machines. Deze query's worden uitgevoerd met het SAM-R-protocol, met behulp van het Defender voor identiteitDefender for Identity Service account dat tijdens de installatie is gemaakt, Defender voor identiteitDefender for Identity stap 2. Verbinding maken met AD.These queries are performed with the SAM-R protocol, using the Defender voor identiteitDefender for Identity Service account created during Defender voor identiteitDefender for Identity installation Step 2. Connect to AD.

SAM-R-vereiste machtigingen configurerenConfigure SAM-R required permissions

Om ervoor te zorgen dat Windows-clients en-servers uw account in staat stellen Defender voor identiteitDefender for Identity om Sam-R uit te voeren, moet er een wijziging in Groepsbeleid worden aangebracht om het service account toe te voegen Defender voor identiteitDefender for Identity naast de geconfigureerde accounts die worden vermeld in het netwerk toegangs beleid.To ensure Windows clients and servers allow your Defender voor identiteitDefender for Identity account to perform SAM-R, a modification to Group Policy must be made to add the Defender voor identiteitDefender for Identity service account in addition to the configured accounts listed in the Network access policy. Zorg ervoor dat u groeps beleid toepast op alle computers , met uitzonde ring van domein controllers.Make sure to apply group policies to all computers except domain controllers.

Notitie

Voordat nieuwe beleids regels worden afgedwongen, zoals deze, is het belang rijk om ervoor te zorgen dat uw omgeving veilig blijft en de wijzigingen niet van invloed zijn op de compatibiliteit van uw toepassingen.Before enforcing new policies such as this one, it is critical to make sure that your environment remains secure, and any changes will not impact your application compatibility. Dit doet u door eerst de compatibiliteit van voorgestelde wijzigingen in de controle modus in te scha kelen en vervolgens te controleren voordat u wijzigingen aanbrengt in uw productie omgeving.Do this by first enabling and then verifying the compatibility of proposed changes in audit mode before making changes to your production environment.

  1. Zoek het beleid:Locate the policy:

    • Beleids naam: netwerk toegang-clients beperken die externe aanroepen naar SAM mogen uitvoerenPolicy Name: Network access - Restrict clients allowed to make remote calls to SAM
    • Locatie: computer configuratie, Windows-instellingen, beveiligings instellingen, lokaal beleid, beveiligings optiesLocation: Computer configuration, Windows settings, Security settings, Local policies, Security options

    Het beleid zoeken

  2. Voeg de- Defender voor identiteitDefender for Identity service toe aan de lijst met goedgekeurde accounts om deze actie uit te voeren op uw moderne Windows-systemen.Add the Defender voor identiteitDefender for Identity service to the list of approved accounts able to perform this action on your modern Windows systems.

    De service toevoegen

  3. De AATP-service (de Defender voor identiteitDefender for Identity service die is gemaakt tijdens de installatie) heeft nu de benodigde bevoegdheden om Sam-R in de omgeving uit te voeren.AATP Service (the Defender voor identiteitDefender for Identity service created during installation) now has the privileges needed to perform SAM-R in the environment.

Zie netwerk toegang: clients mogen beperken om externe aanroepen naar Sam te makenvoor meer informatie over Sam-R en deze Groepsbeleid.For more on SAM-R and this Group Policy, see Network access: Restrict clients allowed to make remote calls to SAM.

Zie ookSee Also