SAM-R configureren om detectie van laterale verplaatsingspaden in te schakelen in Microsoft Defender for Identity
Microsoft Defender for Identity-toewijzing voor mogelijke laterale verplaatsingspaden is afhankelijk van query's waarmee lokale beheerders op specifieke computers worden geïdentificeerd. Deze query's worden uitgevoerd met het SAM-R-protocol, met behulp van het Defender for Identity Directory Service-account dat u hebt geconfigureerd.
In dit artikel worden de configuratiewijzigingen beschreven die nodig zijn om het Defender for Identity Directory Services-account (DSA) toe te staan de SAM-R-query's uit te voeren.
Tip
Hoewel deze procedure optioneel is, raden we u aan een Directory Service-account te configureren en SAM-R te configureren voor detectie van laterale verplaatsingspaden om uw omgeving volledig te beveiligen met Defender for Identity.
Vereiste SAM-R-machtigingen configureren
Om ervoor te zorgen dat Windows-clients en -servers uw Defender for Identity Directory Services-account (DSA) toestaan OM SAM-R-query's uit te voeren, moet u het groepsbeleid wijzigen en de DSA toevoegen, naast de geconfigureerde accounts die worden vermeld in het netwerktoegangsbeleid . Zorg ervoor dat u groepsbeleid toepast op alle computers , met uitzondering van domeincontrollers.
Belangrijk
Voer deze procedure eerst uit in de controlemodus , waarbij u de compatibiliteit van de voorgestelde configuratie controleert voordat u de wijzigingen in uw productieomgeving aanbrengt.
Testen in de controlemodus is essentieel om ervoor te zorgen dat uw omgeving veilig blijft en eventuele wijzigingen niet van invloed zijn op de compatibiliteit van uw toepassing. Mogelijk ziet u meer SAM-R-verkeer, gegenereerd door de Defender for Identity-sensoren.
Vereiste machtigingen configureren:
Zoek het beleid. Selecteer in uw Computerconfiguratie > Windows-instellingen Beveiligingsinstellingen >> Lokale beleidsbeveiligingsopties >de netwerktoegang : clients beperken die externe aanroepen naar SAM-beleid mogen maken. Voorbeeld:
Voeg de DSA toe aan de lijst met goedgekeurde accounts die deze actie kunnen uitvoeren, samen met elk ander account dat u tijdens de controlemodus hebt gedetecteerd
Zie Netwerktoegang: Clients beperken die externe aanroepen naar SAM mogen uitvoeren voor meer informatie.
Zorg ervoor dat de DSA toegang heeft tot computers vanaf het netwerk (optioneel)
Notitie
Deze procedure is alleen vereist als u de Access-computer ooit hebt geconfigureerd vanuit de netwerkinstelling , omdat de Access deze computer vanaf de netwerkinstelling niet standaard is geconfigureerd
De DSA toevoegen aan de lijst met toegestane accounts:
Ga naar het beleid en navigeer naar Computerconfiguratie ->Beleid ->Windows Instellingen ->Lokaal beleid ->Gebruikersrechttoewijzing en selecteer de toegang tot deze computer in de netwerkinstelling. Voorbeeld:
Voeg het Defender for Identity Directory Service-account toe aan de lijst met goedgekeurde accounts.
Belangrijk
Wanneer u gebruikersrechtentoewijzingen configureert in groepsbeleid, is het belangrijk om te weten dat de instelling de vorige vervangt in plaats van eraan toe te voegen. Zorg er daarom voor dat u alle gewenste accounts in het effectieve groepsbeleid opneemt. Werkstations en servers bevatten standaard de volgende accounts: Beheer istrators, back-upoperators, gebruikers en iedereen
De Microsoft Security Compliance Toolkit raadt aan de standaardinstellingen iedereen te vervangen door geverifieerde gebruikers om te voorkomen dat anonieme verbindingen netwerkaanmelding uitvoeren. Controleer uw lokale beleidsinstellingen voordat u de toegang tot deze computer beheert vanuit de netwerkinstelling van een groepsbeleidsobject en overweeg indien nodig geverifieerde gebruikers in het groepsbeleidsobject op te nemen.
Een apparaatprofiel configureren voor alleen aan Microsoft Entra gekoppelde apparaten
In deze procedure wordt beschreven hoe u het Microsoft Intune-beheercentrum gebruikt om het beleid in een apparaatprofiel te configureren als u alleen werkt met aan Microsoft Entra gekoppelde apparaten en geen hybride gekoppelde apparaten.
Maak in het Microsoft Intune-beheercentrum een nieuw apparaatprofiel en definieer de volgende waarden:
- Platform: Windows 10 of hoger
- Profieltype: Instellingen catalogus
Voer een beschrijvende naam en beschrijving in voor uw beleid.
Instellingen toevoegen om een NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM-beleid te definiëren:
Zoek in de Instellingen kiezer naar Netwerktoegang beperken dat clients externe aanroepen naar SAM mogen uitvoeren.
Selecteer deze optie om te bladeren door de categorie Beveiligingsopties voor lokaal beleid en selecteer vervolgens de instelling Clients beperken die externe aanroepen naar SAM mogen uitvoeren.
Voer de security descriptor (SDDL) in:
O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;%SID%)en vervang deze%SID%door de SID van het Defender for Identity Directory Service-account.Zorg ervoor dat u de ingebouwde groep Beheer istrators opneemt:
O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;S-1-5-32-544)
Voeg instellingen toe om een AccessFromNetwork-beleid te definiëren:
Zoek in de Instellingen kiezer naar Access From Network.
Selecteer deze optie om door de categorie Gebruikersrechten te bladeren en selecteer vervolgens de instelling Toegang vanuit het netwerk .
Selecteer deze optie om instellingen te importeren en blader naar een CSV-bestand dat een lijst met gebruikers en groepen bevat, inclusief SID's of namen.
Zorg ervoor dat u de ingebouwde groep Beheer istrators (S-1-5-32-544) en de SID van het Defender for Identity Directory Service-account opneemt.
Ga door met de wizard om de bereiktags en toewijzingen te selecteren en selecteer Maken om uw profiel te maken.
Zie Functies en instellingen op uw apparaten toepassen met apparaatprofielen in Microsoft Intune voor meer informatie.