Настройка SAM-R для включения обнаружения пути бокового перемещения в Microsoft Defender для удостоверений

Microsoft Defender для удостоверений сопоставление потенциальных путей бокового перемещения зависит от запросов, определяющих локальных администраторов на определенных компьютерах. Эти запросы выполняются с помощью протокола SAM-R с помощью настроенной учетной записи службы Defender для службы каталогов удостоверений.

В этой статье описываются изменения конфигурации, необходимые для предоставления учетной записи службы каталогов Defender для удостоверений (DSA) для выполнения запросов SAM-R.

Совет

Хотя эта процедура является необязательной, рекомендуется настроить учетную запись службы каталогов и настроить SAM-R для обнаружения пути бокового перемещения, чтобы полностью защитить среду с помощью Defender для удостоверений.

Настройка необходимых разрешений SAM-R

Чтобы обеспечить, чтобы клиенты и серверы Windows разрешали учетным записям служб каталогов Defender для удостоверений выполнять запросы SAM-R, необходимо изменить групповую политику и добавить DSA, помимо настроенных учетных записей, перечисленных в политике доступа к сети. Не забудьте применить групповые политики ко всем компьютерам , кроме контроллеров домена.

Внимание

Сначала выполните эту процедуру в режиме аудита, проверяя совместимость предлагаемой конфигурации перед внесением изменений в рабочую среду.

Тестирование в режиме аудита крайне важно для обеспечения безопасности вашей среды, и любые изменения не повлияют на совместимость приложений. Вы можете наблюдать увеличение трафика SAM-R, созданного датчиками Defender для удостоверений.

Чтобы настроить необходимые разрешения, выполните следующие действия.

1. Найдите политику . В параметрах windows конфигурации > компьютера параметры безопасности локальных > политик выберите параметры безопасности локальных > политик>. Ограничение доступа к клиентам, которым разрешено выполнять удаленные вызовы к политике SAM. Например:

   

2. Добавьте DSA в список утвержденных учетных записей, способных выполнить это действие, вместе с любой другой учетной записью, обнаруженной в режиме аудита.

Дополнительные сведения см. в разделе "Сетевой доступ: ограничение доступа к клиентам, которым разрешено выполнять удаленные вызовы к SAM".

Убедитесь, что DSA разрешен доступ к компьютерам из сети (необязательно)

Примечание.

Эта процедура требуется только в том случае, если вы когда-либо настроили доступ к этому компьютеру из параметра сети , так как доступ к этому компьютеру из параметра сети не настроен по умолчанию.

Чтобы добавить DSA в список разрешенных учетных записей, выполните указанные ниже действия.

1. Перейдите к политике и перейдите к разделу "Конфигурация компьютера " Политики ">> Windows Параметры ->Локальные политики -> Назначение прав пользователя и выберите доступ к этому компьютеру из параметра сети. Например:

   

2. Добавьте учетную запись Defender для службы каталогов удостоверений в список утвержденных учетных записей.

Внимание

При настройке назначений прав пользователей в групповых политиках важно отметить, что параметр заменяет предыдущий, а не добавляет в него. Поэтому обязательно включите все необходимые учетные записи в эффективную групповую политику. По умолчанию рабочие станции и серверы включают следующие учетные записи: Администратор istrator, операторы резервного копирования, пользователи и все

Набор средств соответствия требованиям безопасности Майкрософт рекомендует заменить всех пользователей, прошедших проверку подлинности, чтобы запретить анонимным подключениям выполнять сетевые входы. Просмотрите параметры локальной политики, прежде чем управлять компьютером Access из параметра сети из объекта групповой политики, и при необходимости рассмотрите возможность включения пользователей, прошедших проверку подлинности в объекте групповой политики.

Настройка профиля устройства только для устройств, присоединенных к Microsoft Entra

В этой процедуре описывается, как использовать Центр администрирования Microsoft Intune для настройки политик в профиле устройства, если вы работаете только с устройствами, присоединенными к Microsoft Entra, и без гибридных присоединенных устройств.

1. В Центре администрирования Microsoft Intune создайте новый профиль устройства, определяя следующие значения:

   • Платформа: Windows 10 или более поздней версии
   • Тип профиля: каталог Параметры

   Введите понятное имя и описание политики.

2. Добавьте параметры для определения политики NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM :

   1. В средство выбора Параметры найдите доступ к сети, чтобы разрешить клиентам выполнять удаленные вызовы к SAM.

   2. Выберите, чтобы просмотреть категорию "Параметры безопасности локальных политик", а затем выберите параметр "Ограничения доступа к сети", разрешенный для удаленных вызовов к SAM .

   3. Введите дескриптор безопасности (SDDL): O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;%SID%)заменив %SID% идентификатор безопасности учетной записи службы каталогов Defender для удостоверений.

      Обязательно включите встроенную группу Администратор istrator:O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;S-1-5-32-544)

3. Добавьте параметры для определения политики AccessFromNetwork :

   1. В средство выбора Параметры найдите Доступ из сети.

   2. Выберите для просмотра категорию "Права пользователя" , а затем выберите параметр Access From Network .

   3. Выберите для импорта параметров, а затем перейдите к CSV-файлу, который содержит список пользователей и групп, включая идентификаторы или имена.

      Обязательно включите встроенную группу Администратор istrator (S-1-5-32-544) и идентификатор безопасности учетной записи службы каталогов Защитника для удостоверений.

4. Перейдите к мастеру, чтобы выбрать область теги и назначения, а затем нажмите кнопку "Создать", чтобы создать профиль.

Дополнительные сведения см. в разделе "Применение функций и параметров" на устройствах с помощью профилей устройств в Microsoft Intune.

Следующий шаг

Настройка датчиков для AD FS и AD CS »