Configurar o SAM-R para habilitar a deteção de caminho de movimento lateral no Microsoft Defender for Identity
O mapeamento do Microsoft Defender for Identity para possíveis caminhos de movimento lateral depende de consultas que identificam administradores locais em máquinas específicas. Essas consultas são realizadas com o protocolo SAM-R, usando a conta do Defender for Identity Directory Service configurada.
Este artigo descreve as alterações de configuração necessárias para permitir que o Defender for Identity Directory Services Account (DSA) execute as consultas SAM-R.
Gorjeta
Embora esse procedimento seja opcional, recomendamos que você configure uma conta do Serviço de Diretório e configure o SAM-R para deteção de caminho de movimento lateral para proteger totalmente seu ambiente com o Defender for Identity.
Configurar as permissões necessárias do SAM-R
Para garantir que os clientes e servidores Windows permitam que sua Conta de Serviços de Diretório de Identidade (DSA) do Defender para executar consultas SAM-R, você deve modificar a Diretiva de Grupo e adicionar o DSA, além das contas configuradas listadas na Diretiva de acesso à rede. Certifique-se de aplicar diretivas de grupo a todos os computadores , exceto controladores de domínio.
Importante
Execute este procedimento no modo de auditoria primeiro, verificando a compatibilidade da configuração proposta antes de fazer as alterações no ambiente de produção.
O teste no modo de auditoria é fundamental para garantir que seu ambiente permaneça seguro e que quaisquer alterações não afetarão a compatibilidade do aplicativo. Você pode observar o aumento do tráfego SAM-R, gerado pelos sensores do Defender for Identity.
Para configurar as permissões necessárias:
Localize a política. Na configuração > do computador, configurações > do Windows, Configurações de segurança, Políticas >> locais, Opções de segurança, selecione a Diretiva Acesso à rede - Restringir clientes autorizados a fazer chamadas remotas para SAM. Por exemplo:
Adicione o DSA à lista de contas aprovadas capazes de executar esta ação, juntamente com qualquer outra conta que tenha descoberto durante o modo de auditoria
Para obter mais informações, consulte Acesso à rede: restringir clientes autorizados a fazer chamadas remotas para SAM.
Verifique se o DSA tem permissão para acessar computadores da rede (opcional)
Nota
Este procedimento só é necessário se alguma vez tiver configurado a definição Aceder a este computador a partir da rede , uma vez que a definição Aceder a este computador a partir da rede não está configurada por predefinição
Para adicionar o DSA à lista de contas permitidas:
Vá para a política e navegue até Configuração do Computador ->Políticas ->Configurações do Windows -Políticas Locais> ->Atribuição de Direito de Usuário e selecione Acessar este computador na configuração de rede. Por exemplo:
Adicione a conta do Defender for Identity Directory Service à lista de contas aprovadas.
Importante
Ao configurar atribuições de direitos de usuário em diretivas de grupo, é importante observar que a configuração substitui a anterior em vez de adicioná-la. Portanto, certifique-se de incluir todas as contas desejadas na política de grupo efetiva. Por padrão, estações de trabalho e servidores incluem as seguintes contas: Administradores, Operadores de backup, Usuários e Todos
O Microsoft Security Compliance Toolkit recomenda a substituição do padrão Todos por Usuários Autenticados para impedir que conexões anônimas executem entradas na rede. Revise suas configurações de diretiva local antes de gerenciar a configuração Acessar este computador a partir da rede a partir de um GPO e considere incluir Usuários Autenticados no GPO, se necessário.
Configurar um perfil de dispositivo apenas para dispositivos associados do Microsoft Entra
Este procedimento descreve como utilizar o centro de administração do Microsoft Intune para configurar as políticas num perfil de Dispositivo se estiver a trabalhar apenas com dispositivos associados ao Microsoft Entra e sem dispositivos associados híbridos.
No centro de administração do Microsoft Intune, crie um novo perfil de Dispositivo, definindo os seguintes valores:
- Plataforma: Windows 10 ou posterior
- Tipo de perfil: Catálogo de configurações
Insira um nome e uma descrição significativos para sua política.
Adicione configurações para definir uma política de NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM :
No seletor de configurações, procure por Clientes restritos de acesso à rede autorizados a fazer chamadas remotas para SAM.
Selecione para navegar pela categoria Opções de Segurança de Políticas Locais e, em seguida, selecione a configuração Restringir Clientes de Acesso à Rede Autorizados a Fazer Chamadas Remotas para SAM.
Insira o descritor de segurança (SDDL):
O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;%SID%)
, substituindo%SID%
pelo SID da conta do Defender for Identity Directory Service.Certifique-se de incluir o grupo Administradores interno:
O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;S-1-5-32-544)
Adicione configurações para definir uma política AccessFromNetwork :
No seletor de configurações, procure Acesso da rede.
Selecione para navegar pela categoria Direitos do Usuário e, em seguida, selecione a configuração Acesso da rede .
Selecione para importar configurações e, em seguida, procure e selecione um arquivo CSV que contenha uma lista de usuários e grupos, incluindo SIDs ou nomes.
Certifique-se de incluir o grupo interno Administradores (S-1-5-32-544) e o SID da conta do Defender for Identity Directory Service.
Continue o assistente para selecionar as tags e atribuições de escopo e selecione Criar para criar seu perfil.
Para obter mais informações, consulte Aplicar recursos e configurações em seus dispositivos usando perfis de dispositivo no Microsoft Intune.