Настройка SAM-R для включения обнаружения пути бокового перемещения в Microsoft Defender для удостоверений

Microsoft Defender для удостоверений сопоставление потенциальных путей бокового перемещения зависит от запросов, определяющих локальных администраторов на определенных компьютерах. Эти запросы выполняются с помощью протокола SAM-R с помощью настроенной учетной записи службы Defender для службы каталогов удостоверений.

В этой статье описываются изменения конфигурации, необходимые для предоставления учетной записи службы каталогов Defender для удостоверений (DSA) для выполнения запросов SAM-R.

Совет

Хотя эта процедура является необязательной, рекомендуется настроить учетную запись службы каталогов и настроить SAM-R для обнаружения пути бокового перемещения, чтобы полностью защитить среду с помощью Defender для удостоверений.

Настройка необходимых разрешений SAM-R

Чтобы обеспечить, чтобы клиенты и серверы Windows разрешали учетным записям служб каталогов Defender для удостоверений выполнять запросы SAM-R, необходимо изменить групповую политику и добавить DSA, помимо настроенных учетных записей, перечисленных в политике доступа к сети. Не забудьте применить групповые политики ко всем компьютерам , кроме контроллеров домена.

Внимание

Сначала выполните эту процедуру в режиме аудита, проверяя совместимость предлагаемой конфигурации перед внесением изменений в рабочую среду.

Тестирование в режиме аудита крайне важно для обеспечения безопасности вашей среды, и любые изменения не повлияют на совместимость приложений. Вы можете наблюдать увеличение трафика SAM-R, созданного датчиками Defender для удостоверений.

Чтобы настроить необходимые разрешения, выполните следующие действия.

  1. Найдите политику . В параметрах windows конфигурации > компьютера параметры безопасности локальных > политик выберите параметры безопасности локальных > политик>. Ограничение доступа к клиентам, которым разрешено выполнять удаленные вызовы к политике SAM. Например:

    Снимок экрана: выбрана политика доступа к сети.

  2. Добавьте DSA в список утвержденных учетных записей, способных выполнить это действие, вместе с любой другой учетной записью, обнаруженной в режиме аудита.

Дополнительные сведения см. в разделе "Сетевой доступ: ограничение доступа к клиентам, которым разрешено выполнять удаленные вызовы к SAM".

Убедитесь, что DSA разрешен доступ к компьютерам из сети (необязательно)

Примечание.

Эта процедура требуется только в том случае, если вы когда-либо настроили доступ к этому компьютеру из параметра сети , так как доступ к этому компьютеру из параметра сети не настроен по умолчанию.

Чтобы добавить DSA в список разрешенных учетных записей, выполните указанные ниже действия.

  1. Перейдите к политике и перейдите к разделу "Конфигурация компьютера "> Политики "> Windows " Параметры> " Локальные политики -> Назначение прав пользователя" и выберите доступ к этому компьютеру из параметра сети. Например:

    Снимок экрана

  2. Добавьте учетную запись Defender для службы каталогов удостоверений в список утвержденных учетных записей.

Внимание

При настройке назначений прав пользователей в групповых политиках важно отметить, что параметр заменяет предыдущий, а не добавляет в него. Поэтому обязательно включите все необходимые учетные записи в эффективную групповую политику. По умолчанию рабочие станции и серверы включают следующие учетные записи: администраторы, операторы резервного копирования, пользователи и все

Microsoft Security Compliance Toolkit рекомендует заменить всех пользователей, прошедших проверку подлинности по умолчанию, чтобы запретить анонимным подключениям выполнять сетевые входы. Просмотрите параметры локальной политики, прежде чем управлять компьютером Access из параметра сети из объекта групповой политики, и при необходимости рассмотрите возможность включения пользователей, прошедших проверку подлинности в объекте групповой политики.

Настройка профиля устройства только для гибридных устройств, присоединенных к Microsoft Entra

В этой процедуре описывается, как использовать Центр администрирования Microsoft Intune для настройки политик в профиле устройств, если вы работаете с гибридными устройствами, присоединенными к Microsoft Entra.

  1. В Центре администрирования Microsoft Intune создайте новый профиль устройства, определяя следующие значения:

    • Платформа: Windows 10 или более поздней версии
    • Тип профиля: каталог параметров

    Введите понятное имя и описание политики.

  2. Добавьте параметры для определения политики NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM :

    1. В средство выбора параметров найдите доступ к сети, чтобы разрешить клиентам выполнять удаленные вызовы к SAM.

    2. Выберите, чтобы просмотреть категорию "Параметры безопасности локальных политик", а затем выберите параметр "Ограничения доступа к сети", разрешенный для удаленных вызовов к SAM .

    3. Введите дескриптор безопасности (SDDL): O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;%SID%)заменив %SID% идентификатор безопасности учетной записи службы каталогов Defender для удостоверений.

      Обязательно включите встроенную группу администраторов : O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;S-1-5-32-544)

  3. Добавьте параметры для определения политики AccessFromNetwork :

    1. В средство выбора параметров найдите Access From Network.

    2. Выберите для просмотра категорию "Права пользователя" , а затем выберите параметр Access From Network .

    3. Выберите для импорта параметров, а затем перейдите к CSV-файлу, который содержит список пользователей и групп, включая идентификаторы или имена.

      Обязательно включите встроенную группу администраторов (S-1-5-32-544) и идентификатор безопасности учетной записи службы каталогов Defender для удостоверений.

  4. Перейдите к мастеру, чтобы выбрать теги области и назначения, а затем нажмите кнопку "Создать ", чтобы создать профиль.

Дополнительные сведения см. в разделе "Применение функций и параметров" на устройствах с помощью профилей устройств в Microsoft Intune.

Следующий шаг