SAM-R'yi Kimlik için Microsoft Defender yanal hareket yolu algılamayı etkinleştirecek şekilde yapılandırma

Olası yanal hareket yolları için Kimlik için Microsoft Defender eşlemesi, belirli makinelerdeki yerel yöneticileri tanımlayan sorgulara dayanır. Bu sorgular, yapılandırdığınız Kimlik için Defender Dizin Hizmeti hesabı kullanılarak SAM-R protokolüyle gerçekleştirilir.

Bu makalede, Kimlik için Defender Dizin Hizmetleri Hesabı'nın (DSA) SAM-R sorgularını gerçekleştirmesine izin vermek için gereken yapılandırma değişiklikleri açıklanmaktadır.

İpucu

Bu yordam isteğe bağlı olsa da, Kimlik için Defender ile ortamınızın güvenliğini tamamen sağlamak için bir Dizin Hizmeti hesabı yapılandırmanızı ve yanal hareket yolu algılaması için SAM-R'yi yapılandırmanızı öneririz.

SAM-R gerekli izinlerini yapılandırma

Windows istemcilerinin ve sunucularının Kimlik için Defender Dizin Hizmetleri Hesabınızın (DSA) SAM-R sorguları gerçekleştirmesine izin vermek için, Ağ erişim ilkesinde listelenen yapılandırılmış hesaplara ek olarak Grup İlkesi'ni değiştirmeniz ve DSA'yı eklemeniz gerekir. Etki alanı denetleyicileri dışındaki tüm bilgisayarlara grup ilkeleri uyguladığıdan emin olun.

Önemli

Üretim ortamınızda değişiklik yapmadan önce önerilen yapılandırmanın uyumluluğunu doğrulayarak bu yordamı önce denetim modunda gerçekleştirin.

Denetim modunda test etme, ortamınızın güvenli kalmasını ve değişikliklerin uygulama uyumluluğunuzu etkilememesini sağlama açısından kritik öneme sahiptir. Kimlik için Defender algılayıcıları tarafından oluşturulan SAM-R trafiğinin arttığını görebilirsiniz.

Gerekli izinleri yapılandırmak için:

  1. İlkeyi bulun. Bilgisayar yapılandırması > Windows ayarları Güvenlik ayarları > > Yerel ilkeler > Güvenlik seçenekleri bölümünde Ağ erişimi - İSTEMCIlerin SAM ilkesine uzaktan arama yapmasına izin verilenleri kısıtla ilkesini seçin. Örneğin:

    Ağ erişim ilkesinin seçili ekran görüntüsü.

  2. DSA'yı, denetim modunda keşfettiğiniz diğer hesaplarla birlikte bu eylemi gerçekleştirebilen onaylı hesaplar listesine ekleyin

Daha fazla bilgi için bkz . Ağ erişimi: İstemcilerin SAM'ye uzaktan çağrı yapmasına izin verilenleri kısıtlama.

DSA'nın ağdan bilgisayarlara erişmesine izin verildiğinden emin olun (isteğe bağlı)

Not

Bu yordam yalnızca Bu bilgisayara ağdan eriş ayarını yapılandırdıysanız gereklidir çünkü Bu bilgisayara ağdan eriş ayarı varsayılan olarak yapılandırılmaz

DSA'yi izin verilen hesaplar listesine eklemek için:

  1. İlkeye gidin ve Bilgisayar Yapılandırması -İlkeler ->Windows Ayarları ->Yerel İlkeler ->>Kullanıcı Hakkı Ataması'na gidin ve Ağ ayarından Bu bilgisayara eriş'i seçin. Örneğin:

    Grup İlkesi Yönetim Düzenleyicisi'nin ekran görüntüsü.

  2. Kimlik için Defender Dizin Hizmeti hesabını onaylanan hesaplar listesine ekleyin.

Önemli

Grup ilkelerinde kullanıcı hakları atamalarını yapılandırırken, ayarın buna eklemek yerine öncekinin yerine geçtiğine dikkat etmek önemlidir. Bu nedenle, istenen tüm hesapları etkin grup ilkesine eklediğinizden emin olun. varsayılan olarak, iş istasyonları ve sunucular şu hesapları içerir: Yöneticiler, Yedekleme İşleçleri, Kullanıcılar ve Herkes

Microsoft Güvenlik Uyumluluğu Araç Seti, anonim bağlantıların ağ oturum açma işlemlerini gerçekleştirmesini önlemek için varsayılan Herkes yerine Kimliği Doğrulanmış Kullanıcılar kullanılmasını önerir. Bu bilgisayara bir GPO'dan ağ ayarından erişme ayarını yönetmeden önce yerel ilke ayarlarınızı gözden geçirin ve gerekirse GPO'ya Kimliği Doğrulanmış Kullanıcılar eklemeyi göz önünde bulundurun.

Cihaz profilini yalnızca Microsoft Entra karma katılmış cihazlar için yapılandırma

Bu yordamda, Microsoft Entra karma katılmış cihazlarla çalışıyorsanız Bir Cihaz profilindeki ilkeleri yapılandırmak için Microsoft Intune yönetim merkezinin nasıl kullanılacağı açıklanır.

  1. Microsoft Intune yönetim merkezinde, aşağıdaki değerleri tanımlayarak yeni bir Cihaz profili oluşturun:

    • Platform: Windows 10 veya üzeri
    • Profil türü: Ayarlar kataloğu

    İlkeniz için anlamlı bir ad ve açıklama girin.

  2. NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM ilkesi tanımlamak için ayarlar ekleyin:

    1. Ayarlar seçicisinde, Sam'e Uzaktan Çağrı Yapmalarına İzin Verilen Ağ Erişimini Kısıtla İstemcileri için arama yapın.

    2. Yerel İlkeler Güvenlik Seçenekleri kategorisine göre göz atmak için seçin ve ardından Ağ Erişimini Kısıtla İstemcilerinin SAM'ye Uzaktan Arama Yapmasına İzin Ver ayarını seçin.

    3. güvenlik tanımlayıcısını (SDDL): O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;%SID%)girin; yerine %SID% Kimlik için Defender Dizin Hizmeti hesabı SID'sini girin.

      Yerleşik Yöneticiler grubunu eklediğinizden emin olun: O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;S-1-5-32-544)

  3. AccessFromNetwork ilkesi tanımlamak için ayarlar ekleyin:

    1. Ayarlar seçicisinde Ağdan Erişim'i arayın.

    2. Kullanıcı Hakları kategorisine göre göz atmak için seçin ve ardından Ağdan Erişim ayarını seçin.

    3. Ayarları içeri aktarmak için seçin ve ardından SID'ler veya adlar da dahil olmak üzere kullanıcı ve grupların listesini içeren bir CSV dosyasına göz atın ve seçin.

      Yerleşik Yöneticiler grubunu (S-1-5-32-544) ve Kimlik için Defender Dizin Hizmeti hesabı SID'sini eklediğinizden emin olun.

  4. Kapsam etiketlerini ve atamalarını seçmek için sihirbaza devam edin ve profilinizi oluşturmak için Oluştur'u seçin.

Daha fazla bilgi için bkz . Microsoft Intune'da cihaz profillerini kullanarak cihazlarınıza özellik ve ayar uygulama.

Sonraki adım