在 Microsoft Defender for Identity 中配置 SAM-R 以启用横向移动路径检测

用于潜在横向移动路径的 Microsoft Defender for Identity 映射依赖于识别特定计算机上的本地管理员的查询。 这些查询使用配置的 Defender for Identity 目录服务帐户通过 SAM-R 协议执行。

本文介绍要允许 Microsoft Defender for Identity 目录服务帐户 (DSA) 执行 SAM-R 查询所需的配置更改。

提示

虽然此过程为可选过程,但我们建议你配置目录服务帐户,并针对横向移动路径检测配置 SAM-R,以使用 Defender for Identity 完全保护环境。

配置 SAM-R 所需的权限

若要确保 Windows 客户端和服务器允许 Microsoft Defender for Identity 目录服务帐户 (DSA) 执行 SAM-R 查询,除了网络访问策略中列出的已配置帐户外,还必须修改组策略,并添加 DSA。 请确保将组策略应用于除域控制器之外的所有计算机。

重要

首先在审核模式下执行此过程,在对生产环境进行更改之前,请验证建议配置的兼容性。

在审核模式下进行测试至关重要,这可确保环境保持安全,任何更改都不会影响应用程序兼容性。 你可能会观察到 Defender for Identity 传感器产生的 SAM-R 流量增加。

要配置 SAM-R 所需的权限

  1. 找到“”策略。 在计算机配置 > Windows 设置 > 安全设置 > 本地策略 > 安全选项中,选择网络访问 - 限制允许对 SAM 进行远程调用的客户端策略。 例如:

    选中“网络访问策略”的屏幕截图。

  2. 将 DSA 与在审核模式中发现的任何其他帐户一起添加到能够执行此操作的已批准帐户的列表中

有关详细信息,请参阅网络访问:限制允许远程调用 SAM 的客户端

确保允许 DSA 从网络访问计算机(可选)

注意

仅当曾经配置从网络访问此计算机设置时,才需要执行此过程,因为默认情况下未配置从网络访问此计算机设置。

若要将 DSA 添加到允许的帐户列表,请执行以下操作:

  1. 转至策略并导航到计算机配置 ->策略 ->Windows 设置 ->本地策略 ->用户权限分配,然后选择从网络访问此计算机设置。 例如:

    组策略管理编辑器的屏幕截图。

  2. 将 Defender for Identity 目录服务帐户添加至已批准帐户列表。

重要

在组策略中配置用户权限分配时,请务必注意,该设置将替换上一个设置,而不是添加到该设置。 因此,请确保在有效的组策略中包含所有所需帐户。 默认情况下,工作站和服务器包含以下帐户:管理员、备份操作员、用户和每个人

Microsoft 安全合规性工具包建议将默认所有人替换为经过身份验证的用户,以防匿名连接执行网络登录。在管理 GPO 中的从网络访问此计算机设置之前,请查看本地策略设置,并根据需要考虑在 GPO 中包含经过身份验证的用户

仅为已建立 Microsoft Entra 混合联接的设备配置设备配置文件

此过程介绍如何使用 Microsoft Intune 管理中心在设备配置文件中配置策略(如果你使用的是 Microsoft Entra 混合联接设备)。

  1. 在 Microsoft Intune 管理中心,创建新的设备配置文件,定义以下值:

    • 平台:Windows 10 或更高版本
    • 配置文件类型:设置目录

    为策略输入有意义的名称和描述。

  2. 添加设置以定义 NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM 策略:

    1. 设置选取器中,搜索网络访问:限制允许远程调用 SAM 的客户端

    2. 选择按本地策略安全选项类别进行浏览,然后选择网络访问:限制允许远程调用 SAM 的客户端设置。

    3. 输入安全描述符 (SDDL):O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;%SID%),将 %SID% 替换为 Defender for Identity 目录服务帐户 SID。

      请确保包含内置管理员组:O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;S-1-5-32-544)

  3. 添加设置以定义 AccessFromNetwork 策略:

    1. 设置选取器中,搜索从网络访问

    2. 选择按用户权限类别浏览,然后选择从网络访问设置。

    3. 选择以导入设置,然后浏览到包含用户和组列表(包括 SID 或名称)的 CSV 文件,并选择该文件。

      请确保包括内置管理员组 (S-1-5-32-544),以及 Defender for Identity Directory 服务帐户 SID。

  4. 继续执行向导,以选择范围标记分配,然后选择“创建”以创建配置文件。

有关详细信息,请参阅使用 Microsoft Intune 中的设备配置文件在设备上应用功能和设置

下一步