Konfigurer SAM-R for at aktivere registrering af tværgående bevægelsesstier i Microsoft Defender for Identity
Microsoft Defender for Identity tilknytning for potentielle tværgående bevægelsesstier er afhængig af forespørgsler, der identificerer lokale administratorer på bestemte maskiner. Disse forespørgsler udføres med SAM-R-protokollen ved hjælp af den Defender for Identity Directory Service-konto , du har konfigureret.
Bemærk!
Denne funktion kan potentielt udnyttes af en modstander til at hente Net-NTLM-hashen for DSA-kontoen på grund af en Windows-begrænsning i SAM-R-kald, der tillader nedgradering fra Kerberos til NTLM. Den nye Defender for Identity-sensor (version 3.x) påvirkes ikke af dette problem, da den bruger forskellige registreringsmetoder.
Det anbefales at bruge en DSA-konto med få rettigheder. Du kan også kontakte support for at åbne en sag og anmode om helt at deaktivere dataindsamlingsfunktionen Lateral Movement Paths . Bemærk, at dette vil resultere i reducerede data, der er tilgængelige for funktionen angrebssti i Styring af eksponering.
I denne artikel beskrives de konfigurationsændringer, der kræves for at tillade, at Defender for Identity Directory Services-kontoen (DSA) udfører SAM-R-forespørgslerne.
Tip
Selvom denne procedure er valgfri, anbefaler vi, at du konfigurerer en Directory Service-konto og konfigurerer SAM-R til registrering af tværgående bevægelsesstier for at sikre dit miljø fuldt ud med Defender for Identity.
Konfigurer de påkrævede SAM-R-tilladelser
Hvis du vil sikre, at Windows-klienter og -servere gør det muligt for din DSA (Defender for Identity Directory Services-konto) at udføre SAM-R-forespørgsler, skal du ændre Gruppepolitik og tilføje DSA ud over de konfigurerede konti, der er angivet i politikken Netværksadgang. Sørg for at anvende gruppepolitikker på alle computere undtagen domænecontrollere.
Vigtigt!
Udfør denne procedure i overvågningstilstand først ved at kontrollere kompatibiliteten af den foreslåede konfiguration, før du foretager ændringerne i produktionsmiljøet.
Test i overvågningstilstand er afgørende for at sikre, at dit miljø forbliver sikkert, og eventuelle ændringer påvirker ikke programkompatibiliteten. Du kan observere øget SAM-R-trafik, der genereres af Defender for Identity-sensorerne.
Sådan konfigurerer du påkrævede tilladelser:
Find politikken. I computerkonfigurationen > Windows-indstillinger Sikkerhedsindstillinger >> Lokale politikker > Sikkerhedsindstillinger, vælg politikken Netværksadgang – Begræns klienters tilladelse til at foretage fjernopkald til SAM. Det kan f.eks. være:
Føj DSA til listen over godkendte konti, der kan udføre denne handling, sammen med enhver anden konto, du har opdaget under overvågningstilstand.
Du kan få flere oplysninger under Netværksadgang: Begræns klienters tilladelse til at foretage fjernopkald til SAM.
Sørg for, at DSA har adgang til computere fra netværket (valgfrit)
Bemærk!
Denne fremgangsmåde er kun påkrævet, hvis du nogensinde har konfigureret Access denne computer fra netværksindstillingen , da Access denne computer fra netværksindstillingen ikke er konfigureret som standard
Sådan føjer du DSA til listen over tilladte konti:
Gå til politikken, og naviger til Computerkonfiguration ->Politikker ->Windows-indstillinger ->Lokale politikker ->Tildeling af brugerrettigheder, og vælg indstillingen Få adgang til denne computer fra netværksindstillingen . Det kan f.eks. være:
Føj Defender for Identity Directory Service-kontoen til listen over godkendte konti.
Vigtigt!
Når du konfigurerer tildelinger af brugerrettigheder i gruppepolitikker, er det vigtigt at bemærke, at indstillingen erstatter den forrige i stedet for at føje til den. Sørg derfor for at inkludere alle de ønskede konti i den effektive gruppepolitik. Arbejdsstationer og servere omfatter som standard følgende konti: administratorer, sikkerhedskopieringsoperatorer, brugere og alle.
Microsoft Security Compliance Toolkit anbefaler, at standarden Alleerstattes med Godkendte brugere for at forhindre anonyme forbindelser i at udføre netværkslogon. Gennemse dine lokale politikindstillinger, før du administrerer Access denne computer fra netværksindstillingen fra et gruppepolitikobjekt, og overvej at inkludere godkendte brugere i gruppepolitikobjektet, hvis det er nødvendigt.
Konfigurer kun en enhedsprofil for Microsoft Entra hybridforbundne enheder
I denne procedure beskrives det, hvordan du bruger Microsoft Intune Administration til at konfigurere politikkerne i en enhedsprofil, hvis du arbejder med Microsoft Entra hybride tilsluttede enheder.
Opret en ny enhedsprofil i Microsoft Intune Administration, og definer følgende værdier:
- Platform: Windows 10 eller nyere
- Profiltype: Indstillingskatalog
Angiv et sigende navn og en beskrivelse til politikken.
Tilføj indstillinger for at definere en NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM politik:
I indstillingsvælgeren skal du søge efter Netværksadgang Begræns klienter, der har tilladelse til at foretage fjernopkald til SAM.
Vælg at gennemse efter kategorien Sikkerhedsindstillinger for lokale politikker , og vælg derefter indstillingen Begræns netværksadgang for klienter, der har tilladelse til at foretage fjernopkald til SAM .
Angiv sikkerhedsbeskrivelsen (SDDL):
O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;%SID%), der erstatter%SID%med SID'et for Defender for Identity Directory Service-kontoen.Sørg for at inkludere den indbyggede administratorgruppe :
O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;S-1-5-32-544)
Tilføj indstillinger for at definere en AccessFromNetwork-politik :
I indstillingsvælgeren skal du søge efter Adgang fra netværk.
Vælg at gennemse efter kategorien Brugerrettigheder , og vælg derefter indstillingen Adgang fra netværk .
Vælg at importere indstillinger, og gå derefter til og vælg en CSV-fil, der indeholder en liste over brugere og grupper, herunder SID'er eller navne.
Sørg for at inkludere den indbyggede administratorgruppe (S-1-5-32-544) og SID'et for Defender for Identity Directory Service.
Fortsæt guiden for at vælge områdekoder og -tildelinger, og vælg Opret for at oprette din profil.
Du kan finde flere oplysninger under Anvend funktioner og indstillinger på dine enheder ved hjælp af enhedsprofiler i Microsoft Intune.