Freigeben über

Konfigurieren Sie SAM-R, um die Erkennung von Lateral Movement-Pfaden in Microsoft Defender for Identity

  • Artikel

Microsoft Defender for Identity Zuordnung für potenzielle Lateral Movement-Pfade basiert auf Abfragen, die lokale Administratoren auf bestimmten Computern identifizieren. Diese Abfragen werden mit dem SAM-R-Protokoll unter Verwendung des von Ihnen konfigurierten Defender for Identity-Verzeichnisdienstkontos ausgeführt.

Hinweis

Dieses Feature kann möglicherweise von einem Angreifer ausgenutzt werden, um den Net-NTLM-Hash des DSA-Kontos aufgrund einer Windows-Einschränkung in den SAM-R-Aufrufen zu erhalten, die ein Downgrade von Kerberos auf NTLM ermöglicht. Der neue Defender for Identity-Sensor ist von diesem Problem nicht betroffen, da er verschiedene Erkennungsmethoden verwendet.

Es wird empfohlen, ein DSA-Konto mit geringen Berechtigungen zu verwenden. Sie können sich auch an den Support wenden , um einen Fall zu öffnen und die Vollständige Deaktivierung der Datensammlungsfunktion für Lateral Movement Paths zu beantragen. Beachten Sie, dass dies zu reduzierten Daten für das Angriffspfadfeature in der Expositionsverwaltung führt.

In diesem Artikel werden die Konfigurationsänderungen beschrieben, die erforderlich sind, damit das Defender for Identity Directory Services-Konto (DSA) die SAM-R-Abfragen ausführen kann.

Tipp

Dieses Verfahren ist zwar optional, es wird jedoch empfohlen, ein Verzeichnisdienstkonto und SAM-R für die Erkennung von Lateral Movement-Pfaden zu konfigurieren, um Ihre Umgebung mit Defender for Identity vollständig zu schützen.

Konfigurieren der erforderlichen SAM-R-Berechtigungen

Um sicherzustellen, dass Windows-Clients und -Server Ihrem Defender for Identity Directory Services-Konto (DSA) das Ausführen von SAM-R-Abfragen erlauben, müssen Sie die Gruppenrichtlinie ändern und die DSA zusätzlich zu den konfigurierten Konten hinzufügen, die in der Netzwerkzugriffsrichtlinie aufgeführt sind. Stellen Sie sicher, dass Sie Gruppenrichtlinien auf alle Computer mit Ausnahme von Domänencontrollern anwenden.

Wichtig

Führen Sie dieses Verfahren zuerst im Überwachungsmodus aus, indem Sie die Kompatibilität der vorgeschlagenen Konfiguration überprüfen, bevor Sie die Änderungen an Ihrer Produktionsumgebung vornehmen.

Das Testen im Überwachungsmodus ist wichtig, um sicherzustellen, dass Ihre Umgebung sicher bleibt, und alle Änderungen wirken sich nicht auf die Anwendungskompatibilität aus. Sie können einen erhöhten SAM-R-Datenverkehr beobachten, der von den Defender for Identity-Sensoren generiert wird.

So konfigurieren Sie die erforderlichen Berechtigungen:

  1. Suchen Sie die Richtlinie. Wählen Sie unter Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen die Richtlinie Netzwerkzugriff – Clients einschränken aus, die Remoteaufrufe an SAM durchführen dürfen . Zum Beispiel:

    Screenshot: Ausgewählte Netzwerkzugriffsrichtlinie

  2. Fügen Sie die DSA der Liste der genehmigten Konten hinzu, die diese Aktion ausführen können, zusammen mit jedem anderen Konto, das Sie im Überwachungsmodus ermittelt haben.

    Weitere Informationen finden Sie unter Netzwerkzugriff: Einschränken von Clients, die Remoteaufrufe an SAM durchführen dürfen.

Stellen Sie sicher, dass die DSA über das Netzwerk auf Computer zugreifen darf (optional).

Hinweis

Dieses Verfahren ist nur erforderlich, wenn Sie jemals die Einstellung Auf diesen Computer über das Netzwerk zugreifen konfiguriert haben, da die Einstellung Auf diesen Computer über das Netzwerk zugreifen nicht standardmäßig konfiguriert ist.

So fügen Sie die DSA der Liste der zulässigen Konten hinzu:

  1. Navigieren Sie zur Richtlinie, und navigieren Sie zu Computerkonfiguration ->Richtlinien ->Windows-Einstellungen ->Lokale Richtlinien ->Benutzerrechtenzuweisung, und wählen Sie die Einstellung Auf diesen Computer über das Netzwerk zugreifen aus. Zum Beispiel:

    Screenshot: Gruppenrichtlinie Management Editor

  2. Fügen Sie das Defender for Identity-Verzeichnisdienstkonto der Liste der genehmigten Konten hinzu.

    Wichtig

    Beim Konfigurieren von Zuweisungen von Benutzerrechten in Gruppenrichtlinien ist es wichtig zu beachten, dass die Einstellung die vorherige ersetzt , anstatt sie hinzuzufügen. Stellen Sie daher sicher, dass Sie alle gewünschten Konten in die effektive Gruppenrichtlinie einschließen. Standardmäßig enthalten Arbeitsstationen und Server die folgenden Konten: Administratoren, Sicherungsoperatoren, Benutzer und Jeder.

    Das Microsoft Security Compliance Toolkit empfiehlt, die Standardeinstellung Jeder durch authentifizierte Benutzer zu ersetzen, um zu verhindern, dass anonyme Verbindungen Netzwerkanmeldungen durchführen. Überprüfen Sie Ihre lokalen Richtlinieneinstellungen, bevor Sie die Einstellung Auf diesen Computer über das Netzwerk eines Gruppenrichtlinienobjekts zugreifen verwalten, und ziehen Sie ggf. die Aufnahme authentifizierter Benutzer in das Gruppenrichtlinienobjekt in Betracht.

Konfigurieren eines Geräteprofils nur für Microsoft Entra hybrid eingebundenen Geräten

In diesem Verfahren wird beschrieben, wie Sie das Microsoft Intune Admin Center verwenden, um die Richtlinien in einem Geräteprofil zu konfigurieren, wenn Sie mit Microsoft Entra hybrid eingebundenen Geräten arbeiten.

  1. Erstellen Sie im Microsoft Intune Admin Center ein neues Geräteprofil, und definieren Sie die folgenden Werte:

    • Plattform: Windows 10 oder höher
    • Profiltyp: Einstellungskatalog

    Geben Sie einen aussagekräftigen Namen und eine Beschreibung für Ihre Richtlinie ein.

  2. Fügen Sie Einstellungen hinzu, um eine NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM-Richtlinie zu definieren:

    1. Suchen Sie in der Einstellungsauswahl nach Netzwerkzugriff einschränken Clients dürfen Remoteanrufe an SAM tätigen.

    2. Wählen Sie aus, um nach der Kategorie Lokale Richtlinien Sicherheitsoptionen zu suchen, und wählen Sie dann die Einstellung Netzwerkzugriff einschränken Clients zulassen, um Remoteanrufe an SAM zu tätigen .

    3. Geben Sie den Sicherheitsdeskriptor (SDDL) ein: O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;%SID%), und %SID% ersetzen Sie durch die Sid des Defender for Identity Directory Service-Kontos.

      Stellen Sie sicher, dass Sie die integrierte Gruppe Administratoren einschließen: O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;S-1-5-32-544)

  3. Fügen Sie Einstellungen hinzu, um eine AccessFromNetwork-Richtlinie zu definieren:

    1. Suchen Sie in der Einstellungsauswahl nach Zugriff aus Netzwerk.

    2. Wählen Sie aus, um nach der Kategorie Benutzerrechte zu suchen, und wählen Sie dann die Einstellung Zugriff aus Netzwerk aus .

    3. Wählen Sie aus, um Einstellungen zu importieren, und navigieren Sie dann zu einer CSV-Datei, die eine Liste von Benutzern und Gruppen enthält, einschließlich SIDs oder Namen.

      Stellen Sie sicher, dass Sie die integrierte Gruppe Administratoren (S-1-5-32-544) und die Konto-SID des Defender for Identity-Verzeichnisdiensts einschließen.

  4. Fahren Sie mit dem Assistenten fort, um die Bereichstags und -zuweisungen auszuwählen, und wählen Sie Erstellen aus, um Ihr Profil zu erstellen.

    Weitere Informationen finden Sie unter Anwenden von Features und Einstellungen auf Ihren Geräten mithilfe von Geräteprofilen in Microsoft Intune.

Nächster Schritt

Konfigurieren von Sensoren für AD FS und AD CS »