Compartir a través de

Configurar SAM-R para habilitar la detección de rutas de desplazamiento lateral en Microsoft Defender for Identity

  • Artículo

Microsoft Defender for Identity asignación para posibles rutas de desplazamiento lateral se basa en consultas que identifican administradores locales en máquinas específicas. Estas consultas se realizan con el protocolo SAM-R mediante la cuenta de servicio de directorio de Defender for Identity que configuró.

Nota:

Un adversario puede aprovechar esta característica para obtener el hash Net-NTLM de la cuenta de DSA debido a una limitación de Windows en las llamadas SAM-R que permite la degradación de Kerberos a NTLM. El nuevo sensor de Defender for Identity no se ve afectado por este problema, ya que usa diferentes métodos de detección.

Se recomienda usar una cuenta DSA con privilegios bajos. También puede ponerse en contacto con el soporte técnico para abrir un caso y solicitar que se deshabilite completamente la funcionalidad de recopilación de datos Rutas de desplazamiento lateral . Tenga en cuenta que esto dará lugar a que se reduzcan los datos disponibles para la característica de ruta de acceso de ataque en Administración de la exposición.

En este artículo se describen los cambios de configuración necesarios para permitir que la cuenta de Servicios de directorio de Defender for Identity (DSA) realice las consultas SAM-R.

Sugerencia

Aunque este procedimiento es opcional, se recomienda configurar una cuenta de servicio de directorio y configurar SAM-R para la detección de rutas de desplazamiento lateral para proteger completamente el entorno con Defender for Identity.

Configuración de los permisos necesarios de SAM-R

Para asegurarse de que los clientes y servidores de Windows permiten que la cuenta de Servicios de directorio de Defender for Identity (DSA) realice consultas SAM-R, debe modificar el directiva de grupo y agregar el DSA, además de las cuentas configuradas enumeradas en la directiva de acceso de red. Asegúrese de aplicar directivas de grupo a todos los equipos excepto a los controladores de dominio.

Importante

Realice este procedimiento primero en el modo de auditoría comprobando la compatibilidad de la configuración propuesta antes de realizar los cambios en el entorno de producción.

Las pruebas en modo de auditoría son fundamentales para garantizar que el entorno permanece seguro y los cambios no afectarán a la compatibilidad de la aplicación. Puede observar un aumento del tráfico SAM-R generado por los sensores de Defender for Identity.

Para configurar los permisos necesarios:

  1. Busque la directiva. En configuración del equipo > Configuración de Windows Configuración > de seguridad Directivas >> locales Opciones de seguridad, seleccione acceso a la red: Restringir clientes que pueden realizar llamadas remotas a la directiva SAM . Por ejemplo:

    Captura de pantalla de la directiva de acceso de red seleccionada.

  2. Agregue el DSA a la lista de cuentas aprobadas que puedan realizar esta acción, junto con cualquier otra cuenta que haya detectado durante el modo de auditoría.

    Para obtener más información, vea Acceso a la red: restringir los clientes que pueden realizar llamadas remotas a SAM.

Asegúrese de que la DSA tiene permiso para acceder a los equipos desde la red (opcional)

Nota:

Este procedimiento solo es necesario si alguna vez ha configurado El acceso a este equipo desde la configuración de red , ya que El acceso a este equipo desde la configuración de red no está configurado de forma predeterminada.

Para agregar el DSA a la lista de cuentas permitidas:

  1. Vaya a la directiva y vaya a Configuración del equipo ->Directivas ->Configuración de Windows ->Directivas locales ->Asignación derecha de usuario y seleccione El acceso a este equipo desde la configuración de red . Por ejemplo:

    Captura de pantalla del Editor de administración de directiva de grupo.

  2. Agregue la cuenta de Servicio de directorio de Defender for Identity a la lista de cuentas aprobadas.

    Importante

    Al configurar asignaciones de derechos de usuario en directivas de grupo, es importante tener en cuenta que la configuración reemplaza a la anterior en lugar de agregarla. Por lo tanto, asegúrese de incluir todas las cuentas deseadas en la directiva de grupo efectiva. De forma predeterminada, las estaciones de trabajo y los servidores incluyen las cuentas siguientes: Administradores, Operadores de copia de seguridad, Usuarios y Todos.

    El Kit de herramientas de cumplimiento de seguridad de Microsoft recomienda reemplazar el valor predeterminado Todos por Usuarios autenticados para evitar que las conexiones anónimas realicen inicios de sesión de red. Revise la configuración de la directiva local antes de administrar El acceso a este equipo desde la configuración de red desde un GPO y considere la posibilidad de incluir usuarios autenticados en el GPO si es necesario.

Configuración de un perfil de dispositivo solo para dispositivos unidos a Microsoft Entra híbridos

En este procedimiento se describe cómo usar el centro de administración de Microsoft Intune para configurar las directivas en un perfil de dispositivo si trabaja con Microsoft Entra dispositivos unidos a híbridos.

  1. En el centro de administración de Microsoft Intune, cree un nuevo perfil de dispositivo y defina los valores siguientes:

    • Plataforma: Windows 10 o posterior
    • Tipo de perfil: catálogo de configuración

    Escriba un nombre y una descripción significativos para la directiva.

  2. Agregue la configuración para definir una directiva de NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM :

    1. En el selector Configuración, busque Acceso de red Restringir clientes permitidos para realizar llamadas remotas a SAM.

    2. Seleccione esta opción para examinar por la categoría Opciones de seguridad de directivas locales y, a continuación, seleccione la configuración Restringir el acceso de red a clientes permitidos para realizar llamadas remotas a SAM .

    3. Escriba el descriptor de seguridad (SDDL): O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;%SID%), reemplazando %SID% por el SID de la cuenta del servicio de directorio de Defender for Identity.

      Asegúrese de incluir el grupo de administradores integrado: O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;S-1-5-32-544)

  3. Agregue la configuración para definir una directiva AccessFromNetwork :

    1. En el selector Configuración, busque Acceso desde la red.

    2. Seleccione esta opción para examinar por la categoría Derechos de usuario y, a continuación, seleccione la configuración Acceso desde la red .

    3. Seleccione esta opción para importar la configuración y, a continuación, busque y seleccione un archivo CSV que contenga una lista de usuarios y grupos, incluidos los SID o los nombres.

      Asegúrese de incluir el grupo de administradores integrado (S-1-5-32-544) y el SID de la cuenta del servicio de directorio de Defender for Identity.

  4. Continúe con el asistente para seleccionar las etiquetas y asignaciones de ámbito y seleccione Crear para crear el perfil.

    Para obtener más información, consulte Aplicar características y configuraciones en los dispositivos mediante perfiles de dispositivo en Microsoft Intune.

Paso siguiente

Configuración de sensores para AD FS y AD CS »