MÄÄRITÄ SAM-R sallimaan sivusuuntaisen siirtopolun tunnistus Microsoft Defender for Identity
Microsoft Defender for Identity mahdollisten sivuttaisten siirtopolkujen yhdistäminen perustuu kyselyihin, jotka tunnistavat tiettyjen koneiden paikalliset järjestelmänvalvojat. Nämä kyselyt suoritetaan SAM-R-protokollan avulla määrittämälläsi Defender for Identity Directory Service -tilillä .
Huomautus
Vastustaja voi mahdollisesti hyödyntää tätä ominaisuutta DSA-tilin Net-NTLM-hajautuksen hankkimiseksi, koska SAM-R-kutsuissa on Windows-rajoitus, joka sallii luokituksen Kerberosista NTLM:ään. Tämä ongelma ei vaikuta uuteen Defender for Identity -tunnistimeen (versio 3.x), koska se käyttää erilaisia tunnistusmenetelmiä.
On suositeltavaa käyttää matalalla etuoikeutettua DSA-tiliä. Voit myös ottaa yhteyttä tukeen tapauksen avaamiseksi ja pyytää, että lateraalisten siirtopolkujen tietojenkeruuominaisuus poistetaan kokonaan käytöstä. Huomaa, että tämä vähentää altistumisen hallinnan hyökkäyspolkuominaisuuden tietoja.
Tässä artikkelissa kuvataan määritysmuutokset, joita tarvitaan, jotta Defender for Identity Directory Services -tili (DSA) voi suorittaa SAM-R-kyselyitä.
Vihje
Vaikka tämä toimintosarja on valinnainen, suosittelemme määrittämään hakemistopalvelun tilin ja määrittämään SAM-R:n sivuttaisten siirtopolkujen tunnistukseen, jotta ympäristösi voidaan suojata täysin Defender for Identityn avulla.
Sam-R:n edellyttämien käyttöoikeuksien määrittäminen
Jos haluat varmistaa, että Windows-asiakasohjelmat ja -palvelimet sallivat Defender for Identity Directory Services -tilin (DSA) tehdä SAM-R-kyselyitä, sinun on muokattava ryhmäkäytäntö ja lisättävä DSA verkkokäyttökäytännössä lueteltujen määritettyjen tilien lisäksi. Varmista, että käytät ryhmäkäytäntöjä kaikissa tietokoneissa paitsi toimialueen ohjauskoneissa.
Tärkeää
Suorita tämä toimenpide ensin valvontatilassa tarkistamalla ehdotetun määrityksen yhteensopivuus ennen tuotantoympäristön muutosten tekemistä.
Testaus valvontatilassa on tärkeää sen varmistamiseksi, että ympäristösi pysyy turvallisena ja että muutokset eivät vaikuta sovelluksesi yhteensopivuuteen. Saatat huomata lisääntynyttä SAM-R-liikennettä, jonka Defender for Identity -tunnistimet ovat luoneet.
Vaadittujen käyttöoikeuksien määrittäminen:
Etsi käytäntö. Valitse Tietokoneasetukset > Windowsin asetukset > Suojausasetukset > Paikalliset käytännöt > Suojausasetukset, valitse Verkkokäyttö – Rajoita asiakkaita, jotka voivat tehdä etäkutsuja SAM-käytäntöön . Esimerkki:
Lisää DSA niiden hyväksyttyjen tilien luetteloon, jotka voivat suorittaa tämän toiminnon, yhdessä minkä tahansa muun tilin kanssa, jonka olet löytänyt valvontatilan aikana.
Lisätietoja on kohdassa Verkkokäyttö: Rajoita asiakkaiden etäpuheluita SAM:iin.
Varmista, että DSA voi käyttää tietokoneita verkosta (valinnainen)
Huomautus
Tämä toimintosarja on pakollinen vain, jos olet joskus määrittänyt tämän tietokoneen käytön verkkoasetuksesta , koska Tämän tietokoneen käyttäminen verkkoasetuksesta ei ole oletusarvoisesti määritetty
DSA:n lisääminen sallittujen tilien luetteloon:
Siirry käytäntöön ja siirry kohtaan Tietokoneasetukset ->Käytännöt ->Windowsin asetukset ->Paikalliset käytännöt ->Käyttäjän oikea määritys ja valitse Käytä tätä tietokonetta verkkoasetuksesta. Esimerkki:
Lisää Defender for Identity Directory Service -tili hyväksyttyjen tilien luetteloon.
Tärkeää
Kun määrität käyttäjäoikeuksien määrityksiä ryhmäkäytännöissä, on tärkeää huomata, että asetus korvaa edellisen sen sijaan, että lisäisi sen siihen. Varmista siis, että sisällytät kaikki halutut tilit voimassa olevaan ryhmäkäytäntöön. Työasemat ja palvelimet sisältävät oletusarvoisesti seuraavat tilit: järjestelmänvalvojat, varmuuskopiointioperaattorit, käyttäjät ja kaikki.
Microsoft Security Compliance Toolkit suosittelee kaikkien korvaamista todennetuilla käyttäjillä, jotta anonyymit yhteydet eivät voi suorittaa verkkokirjautumisia. Tarkista paikalliset käytäntöasetuksesi, ennen kuin hallitset tämän tietokoneen käyttöä GPO:n verkkoasetuksen kautta, ja harkitse todennettujen käyttäjien sisällyttäminen tarvittaessa ryhmäkäytäntöobjektiin.
Laiteprofiilin määrittäminen vain Microsoft Entra hybridiliitetyille laitteille
Tässä ohjeessa kuvataan, miten voit Microsoft Intune hallintakeskuksen avulla määrittää laiteprofiilin käytännöt, jos käytät Microsoft Entra yhdistelmäliitetyissä laitteissa.
Luo Microsoft Intune hallintakeskuksessa uusi laiteprofiili, joka määrittää seuraavat arvot:
- Käyttöympäristö: Windows 10 tai uudempi
- Profiilityyppi: Asetusluettelo
Anna käytännölle kuvaava nimi ja kuvaus.
Määritä NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM käytäntö lisäämällä asetukset:
Etsi Asetukset-valitsimestaVerkkoyhteys Rajoita asiakkaita, jotka voivat tehdä etäpuheluita SAM:iin.
Valitse, jos haluat selata Paikalliset käytännöt -suojausasetusten luokkaa, ja valitse sitten Verkkokäyttö rajoita asiakkaiden etäpuheluiden SAM-kutsujen tekemisen sallimista -asetus.
Anna suojauskuvain (SDDL):
O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;%SID%), korvataan%SID%Defender for Identity Directory Service -tilillä SID.Varmista, että sisällytät sisäänrakennetun Järjestelmänvalvojat-ryhmän :
O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;S-1-5-32-544)
Lisää asetukset AccessFromNetwork-käytännön määrittämiseksi:
Etsi Asetukset-valitsimestaKäyttöoikeus verkosta.
Valitse tämä, jos haluat selata käyttöoikeudet - luokkaa, ja valitse sitten Käyttöoikeus verkosta - asetus.
Valitse, jos haluat tuoda asetukset, ja valitse sitten CSV-tiedosto, joka sisältää käyttäjä- ja ryhmäluettelon, mukaan lukien SID-tunnukset tai nimet.
Muista sisällyttää sisäinen Järjestelmänvalvojat-ryhmä (S-1-5-32-544) ja Defender for Identity Directory Service -tili SID.
Valitse käyttöalueen tunnisteet ja varaukset jatkamalla ohjattua toimintoa ja luo profiilisi valitsemalla Luo .
Lisätietoja on artikkelissa Ominaisuuksien ja asetusten käyttäminen laitteissa laiteprofiilien avulla Microsoft Intune.