Konfigurer SAM-R for å aktivere gjenkjenning av sideveisflyt i Microsoft Defender for identitet
Microsoft Defender for identitet tilordning for potensielle laterale bevegelsesbaner er avhengig av spørringer som identifiserer lokale administratorer på bestemte maskiner. Disse spørringene utføres med SAM-R-protokollen ved hjelp av Kontoen for Defender for Identity Directory-tjenesten du konfigurerte.
Obs!
Denne funksjonen kan potensielt utnyttes av en motstander for å få Net-NTLM-hash-koden for DSA-kontoen på grunn av en Windows-begrensning i SAM-R-kall som tillater nedgradering fra Kerberos til NTLM. Den nye Defender for Identity-sensoren påvirkes ikke av dette problemet fordi den bruker forskjellige gjenkjenningsmetoder.
Det anbefales å bruke en DSA-konto med lite privilegerte rettigheter. Du kan også kontakte kundestøtte for å åpne en sak og be om å deaktivere datainnsamlingsfunksjonen for laterale bevegelsesbaner fullstendig. Vær oppmerksom på at dette resulterer i reduserte data som er tilgjengelige for angrepsbanefunksjonen i Exposure Management.
Denne artikkelen beskriver konfigurasjonsendringene som kreves for å tillate at Defender for Identity Directory Services-kontoen (DSA) utfører SAM-R-spørringene.
Tips
Selv om denne prosedyren er valgfri, anbefaler vi at du konfigurerer en katalogtjenestekonto og konfigurerer SAM-R for lateral bevegelsesbanegjenkjenning for å sikre miljøet fullt ut med Defender for identitet.
Konfigurer NØDVENDIGE SAM-R-tillatelser
For å sikre at Windows-klienter og -servere tillater at Defender for Identity Directory Services-kontoen (DSA) utfører SAM-R-spørringer, må du endre gruppepolicy og legge til DSA, i tillegg til de konfigurerte kontoene som er oppført i policyen for nettverkstilgang. Pass på å bruke gruppepolicyer på alle datamaskiner unntatt domenekontrollere.
Viktig
Utfør denne prosedyren i overvåkingsmodus først ved å kontrollere kompatibiliteten til den foreslåtte konfigurasjonen før du gjør endringene i produksjonsmiljøet.
Testing i overvåkingsmodus er avgjørende for å sikre at miljøet forblir sikkert, og eventuelle endringer vil ikke påvirke programkompatibiliteten. Du kan observere økt SAM-R-trafikk, generert av Defender for Identity-sensorer.
Slik konfigurerer du nødvendige tillatelser:
Finn policyen. Velg nettverkstilgang i Windows-innstillingene sikkerhetsinnstillinger >>> for datamaskinkonfigurasjonen>, og velg sikkerhetsalternativer for nettverkstilgang . Begrens klienter som har tillatelse til å foreta eksterne anrop til SAM-policyen. Eksempel:
Legg til DSA i listen over godkjente kontoer som kan utføre denne handlingen, sammen med andre kontoer som du har oppdaget i overvåkingsmodus.
Hvis du vil ha mer informasjon, kan du se Nettverkstilgang: Begrense klienter som har tillatelse til å foreta eksterne anrop til SAM.
Kontroller at DSA har tilgang til datamaskiner fra nettverket (valgfritt)
Obs!
Denne prosedyren er bare nødvendig hvis du har konfigurert Access-datamaskinen fra nettverksinnstillingen , siden Access-datamaskinen fra nettverksinnstillingen ikke er konfigurert som standard
Slik legger du til DSA i listen over tillatte kontoer:
Gå til policyen og gå til Datamaskinkonfigurasjon ->Policies ->Windows Settings -Local Policies ->>User Right Assignment, og velg Access på denne datamaskinen fra nettverksinnstillingen. Eksempel:
Legg til kontoen defender for identitetskatalogtjeneste i listen over godkjente kontoer.
Viktig
Når du konfigurerer tilordninger av brukerrettigheter i gruppepolicyer, er det viktig å være oppmerksom på at innstillingen erstatter den forrige i stedet for å legge den til. Pass derfor på at du inkluderer alle de ønskede kontoene i den aktuelle gruppepolicyen. Arbeidsstasjoner og servere inkluderer som standard følgende kontoer: Administratorer, sikkerhetskopioperatører, brukere og alle.
Microsoft Security Compliance Toolkit anbefaler å erstatte standarden Alle med godkjente brukere for å forhindre anonyme tilkoblinger fra å utføre nettverkspålogginger. Se gjennom de lokale policyinnstillingene før du administrerer Access på denne datamaskinen fra nettverksinnstillingen fra et gruppepolicyobjekt, og vurder å inkludere godkjente brukere i gruppepolicyobjektet om nødvendig.
Konfigurer en enhetsprofil bare for Microsoft Entra hybride sammenføyde enheter
Denne fremgangsmåten beskriver hvordan du bruker administrasjonssenteret for Microsoft Intune til å konfigurere policyene i en enhetsprofil hvis du arbeider med Microsoft Entra hybride sammenføyde enheter.
Opprett en ny enhetsprofil i administrasjonssenteret for Microsoft Intune, og definer følgende verdier:
- Plattform: Windows 10 eller nyere
- Profiltype: Innstillingskatalog
Skriv inn et beskrivende navn og en beskrivende beskrivelse for policyen.
Legg til innstillinger for å definere en NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM policy:
Søk etter Network Access Restrict Clients Allowed to Make Remote Calls To SAM i Innstillinger-velgeren.
Velg for å bla gjennom etter kategorien Sikkerhetsalternativer for lokale policyer , og velg deretter innstillingen Begrense klienter med tillatelse til å foreta eksterne anrop til SAM .
Skriv inn sikkerhetsbeskrivelsen (SDDL):
O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;%SID%), og erstatt%SID%med SID-en for Defender for Identity Directory-tjenesten.Pass på å inkludere den innebygde administratorgruppen :
O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;S-1-5-32-544)
Legg til innstillinger for å definere en AccessFromNetwork-policy :
Søk etter Access fra nettverk i Innstillinger-velgeren.
Velg for å bla gjennom etter brukerrettigheter-kategorien , og velg deretter innstillingen For Tilgang fra nettverk .
Velg for å importere innstillinger, og bla deretter til og velg en CSV-fil som inneholder en liste over brukere og grupper, inkludert SIDer eller navn.
Pass på å inkludere den innebygde administratorgruppen (S-1-5-32-544) og konto-SID for Defender for Identity Directory Service.
Fortsett veiviseren for å velge omfangskoder og tildelinger, og velg Opprett for å opprette profilen.
Hvis du vil ha mer informasjon, kan du se Bruke funksjoner og innstillinger på enhetene dine ved hjelp av enhetsprofiler i Microsoft Intune.