Udostępnij za pośrednictwem

Konfigurowanie języka SAM-R w celu włączenia wykrywania ścieżki ruchu bocznego w Microsoft Defender for Identity

  • Artykuł

Microsoft Defender for Identity mapowanie potencjalnych ścieżek ruchu bocznego opiera się na zapytaniach identyfikujących administratorów lokalnych na określonych maszynach. Te zapytania są wykonywane przy użyciu protokołu SAM-R przy użyciu skonfigurowanego konta usługi Defender for Identity Directory .

Uwaga

Ta funkcja może być potencjalnie wykorzystana przez przeciwnika w celu uzyskania skrótu Net-NTLM konta DSA ze względu na ograniczenie systemu Windows w wywołaniach SAM-R, które umożliwia obniżenie poziomu protokołu Kerberos do NTLM. Ten problem nie ma wpływu na nowy czujnik usługi Defender for Identity, ponieważ używa on różnych metod wykrywania.

Zaleca się używanie konta DSA o niskich uprawnieniach. Możesz również skontaktować się z pomocą techniczną , aby otworzyć sprawę i zażądać całkowitego wyłączenia możliwości zbierania danych ścieżki przenoszenia bocznego . Należy pamiętać, że spowoduje to zmniejszenie liczby danych dostępnych dla funkcji ścieżki ataku w usłudze Exposure Management.

W tym artykule opisano zmiany konfiguracji wymagane do umożliwienia kontu usług Defender for Identity Directory Services (DSA) wykonywania zapytań SAM-R.

Porada

Chociaż ta procedura jest opcjonalna, zalecamy skonfigurowanie konta usługi katalogowej i skonfigurowanie języka SAM-R na potrzeby wykrywania ścieżki ruchu bocznego w celu pełnego zabezpieczenia środowiska za pomocą usługi Defender for Identity.

Konfigurowanie wymaganych uprawnień SAM-R

Aby upewnić się, że klienci i serwery systemu Windows zezwalają kontu usługi Defender for Identity Directory Services (DSA) na wykonywanie zapytań SAM-R, należy zmodyfikować zasady grupy i dodać usługę DSA oprócz skonfigurowanych kont wymienionych w zasadach dostępu do sieci. Pamiętaj, aby zastosować zasady grupy do wszystkich komputerów z wyjątkiem kontrolerów domeny.

Ważna

Najpierw wykonaj tę procedurę w trybie inspekcji , sprawdzając zgodność proponowanej konfiguracji przed wprowadzeniem zmian w środowisku produkcyjnym.

Testowanie w trybie inspekcji ma kluczowe znaczenie dla zapewnienia, że środowisko pozostanie bezpieczne, a wszelkie zmiany nie będą miały wpływu na zgodność aplikacji. Możesz zaobserwować zwiększony ruch SAM-R generowany przez czujniki usługi Defender for Identity.

Aby skonfigurować wymagane uprawnienia:

  1. Znajdź zasady. W ustawieniach konfiguracji > komputera Ustawienia > systemu Windows Ustawienia > zabezpieczeń Opcje zabezpieczeń Zasady > lokalne wybierz opcjęDostęp do sieci — ogranicz klientów, którzy mogą wykonywać zdalne wywołania zasad SAM . Przykład:

    Zrzut ekranu przedstawiający wybrane zasady dostępu do sieci.

  2. Dodaj usługę DSA do listy zatwierdzonych kont, które mogą wykonać tę akcję, wraz z dowolnym innym kontem odnalezionym w trybie inspekcji.

    Aby uzyskać więcej informacji, zobacz Network access: Restrict clients allowed to make remote calls to SAM (Dostęp do sieci: ograniczanie klientom dozwolonym do wykonywania zdalnych wywołań do protokołu SAM).

Upewnij się, że usługa DSA może uzyskiwać dostęp do komputerów z sieci (opcjonalnie)

Uwaga

Ta procedura jest wymagana tylko wtedy, gdy kiedykolwiek skonfigurowano ustawienie Dostęp do tego komputera z sieci , ponieważ ustawienie Dostęp do tego komputera z sieci nie jest domyślnie skonfigurowane

Aby dodać usługę DSA do listy dozwolonych kont:

  1. Przejdź do zasad i przejdź do pozycji Konfiguracja komputera ->Zasady ->Ustawienia systemu Windows ->Zasady lokalne ->Przypisanie prawego użytkownika, a następnie wybierz pozycję Dostęp do tego komputera z ustawienia sieci . Przykład:

    Zrzut ekranu przedstawiający Redaktor zarządzania zasady grupy.

  2. Dodaj konto usługi Defender for Identity Directory Service do listy zatwierdzonych kont.

    Ważna

    Podczas konfigurowania przypisań praw użytkownika w zasadach grupy należy pamiętać, że ustawienie zastępuje poprzednie, a nie dodaje do niego. W związku z tym upewnij się, że wszystkie żądane konta zostały uwzględnione w skutecznych zasadach grupy. Domyślnie stacje robocze i serwery obejmują następujące konta: Administratorzy, Operatorzy kopii zapasowych, Użytkownicy i Wszyscy.

    Zestaw narzędzi Microsoft Security Compliance Toolkit zaleca zastąpienie domyślnej opcji Wszyscyuwierzytelnionymi użytkownikami , aby zapobiec wykonywaniu logowań sieciowych przez połączenia anonimowe. Przejrzyj ustawienia zasad lokalnych przed zarządzaniem dostępem do tego komputera z ustawienia sieciowego z obiektu zasad grupy i w razie potrzeby rozważ dołączenie uwierzytelnionych użytkowników do obiektu zasad grupy.

Konfigurowanie profilu urządzenia tylko dla Microsoft Entra urządzeń przyłączonych hybrydowo

W tej procedurze opisano sposób używania centrum administracyjnego Microsoft Intune do konfigurowania zasad w profilu urządzenia, jeśli pracujesz z Microsoft Entra urządzeniami przyłączonymi hybrydowo.

  1. W centrum administracyjnym Microsoft Intune utwórz nowy profil urządzenia, definiując następujące wartości:

    • Platforma: Windows 10 lub nowsza
    • Typ profilu: Katalog ustawień

    Wprowadź zrozumiałą nazwę i opis zasad.

  2. Dodaj ustawienia, aby zdefiniować zasady NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM :

    1. W selektorze Ustawienia wyszukaj pozycję Dostęp sieciowy Ogranicz klientów, którzy mogą wykonywać zdalne wywołania do sam.

    2. Wybierz opcję przeglądania według kategorii Opcje zabezpieczeń zasad lokalnych , a następnie wybierz ustawienie Ogranicz dostęp do sieci Klienci mogą wykonywać połączenia zdalne do protokołu SAM .

    3. Wprowadź deskryptor zabezpieczeń (SDDL): O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;%SID%), zastępując %SID% element identyfikatorem SID konta usługi Defender for Identity Directory Service.

      Pamiętaj, aby uwzględnić wbudowaną grupę Administratorzy : O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;S-1-5-32-544)

  3. Dodaj ustawienia, aby zdefiniować zasady AccessFromNetwork :

    1. W selektorze Ustawienia wyszukaj pozycję Dostęp z sieci.

    2. Wybierz opcję przeglądania według kategorii Prawa użytkownika , a następnie wybierz ustawienie Dostęp z sieci .

    3. Wybierz opcję importowania ustawień, a następnie przejdź do pliku CSV zawierającego listę użytkowników i grup, w tym identyfikatory SID lub nazwy.

      Pamiętaj, aby uwzględnić wbudowaną grupę Administratorzy (S-1-5-32-544) i identyfikator SID konta usługi Defender for Identity Directory Service.

  4. Kontynuuj pracę kreatora, aby wybrać tagi zakresu i przypisania, a następnie wybierz pozycję Utwórz , aby utworzyć profil.

    Aby uzyskać więcej informacji, zobacz Stosowanie funkcji i ustawień na urządzeniach przy użyciu profilów urządzeń w Microsoft Intune.

Następny krok

Konfigurowanie czujników dla usług AD FS i AD CS »