Поделиться через

Настройка SAM-R для включения обнаружения пути бокового перемещения в Microsoft Defender для удостоверений

  • Статья

Microsoft Defender для удостоверений сопоставление потенциальных путей бокового перемещения зависит от запросов, которые определяют локальных администраторов на определенных компьютерах. Эти запросы выполняются по протоколу SAM-R с помощью настроенной учетной записи службы каталогов Defender для удостоверений.

Примечание.

Злоумышленник может использовать эту функцию для получения хэша Net-NTLM учетной записи DSA из-за ограничения Windows в вызовах SAM-R, что позволяет перейти с Kerberos на NTLM. На новый датчик Defender для удостоверений эта проблема не влияет, так как он использует различные методы обнаружения.

Рекомендуется использовать учетную запись DSA с низким уровнем привилегий. Вы также можете обратиться в службу поддержки , чтобы открыть обращение и попросить полностью отключить возможность сбора данных пути бокового перемещения . Обратите внимание, что это приведет к сокращению объема данных, доступных для функции пути атаки в управлении экспозицией.

В этой статье описаны изменения конфигурации, необходимые для разрешения учетной записи Служб каталогов Defender для удостоверений (DSA) выполнять запросы SAM-R.

Совет

Хотя эта процедура является необязательной, рекомендуется настроить учетную запись службы каталогов и настроить SAM-R для обнаружения пути бокового перемещения, чтобы полностью защитить среду с помощью Defender для удостоверений.

Настройка необходимых разрешений SAM-R

Чтобы клиенты и серверы Windows разрешили учетной записи Служб Каталогов Defender для удостоверений выполнять запросы SAM-R, необходимо изменить групповая политика и добавить DSA в дополнение к настроенным учетным записям, перечисленным в политике доступа к сети. Обязательно применяйте групповые политики ко всем компьютерам , кроме контроллеров домена.

Важно!

Сначала выполните эту процедуру в режиме аудита , проверив совместимость предлагаемой конфигурации, прежде чем вносить изменения в рабочую среду.

Тестирование в режиме аудита имеет решающее значение для обеспечения безопасности среды, и любые изменения не повлияют на совместимость приложений. Вы можете наблюдать увеличение трафика SAM-R, создаваемого датчиками Defender для удостоверений.

Чтобы настроить необходимые разрешения, выполните следующие действия.

  1. Найдите политику. В разделе Конфигурация > компьютера Параметры windows > Параметры > безопасности Локальные политики > Параметры безопасности выберите политику Сетевой доступ — ограничение клиентов, которым разрешено совершать удаленные вызовы SAM . Например:

    Снимок экрана: выбранная политика доступа к сети.

  2. Добавьте DSA в список утвержденных учетных записей, способных выполнять это действие, вместе с любой другой учетной записью, обнаруженной в режиме аудита.

    Дополнительные сведения см. в разделе Сетевой доступ: ограничение клиентов, которым разрешено совершать удаленные вызовы к SAM.

Убедитесь, что DSA разрешен доступ к компьютерам из сети (необязательно)

Примечание.

Эта процедура требуется только в том случае, если вы когда-либо настроили параметр Доступ к этому компьютеру из сети , так как параметр Access this computer from the network (Доступ к этому компьютеру из сети ) не настроен по умолчанию.

Чтобы добавить DSA в список разрешенных учетных записей:

  1. Перейдите к политике и перейдите в раздел Конфигурация компьютера ->Политики ->Параметры Windows ->Локальные политики ->Назначение прав пользователя, а затем выберите Доступ к этому компьютеру в параметре сети . Например:

    Снимок экрана: Редактор управления групповая политика.

  2. Добавьте учетную запись Службы каталогов Defender для удостоверений в список утвержденных учетных записей.

    Важно!

    При настройке назначений прав пользователей в групповых политиках важно отметить, что параметр заменяет предыдущее, а не добавляет к нему. Поэтому обязательно включите все нужные учетные записи в действующую групповую политику. По умолчанию рабочие станции и серверы включают следующие учетные записи: Администраторы, Операторы резервного копирования, Пользователи и Все.

    Microsoft Security Compliance Toolkit рекомендует заменить значение по умолчанию Все пользователи с прошедшими проверку подлинности, чтобы запретить анонимным подключениям выполнять вход в сеть. Проверьте параметры локальной политики, прежде чем управлять доступом к этому компьютеру из параметра сети из объекта групповой политики, и при необходимости рассмотрите возможность включения пользователей, прошедших проверку подлинности, в объект групповой политики.

Настройка профиля устройства только для Microsoft Entra устройств с гибридным присоединением

В этой процедуре описывается, как использовать Центр администрирования Microsoft Intune для настройки политик в профиле устройства, если вы работаете с Microsoft Entra устройствами с гибридным присоединением.

  1. В центре администрирования Microsoft Intune создайте профиль устройства, определив следующие значения:

    • Платформа: Windows 10 или более поздней версии
    • Тип профиля: каталог параметров

    Введите понятное имя и описание политики.

  2. Добавьте параметры для определения политики NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM :

    1. В окне выбора параметров найдите параметр Network Access Restrict Clients To Make Remote Calls to Make Remote Calls to SAM (Ограничение сетевого доступа клиентов, которым разрешено совершать удаленные вызовы к SAM).

    2. Выберите для просмотра по категории Параметры безопасности локальных политик , а затем выберите параметр Ограничение сетевого доступа клиентов, которым разрешено совершать удаленные вызовы к SAM .

    3. Введите дескриптор безопасности (SDDL): O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;%SID%)замените идентификатором безопасности учетной записи Службы каталогов Defender для удостоверений %SID% .

      Обязательно включите встроенную группу Администраторы : O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;S-1-5-32-544)

  3. Добавьте параметры для определения политики AccessFromNetwork :

    1. В средстве выбора параметров найдите Access From Network (Доступ из сети).

    2. Выберите для просмотра по категории Права пользователя , а затем выберите параметр Доступ из сети .

    3. Выберите для импорта параметры, а затем найдите и выберите CSV-файл, содержащий список пользователей и групп, включая идентификаторы безопасности или имена.

      Обязательно включите встроенную группу администраторов (S-1-5-32-544) и идентификатор безопасности учетной записи Службы каталогов Defender для удостоверений.

  4. Перейдите в мастер, чтобы выбрать теги и назначенияобласть, а затем нажмите кнопку Создать, чтобы создать профиль.

    Дополнительные сведения см. в статье Применение функций и параметров на устройствах с помощью профилей устройств в Microsoft Intune.

Следующее действие

Настройка датчиков для AD FS и AD CS »