通过

配置 SAM-R 以在 Microsoft Defender for Identity 中启用横向移动路径检测

  • 项目

潜在横向移动路径Microsoft Defender for Identity映射依赖于标识特定计算机上的本地管理员的查询。 这些查询使用你配置的 Defender for Identity Directory 服务帐户 通过 SAM-R 协议执行。

注意

攻击者可能会利用此功能来获取 DSA 帐户的 Net-NTLM 哈希,因为 SAM-R 调用中的 Windows 限制允许从 Kerberos 降级为 NTLM。 新的 Defender for Identity 传感器不受此问题的影响,因为它使用不同的检测方法。

建议使用 低特权 DSA 帐户。 还可以 联系支持人员 以打开案例并请求完全禁用 横向移动路径 数据收集功能。 请注意,这将导致 暴露管理中攻击路径功能的可用数据减少。

本文介绍允许 Defender for Identity Directory Services 帐户 (DSA) 执行 SAM-R 查询所需的配置更改。

提示

虽然此过程是可选的,但我们建议你配置目录服务帐户,并为横向移动路径检测配置 SAM-R,以便使用 Defender for Identity 完全保护环境。

配置 SAM-R 所需的权限

若要确保 Windows 客户端和服务器允许 Defender for Identity Directory 服务帐户 (DSA) 执行 SAM-R 查询,除了网络访问策略中列出的已配置帐户外,还必须修改组策略并添加 DSA。 请确保将组策略应用于 域控制器以外的所有计算机。

重要

首先在 审核模式下 执行此过程,方法是在对生产环境进行更改之前验证建议配置的兼容性。

在审核模式下进行测试对于确保环境保持安全至关重要,任何更改都不会影响应用程序兼容性。 你可能会观察到 Defender for Identity 传感器生成的 SAM-R 流量增加。

配置所需权限

  1. 找到策略。 在 “计算机配置 > ”“Windows 设置 > ”“安全设置 > ”“本地策略 > ”“安全选项”中,选择“ 网络访问 - 限制允许客户端对 SAM 进行远程调用 ”策略。 例如:

    所选网络访问策略的屏幕截图。

  2. 将 DSA 添加到能够执行此操作的已批准帐户列表,以及你在审核模式下发现的任何其他帐户。

    有关详细信息,请参阅 网络访问:限制允许对 SAM 进行远程调用的客户端

确保允许 DSA 从网络访问计算机 (可选)

注意

仅当已配置“ 从网络访问此计算机” 设置时,才需要此过程,因为默认情况下未配置 “从网络访问此计算机 ”设置

若要将 DSA 添加到允许的帐户列表,请执行以下操作

  1. 转到策略并导航到“计算机配置”->“策略”->“Windows 设置”->“本地策略”->“用户权限分配”,然后选择“从网络访问此计算机”设置。 例如:

    组策略管理编辑器的屏幕截图。

  2. 将 Defender for Identity Directory 服务帐户添加到已批准的帐户列表中。

    重要

    在组策略中配置用户权限分配时,请务必注意,该设置 将替换 上一个设置,而不是将其添加到其中。 因此,请确保在有效的组策略中包含 所有 所需的帐户。 默认情况下,工作站和服务器包括以下帐户:管理员、备份操作员、用户和每个人。

    Microsoft安全合规性工具包建议将默认的“每个人”替换为“经过身份验证的用户”,以防止匿名连接执行网络登录。在管理从 GPO 的网络访问此计算机设置之前,请查看本地策略设置,并考虑在 GPO 中包含经过身份验证的用户(如果需要)。

仅为Microsoft Entra混合联接的设备配置设备配置文件

此过程介绍如何使用 Microsoft Intune 管理中心在设备配置文件中配置策略(如果使用Microsoft Entra混合加入的设备)。

  1. 在 Microsoft Intune 管理中心中,创建新的设备配置文件,定义以下值:

    • 平台:Windows 10或更高版本
    • 配置文件类型:设置目录

    为策略输入有意义的名称和说明。

  2. 添加设置以定义 NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM 策略:

    1. “设置”选取器中,搜索 “允许对 SAM 进行远程调用的网络访问限制客户端”。

    2. 选择以按 “本地策略安全选项” 类别浏览,然后选择“ 网络访问限制允许客户端对 SAM 进行远程调用 ”设置。

    3. 输入安全描述符 (SDDL) : O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;%SID%),将 %SID% 替换为 Defender for Identity Directory 服务帐户 SID。

      请确保包含内置 管理员 组: O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;S-1-5-32-544)

  3. 添加设置以定义 AccessFromNetwork 策略:

    1. “设置”选取器中,搜索 “从网络访问”。

    2. 选择按 “用户权限” 类别浏览,然后选择“ 从网络访问” 设置。

    3. 选择以导入设置,然后浏览并选择包含用户和组列表(包括 SID 或名称)的 CSV 文件。

      请确保包含内置 管理员 组 (S-1-5-32-544) 和 Defender for Identity Directory 服务帐户 SID。

  4. 继续向导以选择 范围标记分配,然后选择“ 创建 ”以创建配置文件。

    有关详细信息,请参阅在 Microsoft Intune 中使用设备配置文件在设备上应用功能和设置

后续步骤

为 AD FS 和 AD CS 配置传感器 »