Condividi tramite

Configurare SAM-R per abilitare il rilevamento dei percorsi di spostamento laterale in Microsoft Defender per identità

  • Articolo

Microsoft Defender per identità mapping per i potenziali percorsi di spostamento laterale si basa su query che identificano gli amministratori locali in computer specifici. Queste query vengono eseguite con il protocollo SAM-R usando l'account defender per il servizio directory di identità configurato.

Nota

Questa funzionalità può essere potenzialmente sfruttata da un antagonista per ottenere l'hash Net-NTLM dell'account DSA a causa di una limitazione di Windows nelle chiamate SAM-R che consente il downgrade da Kerberos a NTLM. Il nuovo sensore Defender per identità non è interessato da questo problema perché usa metodi di rilevamento diversi.

È consigliabile usare un account DSA con privilegi limitati. È anche possibile contattare il supporto tecnico per aprire un caso e richiedere di disabilitare completamente la funzionalità di raccolta dati Percorsi di spostamento laterale . Si noti che ciò comporterà una riduzione dei dati disponibili per la funzionalità percorso di attacco in Gestione esposizione.

Questo articolo descrive le modifiche di configurazione necessarie per consentire all'account DSA (Defender for Identity Directory Services Account) di eseguire le query SAM-R.

Consiglio

Anche se questa procedura è facoltativa, è consigliabile configurare un account del servizio directory e SAM-R per il rilevamento dei percorsi di spostamento laterale per proteggere completamente l'ambiente con Defender per identità.

Configurare le autorizzazioni necessarie per SAM-R

Per assicurarsi che i client e i server Windows consentano all'account DSA (Defender for Identity Directory Services Account) di eseguire query SAM-R, è necessario modificare il Criteri di gruppo e aggiungere l'account DSA, oltre agli account configurati elencati nei criteri di accesso alla rete. Assicurarsi di applicare criteri di gruppo a tutti i computer tranne i controller di dominio.

Importante

Eseguire prima questa procedura in modalità di controllo verificando la compatibilità della configurazione proposta prima di apportare le modifiche all'ambiente di produzione.

Il test in modalità di controllo è fondamentale per garantire che l'ambiente rimanga sicuro e che le modifiche non influiranno sulla compatibilità dell'applicazione. È possibile osservare un aumento del traffico SAM-R generato dai sensori defender per identità.

Per configurare le autorizzazioni necessarie:

  1. Individuare i criteri. Nelle impostazioni di configurazione > computer Impostazioni >> di sicurezza Criteri > locali Opzioni di sicurezza selezionare il criterio Accesso alla rete - Limitare i client autorizzati a effettuare chiamate remote al criterio SAM . Ad esempio:

    Screenshot dei criteri di accesso alla rete selezionati.

  2. Aggiungere l'account DSA all'elenco degli account approvati in grado di eseguire questa azione, insieme a qualsiasi altro account individuato durante la modalità di controllo.

    Per altre informazioni, vedere Accesso alla rete: Limitare i client autorizzati a effettuare chiamate remote a SAM.

Assicurarsi che il DSA sia autorizzato ad accedere ai computer dalla rete (facoltativo)

Nota

Questa procedura è necessaria solo se è stata configurata l'impostazione Access this computer from the network (Accedi al computer dalla rete ) perché l'impostazione Access this computer from the network (Accedi al computer dalla rete ) non è configurata per impostazione predefinita

Per aggiungere l'account DSA all'elenco degli account consentiti:

  1. Passare ai criteri e passare a Configurazione computer ->Criteri -Impostazioni di>Windows ->Criteri locali ->Assegnazione diritti utente e selezionare l'impostazione Accedi a questo computer dalla rete. Ad esempio:

    Screenshot del Editor gestione Criteri di gruppo.

  2. Aggiungere l'account del servizio directory defender per identità all'elenco degli account approvati.

    Importante

    Quando si configurano le assegnazioni di diritti utente nei criteri di gruppo, è importante notare che l'impostazione sostituisce quella precedente anziché aggiungerla. Assicurarsi pertanto di includere tutti gli account desiderati nei criteri di gruppo effettivi. Per impostazione predefinita, le workstation e i server includono gli account seguenti: Amministratori, Operatori di backup, Utenti e Tutti.

    Microsoft Security Compliance Toolkit consiglia di sostituire il valore predefinito Everyone with Authenticated Users (Tutti gli utenti autenticati) per impedire alle connessioni anonime di eseguire gli accessi di rete. Esaminare le impostazioni dei criteri locali prima di gestire l'impostazione Accedi a questo computer dalla rete da un oggetto Criteri di gruppo e, se necessario, prendere in considerazione l'inclusione degli utenti autenticati nell'oggetto Criteri di gruppo.

Configurare un profilo di dispositivo solo per Microsoft Entra dispositivi aggiunti ibridi

Questa procedura descrive come usare l'interfaccia di amministrazione Microsoft Intune per configurare i criteri in un profilo dispositivo se si usa Microsoft Entra dispositivi aggiunti ibridi.

  1. Nell'interfaccia di amministrazione Microsoft Intune creare un nuovo profilo dispositivo, definendo i valori seguenti:

    • Piattaforma: Windows 10 o versioni successive
    • Tipo di profilo: Catalogo impostazioni

    Immettere un nome e una descrizione significativi per i criteri.

  2. Aggiungere impostazioni per definire un criterio di NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM :

    1. Nel selettore Impostazioni cercare Accesso alla rete Limitare i client autorizzati a effettuare chiamate remote a SAM.

    2. Selezionare questa opzione per esplorare la categoria Opzioni di sicurezza criteri locali e quindi selezionare l'impostazione Limitare l'accesso di rete ai client autorizzati a effettuare chiamate remote a SAM .

    3. Immettere il descrittore di sicurezza (SDDL): O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;%SID%), sostituendo %SID% con il SID dell'account del servizio directory defender per identità.

      Assicurarsi di includere il gruppo Administrators predefinito: O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;S-1-5-32-544)

  3. Aggiungere impostazioni per definire un criterio AccessFromNetwork :

    1. Nel selettore Impostazioni cercare Accesso dalla rete.

    2. Selezionare questa opzione per esplorare la categoria Diritti utente e quindi selezionare l'impostazione Accesso dalla rete .

    3. Selezionare per importare le impostazioni, quindi passare a e selezionare un file CSV contenente un elenco di utenti e gruppi, inclusi SID o nomi.

      Assicurarsi di includere il gruppo Administrators predefinito (S-1-5-32-544) e il SID dell'account del servizio directory defender per identità.

  4. Continuare la procedura guidata per selezionare i tag di ambito e le assegnazioni e selezionare Crea per creare il profilo.

    Per altre informazioni, vedere Applicare funzionalità e impostazioni nei dispositivi usando i profili di dispositivo in Microsoft Intune.

Passaggio successivo

Configurazione dei sensori per AD FS e AD CS »