Dela via

Konfigurera SAM-R för att aktivera identifiering av lateral förflyttningssökväg i Microsoft Defender for Identity

  • Artikel

Microsoft Defender for Identity mappning för potentiella laterala förflyttningsvägar förlitar sig på frågor som identifierar lokala administratörer på specifika datorer. Dessa frågor utförs med SAM-R-protokollet med hjälp av det Defender for Identity Directory Service-konto som du konfigurerade.

Obs!

Den här funktionen kan potentiellt utnyttjas av en angripare för att hämta Net-NTLM-hashen för DSA-kontot på grund av en Windows-begränsning i SAM-R-anropen som tillåter nedgradering från Kerberos till NTLM. Den nya Defender for Identity-sensorn påverkas inte av det här problemet eftersom den använder olika identifieringsmetoder.

Vi rekommenderar att du använder ett DSA-konto med låg behörighet. Du kan också kontakta supporten för att öppna ett ärende och begära att helt inaktivera datainsamlingsfunktionen laterala förflyttningsvägar . Observera att detta resulterar i minskade data som är tillgängliga för attackvägsfunktionen i Exponeringshantering.

Den här artikeln beskriver de konfigurationsändringar som krävs för att tillåta att Defender for Identity Directory Services-kontot (DSA) utför SAM-R-frågorna.

Tips

Även om den här proceduren är valfri rekommenderar vi att du konfigurerar ett katalogtjänstkonto och konfigurerar SAM-R för identifiering av lateral förflyttningssökväg för att helt skydda din miljö med Defender for Identity.

Konfigurera nödvändiga SAM-R-behörigheter

För att säkerställa att Windows-klienter och -servrar tillåter att ditt Defender for Identity Directory Services-konto (DSA) utför SAM-R-frågor måste du ändra grupprincip och lägga till DSA utöver de konfigurerade konton som anges i principen för nätverksåtkomst. Se till att tillämpa grupprinciper på alla datorer utom domänkontrollanter.

Viktigt

Utför den här proceduren först i granskningsläget genom att kontrollera kompatibiliteten för den föreslagna konfigurationen innan du gör ändringarna i produktionsmiljön.

Testning i granskningsläge är viktigt för att säkerställa att din miljö förblir säker, och eventuella ändringar påverkar inte programkompatibiliteten. Du kan se ökad SAM-R-trafik som genereras av Defender för identitetssensorer.

Så här konfigurerar du nödvändiga behörigheter:

  1. Leta upp principen. I datorkonfigurationen > Windows-inställningar > Säkerhetsinställningar > Lokala principer > Säkerhetsalternativ väljer du Nätverksåtkomst – Begränsa klienter som tillåts att göra fjärranrop till SAM-principen . Till exempel:

    Skärmbild av den princip för nätverksåtkomst som valts.

  2. Lägg till DSA i listan över godkända konton som kan utföra den här åtgärden, tillsammans med andra konton som du har identifierat under granskningsläget.

    Mer information finns i Nätverksåtkomst: Begränsa klienter som tillåts att göra fjärranrop till SAM.

Kontrollera att DSA har åtkomst till datorer från nätverket (valfritt)

Obs!

Den här proceduren krävs bara om du någonsin har konfigurerat inställningen Åtkomst till den här datorn från nätverket eftersom inställningen Åtkomst till den här datorn från nätverket inte är konfigurerad som standard

Så här lägger du till DSA i listan över tillåtna konton:

  1. Gå till principen och gå till Datorkonfiguration ->Principer ->Windows-inställningar ->Lokala principer ->Tilldelning av användarrätt och välj inställningen Åtkomst till den här datorn från nätverksinställningen . Till exempel:

    Skärmbild av grupprincip Management Editor.

  2. Lägg till Defender for Identity Directory Service-kontot i listan över godkända konton.

    Viktigt

    När du konfigurerar tilldelningar av användarrättigheter i grupprinciper är det viktigt att observera att inställningen ersätter den tidigare i stället för att lägga till den. Se därför till att inkludera alla önskade konton i den effektiva grupprincipen. Arbetsstationer och servrar innehåller som standard följande konton: Administratörer, Ansvariga för säkerhetskopiering, Användare och Alla.

    Microsoft Security Compliance Toolkit rekommenderar att du ersätter standardinställningen Alla med autentiserade användare för att förhindra att anonyma anslutningar utför nätverksinloggningar. Granska dina lokala principinställningar innan du hanterar inställningen Åtkomst till den här datorn från nätverksinställningen från ett grupprincipobjekt och överväg att inkludera autentiserade användare i grupprincipobjektet om det behövs.

Konfigurera endast en enhetsprofil för Microsoft Entra hybrid-anslutna enheter

Den här proceduren beskriver hur du använder Microsoft Intune administrationscenter för att konfigurera principerna i en enhetsprofil om du arbetar med Microsoft Entra hybrid-anslutna enheter.

  1. I Microsoft Intune administrationscenter skapar du en ny enhetsprofil och definierar följande värden:

    • Plattform: Windows 10 eller senare
    • Profiltyp: Inställningskatalog

    Ange ett beskrivande namn och en beskrivning för principen.

  2. Lägg till inställningar för att definiera en NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM princip:

    1. I inställningsväljaren söker du efter Nätverksåtkomst Begränsa klienter som tillåts göra fjärranrop till SAM.

    2. Välj att bläddra efter kategorin Säkerhetsalternativ för lokala principer och välj sedan inställningen Begränsa klienter för nätverksåtkomst för att göra fjärranrop till SAM .

    3. Ange säkerhetsbeskrivningen (SDDL): O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;%SID%)och ersätt %SID% med SID för Defender for Identity Directory Service-kontot.

      Se till att inkludera den inbyggda gruppen Administratörer : O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;S-1-5-32-544)

  3. Lägg till inställningar för att definiera en AccessFromNetwork-princip :

    1. I inställningsväljaren söker du efter Åtkomst från nätverk.

    2. Välj att bläddra efter kategorin Användarrättigheter och välj sedan inställningen Åtkomst från nätverk .

    3. Välj att importera inställningar och bläddra sedan till och välj en CSV-fil som innehåller en lista över användare och grupper, inklusive SID eller namn.

      Se till att inkludera den inbyggda gruppen Administratörer (S-1-5-32-544) och Defender for Identity Directory Service-kontot SID.

  4. Fortsätt guiden för att välja omfångstaggar och tilldelningar och välj Skapa för att skapa din profil.

    Mer information finns i Tillämpa funktioner och inställningar på dina enheter med enhetsprofiler i Microsoft Intune.

Nästa steg

Konfigurera sensorer för AD FS och AD CS »