設定SAM-R 以在 適用於身分識別的 Microsoft Defender 中啟用橫向動作路徑偵測

適用於身分識別的 Microsoft Defender 可能橫向動作路徑的對應取決於識別特定計算機上本機系統管理員的查詢。 這些查詢是使用您設定的適用於身分識別 目錄的Defender服務帳戶 ，以SAM-R通訊協定來執行。

本文說明允許適用於身分識別的 Defender 目錄服務帳戶 (DSA) 執行 SAM-R 查詢所需的組態變更。

設定SAM-R必要許可權

若要確保 Windows 用戶端和伺服器允許適用於身分識別的 Defender 目錄服務帳戶 (DSA) 執行 SAM-R 查詢，除了網路存取原則中列出的已設定帳戶之外，您還必須修改 群組原則 並新增 DSA。 請務必將組策略套用至 域控制器以外的所有計算機。

若要設定必要的權限：

1. 找出原則。 在 [計算機設定 > Windows 設定安全性>>設定][本機原則>] [安全性] 選項中，選取 [網络存取 - 限制允許對 SAM 進行遠端呼叫的客戶端] 原則。 例如：

   

2. 將 DSA 新增至可執行此動作的已核准帳戶清單，以及您在稽核模式中探索到的任何其他帳戶。

   如需詳細資訊，請參閱 網路存取：限制允許對 SAM 進行遠端呼叫的用戶端。

確定允許 DSA 從網路存取電腦 (選擇性)

若要將 DSA 新增至允許的帳戶清單：

1. 移至原則並流覽至 [計算機設定 ->原則 - Windows 設定 ->本機原則 ->>用戶權力指派]，然後從網络設定中選取 [存取這部計算機]。 例如：

   

2. 將適用於身分識別目錄的 Defender 服務帳戶新增至核准的帳戶清單。

   重要事項

   在組策略中設定用戶權力指派時，請務必注意，設定 會取代 上一個設定，而不是新增至其中。 因此，請務必在有效的組策略中包含 所有 所需的帳戶。 根據預設，工作站和伺服器包含下列帳戶：系統管理員、備份操作員、使用者和所有人。

   Microsoft安全性合規性工具組建議以已驗證的使用者取代預設的 Everyone，以防止匿名連線執行網路登入。在管理從 GPO 的網路存取這部電腦設定之前，請先檢閱您的本機原則設定，並視需要考慮在 GPO 中包含已驗證的使用者。

僅針對 Microsoft Entra 混合式聯結裝置設定裝置配置檔

此程式描述當您使用 Microsoft Entra 混合式聯結裝置時，如何使用 Microsoft Intune 系統管理中心在裝置配置檔中設定原則。

1. 在 Microsoft Intune 系統管理中心，建立新的裝置設定檔，並定義下列值：

   • 平臺：Windows 10 或更新版本
   • 配置檔類型：設定目錄

   輸入您原則有意義的名稱和描述。

2. 新增設定以定義 NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM 原則：

   1. 在 [ 設定] 選擇器中，搜尋 [網络存取限制允許對 SAM 進行遠端呼叫的用戶端]。

   2. 選取以流覽 [本機原則 安全性選項] 類別，然後選 取 [網络存取限制用戶端允許對 SAM 進行遠端呼叫 ] 設定。

   3. 輸入安全描述 (SDDL) ： O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;%SID%)，並將 取代 %SID% 為適用於身分識別目錄服務的 Defender 帳戶 SID。

      請務必包含內建的 Administrators 群組： O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;S-1-5-32-544)

3. 新增設定以定義 AccessFromNetwork 原則：

   1. 在 [ 設定] 選擇器中，搜尋 [ 從網络存取]。

   2. 選取以瀏覽 [用戶權力 ] 類別，然後選取 [ 從網络存取] 設定。

   3. 選取以匯入設定，然後瀏覽並選取包含使用者和群組清單的 CSV 檔案，包括 SID 或名稱。

      請務必包含內建的 Administrators 群組 (S-1-5-32-544) ，以及適用於身分識別目錄服務的 Defender 帳戶 SID。

4. 繼續精靈以選取 範圍標籤 和 指派，然後選取 [建立 ] 以建立您的配置檔。

   如需詳細資訊，請參閱在 Microsoft Intune 中使用裝置配置檔在裝置上套用功能和設定。

下一步