Настройка SAM-R для включения обнаружения пути бокового перемещения в Microsoft Defender для удостоверений

Microsoft Defender для удостоверений сопоставление потенциальных путей бокового перемещения зависит от запросов, которые определяют локальных администраторов на определенных компьютерах. Эти запросы выполняются по протоколу SAM-R с помощью настроенной учетной записи службы каталогов Defender для удостоверений.

В этой статье описаны изменения конфигурации, необходимые для разрешения учетной записи Служб каталогов Defender для удостоверений (DSA) выполнять запросы SAM-R.

Настройка необходимых разрешений SAM-R

Чтобы клиенты и серверы Windows разрешили учетной записи Служб Каталогов Defender для удостоверений выполнять запросы SAM-R, необходимо изменить групповая политика и добавить DSA в дополнение к настроенным учетным записям, перечисленным в политике доступа к сети. Обязательно применяйте групповые политики ко всем компьютерам , кроме контроллеров домена.

Чтобы настроить необходимые разрешения, выполните следующие действия.

1. Создайте новую групповую политику или используйте существующую.

2. В разделе Конфигурация > компьютера Параметры windows > Параметры > безопасности Локальные политики > Параметры безопасности выберите политику Сетевой доступ — ограничение клиентов, которым разрешено совершать удаленные вызовы SAM . Например:

   

3. Добавьте DSA в список утвержденных учетных записей, способных выполнять это действие, вместе с любой другой учетной записью, обнаруженной в режиме аудита.

   

   Дополнительные сведения см. в разделе Сетевой доступ: ограничение клиентов, которым разрешено совершать удаленные вызовы к SAM.

Убедитесь, что DSA разрешен доступ к компьютерам из сети (необязательно)

Чтобы добавить DSA в список разрешенных учетных записей:

1. Перейдите к политике и перейдите в раздел Конфигурация компьютера ->Политики ->Параметры Windows ->Локальные политики ->Назначение прав пользователя, а затем выберите Доступ к этому компьютеру в параметре сети . Например:

   

2. Добавьте учетную запись Службы каталогов Defender для удостоверений в список утвержденных учетных записей.

   Важно!

   При настройке назначений прав пользователей в групповых политиках важно отметить, что параметр заменяет предыдущее, а не добавляет к нему. Поэтому обязательно включите все нужные учетные записи в действующую групповую политику. По умолчанию рабочие станции и серверы включают следующие учетные записи: Администраторы, Операторы резервного копирования, Пользователи и Все.

   Microsoft Security Compliance Toolkit рекомендует заменить значение по умолчанию Все пользователи с прошедшими проверку подлинности, чтобы запретить анонимным подключениям выполнять вход в сеть. Проверьте параметры локальной политики, прежде чем управлять доступом к этому компьютеру из параметра сети из объекта групповой политики, и при необходимости рассмотрите возможность включения пользователей, прошедших проверку подлинности, в объект групповой политики.

   

Настройка профиля устройства только для Microsoft Entra устройств с гибридным присоединением

В этой процедуре описывается, как использовать Центр администрирования Microsoft Intune для настройки политик в профиле устройства, если вы работаете с Microsoft Entra устройствами с гибридным присоединением.

1. В центре администрирования Microsoft Intune создайте профиль устройства, определив следующие значения:

   • Платформа: Windows 10 или более поздней версии
   • Тип профиля: каталог параметров

   Введите понятное имя и описание политики.

2. Добавьте параметры для определения политики NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM :

   1. В окне выбора параметров найдите параметр Network Access Restrict Clients To Make Remote Calls to Make Remote Calls to SAM (Ограничение сетевого доступа клиентов, которым разрешено совершать удаленные вызовы к SAM).

   2. Выберите для просмотра по категории Параметры безопасности локальных политик , а затем выберите параметр Ограничение сетевого доступа клиентов, которым разрешено совершать удаленные вызовы к SAM .

   3. Введите дескриптор безопасности (SDDL): O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;%SID%)замените идентификатором безопасности учетной записи Службы каталогов Defender для удостоверений %SID% .

      Обязательно включите встроенную группу Администраторы : O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;S-1-5-32-544)

3. Добавьте параметры для определения политики AccessFromNetwork :

   1. В средстве выбора параметров найдите Access From Network (Доступ из сети).

   2. Выберите для просмотра по категории Права пользователя , а затем выберите параметр Доступ из сети .

   3. Выберите для импорта параметры, а затем найдите и выберите CSV-файл, содержащий список пользователей и групп, включая идентификаторы безопасности или имена.

      Обязательно включите встроенную группу администраторов (S-1-5-32-544) и идентификатор безопасности учетной записи Службы каталогов Defender для удостоверений.

4. Перейдите в мастер, чтобы выбрать теги и назначенияобласть, а затем нажмите кнопку Создать, чтобы создать профиль.

   Дополнительные сведения см. в статье Применение функций и параметров на устройствах с помощью профилей устройств в Microsoft Intune.

Следующее действие