Udostępnij przez

Konfigurowanie języka SAM-R w celu włączenia wykrywania ścieżki ruchu bocznego w Microsoft Defender for Identity

Ważna

Od połowy maja 2025 r. Microsoft Defender for Identity nie zbiera już członków grupy administratorów lokalnych z punktów końcowych przy użyciu zapytań SAM-R. Te dane służą do tworzenia potencjalnych map ścieżek ruchu bocznego, które nie są już aktualizowane. Zmiana została zastosowana automatycznie — nie były wymagane żadne działania administracyjne ani zmiany konfiguracji.

Microsoft Defender for Identity mapowanie potencjalnych ścieżek ruchu bocznego opiera się na zapytaniach identyfikujących administratorów lokalnych na określonych maszynach. Te zapytania są wykonywane przy użyciu protokołu SAM-R przy użyciu skonfigurowanego konta usługi Defender for Identity Directory .

W tym artykule opisano zmiany konfiguracji wymagane do umożliwienia kontu usług Defender for Identity Directory Services (DSA) wykonywania zapytań SAM-R.

Porada

Chociaż ta procedura jest opcjonalna, zalecamy skonfigurowanie konta usługi katalogowej i skonfigurowanie języka SAM-R na potrzeby wykrywania ścieżki ruchu bocznego w celu pełnego zabezpieczenia środowiska za pomocą usługi Defender for Identity.

Konfigurowanie wymaganych uprawnień SAM-R

Aby upewnić się, że klienci i serwery systemu Windows zezwalają kontu usługi Defender for Identity Directory Services (DSA) na wykonywanie zapytań SAM-R, należy zmodyfikować zasady grupy i dodać usługę DSA oprócz skonfigurowanych kont wymienionych w zasadach dostępu do sieci. Pamiętaj, aby zastosować zasady grupy do wszystkich komputerów z wyjątkiem kontrolerów domeny.

Ważna

Najpierw wykonaj tę procedurę w trybie inspekcji , sprawdzając zgodność proponowanej konfiguracji przed wprowadzeniem zmian w środowisku produkcyjnym.

Testowanie w trybie inspekcji ma kluczowe znaczenie dla zapewnienia, że środowisko pozostanie bezpieczne, a wszelkie zmiany nie będą miały wpływu na zgodność aplikacji. Możesz zaobserwować zwiększony ruch SAM-R generowany przez czujniki usługi Defender for Identity.

Aby skonfigurować wymagane uprawnienia:

  1. Utwórz nowe zasady grupy lub użyj istniejącej.

  2. W ustawieniach konfiguracji > komputera Ustawienia > systemu Windows Ustawienia > zabezpieczeń Opcje zabezpieczeń Zasady > lokalne wybierz opcjęDostęp do sieci — ogranicz klientów, którzy mogą wykonywać zdalne wywołania zasad SAM . Przykład:

    Zrzut ekranu przedstawiający wybrane zasady dostępu do sieci.

  3. Dodaj usługę DSA do listy zatwierdzonych kont, które mogą wykonać tę akcję, wraz z dowolnym innym kontem odnalezionym w trybie inspekcji.

    Zrzut ekranu przedstawiający ustawienia zasad dostępu do sieci.

    Aby uzyskać więcej informacji, zobacz Network access: Restrict clients allowed to make remote calls to SAM (Dostęp do sieci: ograniczanie klientom dozwolonym do wykonywania zdalnych wywołań do protokołu SAM).

Upewnij się, że usługa DSA może uzyskiwać dostęp do komputerów z sieci (opcjonalnie)

Uwaga

Ta procedura jest wymagana tylko wtedy, gdy kiedykolwiek skonfigurowano ustawienie Dostęp do tego komputera z sieci , ponieważ ustawienie Dostęp do tego komputera z sieci nie jest domyślnie skonfigurowane

Aby dodać usługę DSA do listy dozwolonych kont:

  1. Przejdź do zasad i przejdź do pozycji Konfiguracja komputera ->Zasady ->Ustawienia systemu Windows ->Zasady lokalne ->Przypisanie prawego użytkownika, a następnie wybierz pozycję Dostęp do tego komputera z ustawienia sieci . Przykład:

    Zrzut ekranu przedstawiający Redaktor zarządzania zasady grupy.

  2. Dodaj konto usługi Defender for Identity Directory Service do listy zatwierdzonych kont.

    Ważna

    Podczas konfigurowania przypisań praw użytkownika w zasadach grupy należy pamiętać, że ustawienie zastępuje poprzednie, a nie dodaje do niego. W związku z tym upewnij się, że wszystkie żądane konta zostały uwzględnione w skutecznych zasadach grupy. Domyślnie stacje robocze i serwery obejmują następujące konta: Administratorzy, Operatorzy kopii zapasowych, Użytkownicy i Wszyscy.

    Zestaw narzędzi Microsoft Security Compliance Toolkit zaleca zastąpienie domyślnej opcji Wszyscyuwierzytelnionymi użytkownikami , aby zapobiec wykonywaniu logowań sieciowych przez połączenia anonimowe. Przejrzyj ustawienia zasad lokalnych przed zarządzaniem dostępem do tego komputera z ustawienia sieciowego z obiektu zasad grupy i w razie potrzeby rozważ dołączenie uwierzytelnionych użytkowników do obiektu zasad grupy.

    Zrzut ekranu przedstawiający ustawienia zasad zabezpieczeń.

Konfigurowanie profilu urządzenia tylko dla Microsoft Entra urządzeń przyłączonych hybrydowo

W tej procedurze opisano sposób używania centrum administracyjnego Microsoft Intune do konfigurowania zasad w profilu urządzenia, jeśli pracujesz z Microsoft Entra urządzeniami przyłączonymi hybrydowo.

  1. W centrum administracyjnym Microsoft Intune utwórz nowy profil urządzenia, definiując następujące wartości:

    • Platforma: Windows 10 lub nowsza
    • Typ profilu: Katalog ustawień

    Wprowadź zrozumiałą nazwę i opis zasad.

  2. Dodaj ustawienia, aby zdefiniować zasady NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM :

    1. W selektorze Ustawienia wyszukaj pozycję Dostęp sieciowy Ogranicz klientów, którzy mogą wykonywać zdalne wywołania do sam.

    2. Wybierz opcję przeglądania według kategorii Opcje zabezpieczeń zasad lokalnych , a następnie wybierz ustawienie Ogranicz dostęp do sieci Klienci mogą wykonywać połączenia zdalne do protokołu SAM .

    3. Wprowadź deskryptor zabezpieczeń (SDDL): O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;%SID%), zastępując %SID% element identyfikatorem SID konta usługi Defender for Identity Directory Service.

      Pamiętaj, aby uwzględnić wbudowaną grupę Administratorzy : O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;S-1-5-32-544)

  3. Dodaj ustawienia, aby zdefiniować zasady AccessFromNetwork :

    1. W selektorze Ustawienia wyszukaj pozycję Dostęp z sieci.

    2. Wybierz opcję przeglądania według kategorii Prawa użytkownika , a następnie wybierz ustawienie Dostęp z sieci .

    3. Wybierz opcję importowania ustawień, a następnie przejdź do pliku CSV zawierającego listę użytkowników i grup, w tym identyfikatory SID lub nazwy.

      Pamiętaj, aby uwzględnić wbudowaną grupę Administratorzy (S-1-5-32-544) i identyfikator SID konta usługi Defender for Identity Directory Service.

  4. Kontynuuj pracę kreatora, aby wybrać tagi zakresu i przypisania, a następnie wybierz pozycję Utwórz , aby utworzyć profil.

    Aby uzyskać więcej informacji, zobacz Stosowanie funkcji i ustawień na urządzeniach przy użyciu profilów urządzeń w Microsoft Intune.

Następny krok

Konfigurowanie czujników dla usług AD FS i AD CS »

  • Last updated on