تكوين SAM-R لتمكين الكشف عن مسار الحركة الجانبية في Microsoft Defender for Identity

يعتمد تعيين Microsoft Defender for Identity لمسارات الحركة الجانبية المحتملة على الاستعلامات التي تحدد المسؤولين المحليين على أجهزة معينة. يتم تنفيذ هذه الاستعلامات باستخدام بروتوكول SAM-R، باستخدام حساب Defender for Identity Directory Service الذي قمت بتكوينه.

توضح هذه المقالة تغييرات التكوين المطلوبة للسماح لحساب Defender for Identity Directory Services (DSA) بإجراء استعلامات SAM-R.

تكوين الأذونات المطلوبة ل SAM-R

للتأكد من أن عملاء وخوادم Windows تسمح لحساب Defender for Identity Directory Services (DSA) بإجراء استعلامات SAM-R، يجب تعديل نهج المجموعة وإضافة DSA، بالإضافة إلى الحسابات المكونة المدرجة في نهج الوصول إلى الشبكة. تأكد من تطبيق نهج المجموعة على جميع أجهزة الكمبيوتر باستثناء وحدات التحكم بالمجال.

لتكوين الأذونات المطلوبة:

1. إنشاء نهج مجموعة جديد أو استخدام نهج موجود.

2. في تكوين > الكمبيوتر إعدادات Windows إعدادات > الأمانالنهج > المحلية > خيارات الأمان، حدد الوصول إلى الشبكة - تقييد العملاء المسموح لهم بإجراء مكالمات عن بعد إلى نهج SAM . على سبيل المثال:

   

3. أضف DSA إلى قائمة الحسابات المعتمدة القادرة على تنفيذ هذا الإجراء، جنبا إلى جنب مع أي حساب آخر اكتشفته أثناء وضع التدقيق.

   

   لمزيد من المعلومات، راجع الوصول إلى الشبكة: تقييد العملاء المسموح لهم بإجراء مكالمات عن بعد إلى SAM.

تأكد من السماح ل DSA بالوصول إلى أجهزة الكمبيوتر من الشبكة (اختياري)

لإضافة DSA إلى قائمة الحسابات المسموح بها:

1. انتقل إلى النهج وانتقل إلى Computer Configuration ->Policies ->Windows Settings ->Local Policies ->User Right Assignment، وحدد Access this computer من إعداد الشبكة . على سبيل المثال:

   

2. أضف حساب Defender for Identity Directory Service إلى قائمة الحسابات المعتمدة.

   هام

   عند تكوين تعيينات حقوق المستخدم في نهج المجموعة، من المهم ملاحظة أن الإعداد يحل محل التعيين السابق بدلا من الإضافة إليه. لذلك، تأكد من تضمين جميع الحسابات المطلوبة في نهج المجموعة الفعالة. بشكل افتراضي، تتضمن محطات العمل والخوادم الحسابات التالية: المسؤولون ومشغلو النسخ الاحتياطي والمستخدمون والجميع.

   توصي مجموعة أدوات التوافق مع الأمان من Microsoft باستبدال الكل الافتراضي بمستخدمين مصادق عليهم لمنع الاتصالات المجهولة من إجراء عمليات تسجيل الدخول إلى الشبكة. راجع إعدادات النهج المحلية قبل إدارة Access this computer من إعداد الشبكة من عنصر نهج المجموعة، وفكر في تضمين المستخدمين المصادق عليهم في عنصر نهج المجموعة إذا لزم الأمر.

   

تكوين ملف تعريف الجهاز للأجهزة المنضمة المختلطة Microsoft Entra فقط

يصف هذا الإجراء كيفية استخدام مركز إدارة Microsoft Intune لتكوين النهج في ملف تعريف الجهاز إذا كنت تعمل مع الأجهزة المنضمة المختلطة Microsoft Entra.

1. في مركز إدارة Microsoft Intune، قم بإنشاء ملف تعريف جهاز جديد، مع تحديد القيم التالية:

   • النظام الأساسي: Windows 10 أو أحدث
   • نوع ملف التعريف: كتالوج الإعدادات

   أدخل اسما ووصفا ذا معنى لنهجك.

2. أضف إعدادات لتعريف نهج NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM :

   1. في منتقي الإعدادات، ابحث عن تقييد الوصول إلى الشبكة للعملاء المسموح لهم بإجراء مكالمات عن بعد إلى SAM.

   2. حدد للاستعراض حسب فئة خيارات أمان النهج المحلية ، ثم حدد إعداد تقييد الوصول إلى الشبكة للعملاء المسموح لهم بإجراء مكالمات عن بعد إلى SAM .

   3. أدخل واصف الأمان (SDDL): O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;%SID%)، واستبدل %SID% بمعرف SID لحساب Defender for Identity Directory Service.

      تأكد من تضمين مجموعة المسؤولين المضمنة : O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;S-1-5-32-544)

3. أضف إعدادات لتعريف نهج AccessFromNetwork :

   1. في منتقي الإعدادات، ابحث عن Access From Network.

   2. حدد للاستعراض حسب فئة حقوق المستخدم ، ثم حدد إعداد الوصول من الشبكة .

   3. حدد لاستيراد الإعدادات، ثم استعرض للوصول إلى ملف CSV الذي يحتوي على قائمة المستخدمين والمجموعات، بما في ذلك SIDs أو الأسماء وحددها.

      تأكد من تضمين مجموعة المسؤولين المضمنة (S-1-5-32-544)، ومعرف SID لحساب Defender for Identity Directory Service.

4. تابع المعالج لتحديد علامات النطاقوالتعيينات، وحدد إنشاء لإنشاء ملف التعريف الخاص بك.

   لمزيد من المعلومات، راجع تطبيق الميزات والإعدادات على أجهزتك باستخدام ملفات تعريف الأجهزة في Microsoft Intune.

الخطوة التالية