Kimlik için Microsoft Defender'da yanal hareket yolu algılamayı etkinleştirmek için SAM-R'yi yapılandırma
Olası yanal hareket yolları için Kimlik için Microsoft Defender eşlemesi, belirli makinelerdeki yerel yöneticileri tanımlayan sorgulara dayanır. Bu sorgular, yapılandırdığınız Kimlik için Defender Dizin Hizmeti hesabı kullanılarak SAM-R protokolüyle gerçekleştirilir.
Not
Bu özellik, Kerberos'tan NTLM'ye düşürmeye izin veren SAM-R çağrılarındaki bir Windows sınırlaması nedeniyle DSA hesabının Net-NTLM karmasını almak için bir saldırgan tarafından kötüye kullanılabilir. Yeni Kimlik için Defender algılayıcısı (sürüm 3.x), farklı algılama yöntemleri kullandığından bu sorundan etkilenmez.
Düşük ayrıcalıklı bir DSA hesabı kullanılması önerilir. Ayrıca bir servis talebi açmak ve YanAl Hareket Yolları veri toplama özelliğini tamamen devre dışı bırakma isteğinde bulunmak için desteğe başvurabilirsiniz. Bunun , Maruz Kalma Yönetimi'ndeki saldırı yolu özelliği için kullanılabilir verilerin azalmasına neden olacağını lütfen unutmayın.
Bu makalede, Kimlik için Defender Dizin Hizmetleri Hesabı'nın (DSA) SAM-R sorgularını gerçekleştirmesine izin vermek için gereken yapılandırma değişiklikleri açıklanmaktadır.
İpucu
Bu yordam isteğe bağlı olsa da, bir Dizin Hizmeti hesabı yapılandırmanızı ve Ortamınızı Kimlik için Defender ile tamamen güvenli bir şekilde güvenli bir şekilde sağlamak için SAM-R'yi yanal hareket yolu algılaması için yapılandırmanızı öneririz.
SAM-R gerekli izinlerini yapılandırma
Windows istemcilerinin ve sunucularının Kimlik için Defender Dizin Hizmetleri Hesabınızın (DSA) SAM-R sorguları gerçekleştirmesine izin vermek için, ağ erişim ilkesinde listelenen yapılandırılmış hesapların yanı sıragrup ilkesi değiştirmeniz ve DSA'yı eklemeniz gerekir. Etki alanı denetleyicileri dışındaki tüm bilgisayarlara grup ilkeleri uyguladığıdan emin olun.
Önemli
Üretim ortamınızda değişiklik yapmadan önce önerilen yapılandırmanın uyumluluğunu doğrulayarak bu yordamı önce denetim modunda gerçekleştirin.
Denetim modunda test etme, ortamınızın güvenli kalmasını ve herhangi bir değişikliğin uygulama uyumluluğunuzu etkilememesini sağlama açısından kritik öneme sahiptir. Kimlik için Defender algılayıcıları tarafından oluşturulan artan SAM-R trafiğini gözlemleyebilirsiniz.
Gerekli izinleri yapılandırmak için:
Yeni bir grup ilkesi oluşturun veya var olan bir ilkeyi kullanın.
Bilgisayar yapılandırması > Windows ayarları Güvenlik ayarları >> Yerel ilkeler > Güvenlik seçenekleri bölümünde Ağ erişimi - İSTEMCIlerin SAM'ye uzaktan arama yapmasına izin verilen istemcileri kısıtla ilkesini seçin. Örneğin:
DSA'yı, denetim modunda keşfettiğiniz diğer hesaplarla birlikte bu eylemi gerçekleştirebilecek onaylı hesaplar listesine ekleyin.
Daha fazla bilgi için bkz . Ağ erişimi: İSTEMCIlerin SAM'ye uzaktan çağrı yapmasına izin verilenleri kısıtlama.
DSA'nın ağdan bilgisayarlara erişmesine izin verildiğinden emin olun (isteğe bağlı)
Not
Bu yordam yalnızca Bu bilgisayara ağdan eriş ayarını yapılandırdıysanız gereklidir çünkü Bu bilgisayara ağdan eriş ayarı varsayılan olarak yapılandırılmaz
DSA'yi izin verilen hesaplar listesine eklemek için:
İlkeye gidin ve Bilgisayar Yapılandırması -İlkeler ->Windows Ayarları ->Yerel İlkeler ->>Kullanıcı Hakkı Ataması'na gidin ve Ağ ayarından Bu bilgisayara eriş'i seçin. Örneğin:
Kimlik için Defender Dizin Hizmeti hesabını onaylı hesaplar listesine ekleyin.
Önemli
Grup ilkelerinde kullanıcı hakları atamalarını yapılandırırken, ayarın buna eklemek yerine öncekinin yerine geçtiğine dikkat etmek önemlidir. Bu nedenle, istenen tüm hesapları etkin grup ilkesine eklediğinizden emin olun. varsayılan olarak, iş istasyonları ve sunucular şu hesapları içerir: Yöneticiler, Yedekleme İşleçleri, Kullanıcılar ve Herkes.
Microsoft Güvenlik Uyumluluğu Araç Seti, anonim bağlantıların ağ oturum açma işlemlerini gerçekleştirmesini önlemek için varsayılan Herkes yerine Kimliği Doğrulanmış Kullanıcılar kullanılmasını önerir. Bu bilgisayara bir GPO'dan ağ ayarından erişmeyi yönetmeden önce yerel ilke ayarlarınızı gözden geçirin ve gerekirse GPO'ya Kimliği Doğrulanmış Kullanıcılar eklemeyi göz önünde bulundurun.
Bir Cihaz profilini yalnızca karma birleştirilmiş Microsoft Entra cihazlar için yapılandırma
Bu yordam, karma birleştirilmiş Microsoft Entra cihazlarla çalışıyorsanız Microsoft Intune yönetim merkezini kullanarak bir Cihaz profilindeki ilkeleri yapılandırmayı açıklar.
Microsoft Intune yönetim merkezinde, aşağıdaki değerleri tanımlayarak yeni bir Cihaz profili oluşturun:
- Platform: Windows 10 veya üzeri
- Profil türü: Ayarlar kataloğu
İlkeniz için anlamlı bir ad ve açıklama girin.
NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM ilkesi tanımlamak için ayarlar ekleyin:
Ayarlar seçicisinde, Sam'e Uzaktan Arama Yapmalarına İzin Verilen Ağ Erişimini Kısıtla İstemcileri için arama yapın.
Yerel İlkeler Güvenlik Seçenekleri kategorisine göz atmak için öğesini seçin ve ardından Ağ Erişimini Kısıtla İstemcilerin SAM'ye Uzaktan Arama Yapmasına İzin Ver ayarını seçin.
Güvenlik tanımlayıcısını (SDDL): girin ve
O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;%SID%)
yerine%SID%
Kimlik için Defender Dizin Hizmeti hesabı SID'sini girin.Yerleşik Yöneticiler grubunu eklediğinizden emin olun:
O:BAG:BAD:(A;;RC;;;BA)(A;;RC;;;S-1-5-32-544)
AccessFromNetwork ilkesi tanımlamak için ayarlar ekleyin:
Ayarlar seçicisindeAğdan Erişim'i arayın.
Kullanıcı Hakları kategorisine göre göz atmak için öğesini seçin ve ardından Ağdan Erişim ayarını seçin.
Ayarları içeri aktarmak için öğesini seçin ve ardından SID'ler veya adlar da dahil olmak üzere kullanıcı ve grupların listesini içeren bir CSV dosyasına gidin ve dosyayı seçin.
Yerleşik Administrators grubunu (S-1-5-32-544) ve Kimlik için Defender Dizin Hizmeti hesabı SID'sini eklediğinizden emin olun.
Kapsam etiketlerini ve atamalarını seçmek için sihirbaza devam edin ve profilinizi oluşturmak için Oluştur'u seçin.
Daha fazla bilgi için bkz. Microsoft Intune'da cihaz profillerini kullanarak cihazlarınıza özellik ve ayarlar uygulama.