Konfigurace účtu adresářové služby pro Defender for Identity pomocí gMSA

Článek
03/29/2024

Tento článek popisuje, jak vytvořit účet spravované služby skupiny (gMSA) pro použití jako položku DSA v programu Defender for Identity.

Další informace najdete v tématu Účty adresářové služby pro Microsoft Defender for Identity.

Tip

V prostředích s více doménovými strukturami doporučujeme vytvořit účty gMSA s jedinečným názvem pro každou doménovou strukturu nebo doménu. V každé doméně také vytvořte univerzální skupinu obsahující účty počítačů všech senzorů, aby všechny senzory mohly načíst hesla gMSA a provádět ověřování napříč doménami.

Požadavky: Udělení oprávnění k načtení hesla účtu gMSA

Než vytvoříte účet gMSA, zvažte, jak přiřadit oprávnění k načtení hesla účtu.

Při použití položky gMSA musí senzor načíst heslo gMSA ze služby Active Directory. Můžete to provést buď přiřazením ke každému senzoru, nebo pomocí skupiny.

Pokud v nasazení s jednou doménovou strukturou neplánujete instalovat senzor na žádné servery SLUŽBY AD FS nebo AD CS, můžete použít integrovanou skupinu zabezpečení Řadičů domény.
V doménové struktuře s více doménami doporučujeme při použití jednoho účtu DSA vytvořit univerzální skupinu a přidat všechny řadiče domény a servery AD FS / AD CS do univerzální skupiny.

Pokud přidáte účet počítače do univerzální skupiny po přijetí lístku Kerberos počítače, nebude možné načíst heslo gMSA, dokud neobdrží nový lístek Kerberos. Lístek Kerberos obsahuje seznam skupin, ke kterým je entita členem při vydání lístku.

V takových scénářích udělejte jednu z těchto věcí:

Počkejte na vydání nového lístku Kerberos. Lístky Kerberos jsou obvykle platné 10 hodin.
Restartujte server. Po restartování serveru se bude vyžadovat nový lístek Kerberos s novým členstvím ve skupině.
Vyprázdněte existující lístky Kerberos. Tím se vynutí, aby řadič domény požádal o nový lístek Kerberos.

Pokud chcete lístky vyprázdnit, spusťte z příkazového řádku správce na řadiči domény následující příkaz: klist purge -li 0x3e7

Vytvoření účtu gMSA

Tato část popisuje, jak vytvořit konkrétní skupinu, která může načíst heslo účtu, vytvořit účet gMSA a pak otestovat, že je účet připravený k použití.

Aktualizujte následující kód hodnotami proměnných pro vaše prostředí. Potom spusťte příkazy PowerShellu jako správce:

# Variables:
# Specify the name of the gMSA you want to create:
$gMSA_AccountName = 'mdiSvc01'
# Specify the name of the group you want to create for the gMSA,
# or enter 'Domain Controllers' to use the built-in group when your environment is a single forest, and will contain only domain controller sensors.
$gMSA_HostsGroupName = 'mdiSvc01Group'
# Specify the computer accounts that will become members of the gMSA group and have permission to use the gMSA. 
# If you are using the 'Domain Controllers' group in the $gMSA_HostsGroupName variable, then this list is ignored
$gMSA_HostNames = 'DC1', 'DC2', 'DC3', 'DC4', 'DC5', 'DC6', 'ADFS1', 'ADFS2'

# Import the required PowerShell module:
Import-Module ActiveDirectory

# Set the group
if ($gMSA_HostsGroupName -eq 'Domain Controllers') {
    $gMSA_HostsGroup = Get-ADGroup -Identity 'Domain Controllers'
} else {
    $gMSA_HostsGroup = New-ADGroup -Name $gMSA_HostsGroupName -GroupScope DomainLocal -PassThru
    $gMSA_HostNames | ForEach-Object { Get-ADComputer -Identity $_ } |
        ForEach-Object { Add-ADGroupMember -Identity $gMSA_HostsGroupName -Members $_ }
}

# Create the gMSA:
New-ADServiceAccount -Name $gMSA_AccountName -DNSHostName "$gMSA_AccountName.$env:USERDNSDOMAIN" `
 -PrincipalsAllowedToRetrieveManagedPassword $gMSA_HostsGroup

Udělení požadovaných oprávnění DSA

DSA vyžaduje oprávnění jen pro čtení pro všechny objekty ve službě Active Directory, včetně kontejneru Odstraněné objekty.

Oprávnění jen pro čtení v kontejneru Odstraněné objekty umožňují defenderu for Identity zjišťovat odstranění uživatelů z vaší služby Active Directory.

Následující ukázka kódu vám pomůže udělit požadovaná oprávnění ke čtení v kontejneru Odstraněné objekty bez ohledu na to, jestli používáte účet gMSA.

Tip

Pokud dsA, kterému chcete udělit oprávnění, je skupinový účet spravované služby (gMSA), musíte nejprve vytvořit skupinu zabezpečení, přidat gMSA jako člena a přidat oprávnění k této skupině. Další informace najdete v tématu Konfigurace účtu adresářové služby pro Defender for Identity pomocí gMSA.

# Declare the identity that you want to add read access to the deleted objects container:
$Identity = 'mdiSvc01'

# If the identity is a gMSA, first to create a group and add the gMSA to it:
$groupName = 'mdiUsr01Group'
$groupDescription = 'Members of this group are allowed to read the objects in the Deleted Objects container in AD'
if(Get-ADServiceAccount -Identity $Identity -ErrorAction SilentlyContinue) {
    $groupParams = @{
        Name           = $groupName
        SamAccountName = $groupName
        DisplayName    = $groupName
        GroupCategory  = 'Security'
        GroupScope     = 'Universal'
        Description    = $groupDescription
    }
    $group = New-ADGroup @groupParams -PassThru
    Add-ADGroupMember -Identity $group -Members ('{0}$' -f $Identity)
    $Identity = $group.Name
}

# Get the deleted objects container's distinguished name:
$distinguishedName = ([adsi]'').distinguishedName.Value
$deletedObjectsDN = 'CN=Deleted Objects,{0}' -f $distinguishedName

# Take ownership on the deleted objects container:
$params = @("$deletedObjectsDN", '/takeOwnership')
C:\Windows\System32\dsacls.exe $params

# Grant the 'List Contents' and 'Read Property' permissions to the user or group:
$params = @("$deletedObjectsDN", '/G', ('{0}\{1}:LCRP' -f ([adsi]'').name.Value, $Identity))
C:\Windows\System32\dsacls.exe $params
  
# To remove the permissions, uncomment the next 2 lines and run them instead of the two prior ones:
# $params = @("$deletedObjectsDN", '/R', ('{0}\{1}' -f ([adsi]'').name.Value, $Identity))
# C:\Windows\System32\dsacls.exe $params

Další informace najdete v tématu Změna oprávnění u kontejneru odstraněného objektu.

Ověřte, že účet gMSA má požadovaná práva.

Služba senzoru služby Defender for Identity, Azure Advanced Threat Protection Sensor, běží jako LocalService a provádí zosobnění účtu DSA. Zosobnění se nezdaří, pokud je nakonfigurované přihlášení jako zásady služby , ale oprávnění nebyla udělena účtu gMSA. V takových případech se zobrazí následující problém se stavem: Přihlašovací údaje uživatele adresářových služeb jsou nesprávné.

Pokud se zobrazí tato výstraha, doporučujeme zkontrolovat, jestli je nakonfigurované přihlášení jako zásady služby. Pokud potřebujete nakonfigurovat přihlášení jako zásady služby , proveďte to buď v nastavení zásad skupiny, nebo v místních zásadách zabezpečení.

Pokud chcete zkontrolovat místní zásady, spusťte secpol.msc a vyberte Místní zásady. V části Přiřazení uživatelských práv přejděte k nastavení zásad služby Přihlásit jako. Příklad:

Pokud je zásada povolená, přidejte účet gMSA do seznamu účtů, které se můžou přihlásit jako služba.
Pokud chcete zkontrolovat, jestli je nastavení nakonfigurované v zásadách skupiny: Spusťte rsop.msc a zkontrolujte, jestli je vybraná konfigurace počítače –> Windows Nastavení –> Zabezpečení Nastavení –> Místní zásady –> Přiřazení uživatelských práv –> Přihlášení jako zásady služby. Příklad:

Pokud je nastavení nakonfigurované, přidejte účet gMSA do seznamu účtů, které se můžou přihlásit jako služba v Editoru pro správu zásad skupiny.

Poznámka:

Pokud ke konfiguraci nastavení přihlášení jako služby použijete Editor pro správu zásad skupiny, nezapomeňte přidat účet NT Service\All Services i účet gMSA, který jste vytvořili.

Konfigurace účtu adresářové služby v XDR v programu Microsoft Defender

Pokud chcete připojit senzory k doménám služby Active Directory, budete muset nakonfigurovat účty adresářové služby v XDR v programu Microsoft Defender.

V XDR v programu Microsoft Defender přejděte na Nastavení > Identities. Příklad:
Vyberte účty adresářové služby. Uvidíte, které účty jsou přidružené k jakým doménám. Příklad:

Pokud chcete přidat přihlašovací údaje účtu adresářové služby, vyberte Přidat přihlašovací údaje a zadejte název účtu, doménu a heslo účtu, který jste vytvořili dříve. Můžete také zvolit, jestli se jedná o účet služby spravované skupiny (gMSA) a jestli patří do domény s jedním popiskem. Příklad:

Pole	Komentáře
Název účtu (povinné)	Zadejte uživatelské jméno AD jen pro čtení. Příklad: DefenderForIdentityUser. – Musíte použít standardní účet ad uživatele nebo gMSA. - Nepoužívejte pro své uživatelské jméno formát hlavního názvu uživatele (UPN). – Při použití gMSA by měl řetězec uživatele končit znaménkem `$` . Příklad: `mdisvc$` POZNÁMKA: Doporučujeme vyhnout se používání účtů přiřazených konkrétním uživatelům.
Heslo (povinné pro standardní uživatelské účty AD)	Pouze pro uživatelské účty AD vygenerujte silné heslo pro uživatele jen pro čtení. Například: `PePR!BZ&}Y54UpC3aB`.
Skupinový účet spravované služby (vyžaduje se pro účty gMSA)	Pouze pro účty gMSA vyberte účet skupiny spravované služby.
Doména (povinné)	Zadejte doménu pro uživatele jen pro čtení. Příklad: contoso.com. Je důležité zadat úplný plně kvalifikovaný název domény domény, ve které se nachází uživatel. Pokud je například účet uživatele v doméně corp.contoso.com, musíte zadat `corp.contoso.com` ne `contoso.com`. Další informace najdete v podpoře Microsoftu pro domény s jedním popiskem.

Zvolte Uložit.
(Volitelné) Pokud vyberete účet, otevře se podokno podrobností s nastavením daného účtu. Příklad:

Poznámka:

Stejným postupem můžete změnit heslo pro standardní uživatelské účty služby Active Directory. Pro účty gMSA neexistuje žádná sada hesel.

Řešení problému

Další informace najdete v tématu Senzor se nepodařilo načíst přihlašovací údaje gMSA.

Další krok

Konfigurace SAM-R pro povolení detekce cest laterálního pohybu v programu Microsoft Defender for Identity »

Sdílet prostřednictvím