Účty adresářové služby pro Microsoft Defender for Identity
Tento článek popisuje, jak Microsoft Defender for Identity používá účty adresářové služby (DSA).
Poznámka
Bez ohledu na nakonfigurované účty adresářové služby bude služba senzoru fungovat pod identitou LocalService a aktualizační služba bude fungovat pod identitou LocalSystem.
V některých scénářích je dsa sice volitelný, ale doporučujeme nakonfigurovat DSA pro Defender for Identity pro zajištění úplného zabezpečení.
Pokud máte například nakonfigurovaný dsa, použije se dsa pro připojení k řadiči domény při spuštění. DsA je také možné použít k dotazování řadiče domény na data o entitách, které se zobrazují v síťovém provozu, monitorovaných událostech a monitorovaných aktivitách Trasování událostí pro Windows.
Správce dsa se vyžaduje pro následující funkce a funkce:
Při práci se senzorem nainstalovaným na serveru AD FS / AD CS.
Seznamy žádostí o členy pro místní skupiny správců ze zařízení, která se zobrazují v síťovém provozu, událostech a aktivitách Trasování událostí pro Windows, prostřednictvím volání SAM-R provedeného do zařízení. Shromážděná data se používají k výpočtu potenciálních cest laterálního pohybu.
Přístup ke kontejneru DeletedObjects za účelem shromažďování informací o odstraněných uživatelích a počítačích
Mapování domény a vztahu důvěryhodnosti, ke kterému dochází při spuštění senzoru a znovu každých 10 minut.
Dotazování na podrobnosti v jiné doméně prostřednictvím protokolu LDAP při zjišťování aktivit z entit v těchto jiných doménách
Pokud používáte jednoho dsa, musí mít dsa oprávnění ke čtení ke všem doménám v doménových strukturách. V nedůvěryhodném prostředí s více doménovými strukturami se pro každou doménovou strukturu vyžaduje účet DSA.
Jeden senzor v každé doméně je definován jako synchronizátor domény a zodpovídá za sledování změn entit v doméně. Změny můžou například zahrnovat vytvořené objekty, atributy entit sledované službou Defender for Identity atd.
Poznámka
Defender for Identity ve výchozím nastavení podporuje až 30 přihlašovacích údajů. Pokud chcete přidat další přihlašovací údaje, kontaktujte podporu Defenderu for Identity.
Defender for Identity podporuje následující možnosti DSA:
Možnost | Popis | Konfigurace |
---|---|---|
Skupinový účet spravované služby gMSA (doporučeno) | Poskytuje bezpečnější nasazení a správu hesel. Služba Active Directory spravuje vytváření a obměny hesla účtu stejně jako heslo účtu počítače a vy můžete řídit, jak často se heslo účtu mění. | Další informace najdete v tématu Konfigurace účtu adresářové služby pro Defender for Identity pomocí gMSA. |
Běžný uživatelský účet | Snadné použití při zahájení práce a jednodušší konfigurace oprávnění ke čtení mezi důvěryhodnými doménovými strukturami, ale vyžaduje dodatečné režijní náklady na správu hesel. Běžný uživatelský účet je méně bezpečný, protože vyžaduje vytváření a správu hesel a může vést k výpadku, pokud vyprší platnost hesla a neaktualizuje se pro uživatele i správce dat. |
Vytvořte ve službě Active Directory nový účet, který bude používat jako správce služby DSA s oprávněními ke čtení všech objektů, včetně oprávnění ke kontejneru DeletedObjects . Další informace najdete v tématu Udělení požadovaných oprávnění DSA. |
Účet místní služby | Místní účet služby se používá automaticky a ve výchozím nastavení se používá, pokud není nakonfigurovaný žádný správce služby. Poznámka: |
Žádné |
Poznámka
I když se účet místní služby používá se senzorem ve výchozím nastavení a dsa je v některých scénářích volitelný, doporučujeme nakonfigurovat DSA pro Defender for Identity pro úplné zabezpečení.
Tato část popisuje, jak se používají položky DSA a jak senzor vybere položku DSA v libovolném scénáři. Pokusy o senzor se liší v závislosti na typu položky DSA:
Typ | Popis |
---|---|
Účet gMSA | Senzor se pokusí načíst heslo účtu gMSA ze služby Active Directory a pak se přihlásí k doméně. |
Běžný uživatelský účet | Senzor se pokusí přihlásit k doméně pomocí nakonfigurovaného uživatelského jména a hesla. |
Použije se následující logika:
Senzor vyhledá položku s přesnou shodou názvu domény pro cílovou doménu. Pokud se najde přesná shoda, senzor se pokusí ověřit pomocí přihlašovacích údajů v dané položce.
Pokud neexistuje přesná shoda nebo pokud se ověření nezdařilo, senzor vyhledá v seznamu položku do nadřazené domény pomocí plně kvalifikovaného názvu domény DNS a místo toho se pokusí provést ověření pomocí přihlašovacích údajů v nadřazené položce.
Pokud není k dispozici položka pro nadřazenou doménu nebo pokud se ověření nezdařilo, senzor vyhledá v seznamu položku domény na stejné straně pomocí plně kvalifikovaného názvu domény DNS a místo toho se pokusí provést ověření pomocí přihlašovacích údajů v položce na stejné položce.
Pokud není k dispozici záznam pro doménu na stejné platformě nebo pokud se ověření nezdařilo, senzor znovu zkontroluje seznam a pokusí se znovu ověřit každou položku, dokud nebude úspěšná. Položky dsa gMSA mají vyšší prioritu než běžné položky DSA.
Tato část obsahuje příklad, jak senzor zkouší dsa celek, když máte více účtů, včetně účtu gMSA i běžného účtu.
Použije se následující logika:
Senzor hledá shodu mezi názvem domény DNS cílové domény, například
emea.contoso.com
a položkou DSA gMSA, napříklademea.contoso.com
.Senzor hledá shodu mezi názvem domény DNS cílové domény, například
emea.contoso.com
a běžnou položkou DSA DSA, napříklademea.contoso.com
Senzor hledá shodu v kořenovém názvu DNS cílové domény, například
emea.contoso.com
a názvu domény záznamu DSA gMSA, napříkladcontoso.com
.Senzor hledá shodu v kořenovém názvu DNS cílové domény, například
emea.contoso.com
a v názvu domény pro běžnou položku DSA, napříkladcontoso.com
.Senzor hledá název cílové domény pro doménu na stejné platformě, například
emea.contoso.com
a název domény záznamu DSA gMSA, napříkladapac.contoso.com
.Senzor hledá název cílové domény pro doménu na stejné platformě, jako
emea.contoso.com
je název domény dsa pro běžnou položku, napříkladapac.contoso.com
.Senzor spustí kruhové dotazování všech položek DSA gMSA.
Senzor spouští kruhové dotazování všech pravidelných položek DSA.
Logika zobrazená v tomto příkladu se implementuje s následující konfigurací:
Položky DSA:
DSA1.emea.contoso.com
DSA2.fabrikam.com
Senzory a položka DSA, která se používá jako první:
Plně kvalifikovaný název domény řadiče domény Použitá položka DSA DC01.emea.contoso.com
DSA1.emea.contoso.com
DC02.contoso.com
DSA1.emea.contoso.com
DC03.fabrikam.com
DSA2.fabrikam.com
DC04.contoso.local
Cyklická obsluha
Důležité
Pokud se senzor při spuštění nemůže úspěšně ověřit prostřednictvím protokolu LDAP k doméně služby Active Directory, nepřejde do stavu spuštěno a vygeneruje se problém se stavem. Další informace najdete v tématu Problémy se stavem služby Defender for Identity.
DsA vyžaduje oprávnění jen pro čtení pro všechny objekty ve službě Active Directory, včetně kontejneru Odstraněné objekty.
Oprávnění jen pro čtení u kontejneru Odstraněné objekty umožňují službě Defender for Identity zjišťovat odstranění uživatelů ze služby Active Directory.
Následující ukázka kódu vám pomůže udělit požadovaná oprávnění ke čtení kontejneru Odstraněné objekty bez ohledu na to, jestli používáte účet gMSA nebo ne.
Tip
Pokud je dsa, kterému chcete udělit oprávnění, účet spravované služby skupiny (gMSA), musíte nejprve vytvořit skupinu zabezpečení, přidat gMSA jako člena a přidat oprávnění k této skupině. Další informace najdete v tématu Konfigurace účtu adresářové služby pro Defender for Identity pomocí gMSA.
# Declare the identity that you want to add read access to the deleted objects container:
$Identity = 'mdiSvc01'
# If the identity is a gMSA, first to create a group and add the gMSA to it:
$groupName = 'mdiUsr01Group'
$groupDescription = 'Members of this group are allowed to read the objects in the Deleted Objects container in AD'
if(Get-ADServiceAccount -Identity $Identity -ErrorAction SilentlyContinue) {
$groupParams = @{
Name = $groupName
SamAccountName = $groupName
DisplayName = $groupName
GroupCategory = 'Security'
GroupScope = 'Universal'
Description = $groupDescription
}
$group = New-ADGroup @groupParams -PassThru
Add-ADGroupMember -Identity $group -Members ('{0}$' -f $Identity)
$Identity = $group.Name
}
# Get the deleted objects container's distinguished name:
$distinguishedName = ([adsi]'').distinguishedName.Value
$deletedObjectsDN = 'CN=Deleted Objects,{0}' -f $distinguishedName
# Take ownership on the deleted objects container:
$params = @("$deletedObjectsDN", '/takeOwnership')
C:\Windows\System32\dsacls.exe $params
# Grant the 'List Contents' and 'Read Property' permissions to the user or group:
$params = @("$deletedObjectsDN", '/G', ('{0}\{1}:LCRP' -f ([adsi]'').name.Value, $Identity))
C:\Windows\System32\dsacls.exe $params
# To remove the permissions, uncomment the next 2 lines and run them instead of the two prior ones:
# $params = @("$deletedObjectsDN", '/R', ('{0}\{1}' -f ([adsi]'').name.Value, $Identity))
# C:\Windows\System32\dsacls.exe $params
Další informace najdete v tématu Změna oprávnění u odstraněného kontejneru objektů.
Pomocí následujícího příkazu PowerShellu ověřte, že váš správce služby DSA nemá příliš mnoho oprávnění, jako jsou například oprávnění výkonného správce:
Test-MDIDSA [-Identity] <String> [-Detailed] [<CommonParameters>]
Pokud například chcete zkontrolovat oprávnění pro účet mdiSvc01 a zadat úplné podrobnosti, spusťte příkaz:
Test-MDIDSA -Identity "mdiSvc01" -Detailed
Další informace najdete v referenčních informacích k PowerShellu DefenderForIdentity.