Sdílet prostřednictvím

Konfigurace účtů akcí Microsoft Defenderu for Identity

  • Článek

Defender for Identity umožňuje provádět akce nápravy, které cílí na účty místní Active Directory v případě ohrožení identity. K provedení těchto akcí musí mít Microsoft Defender for Identity požadovaná oprávnění.

Ve výchozím nastavení zosobňuje LocalSystem senzor Microsoft Defender for Identity účet řadiče domény a provádí akce, včetně narušení útoků z XDR v programu Microsoft Defender.

Pokud potřebujete toto chování změnit, nastavte vyhrazenou gMSA a nastavte obor potřebných oprávnění. Příklad:

Screenshot of the Manage action accounts tab.

Poznámka:

Použití vyhrazené gMSA jako účtu akce je volitelné. Doporučujeme použít výchozí nastavení pro LocalSystem účet.

Osvědčené postupy pro účty akcí

Doporučujeme, abyste nepoužívat stejný účet gMSA, který jste nakonfigurovali pro akce spravované službou Defender for Identity na jiných serverech než na řadičích domény. Pokud používáte stejný účet a server je napadený, útočník by mohl načíst heslo účtu a získat možnost změnit hesla a zakázat účty.

Také doporučujeme, abyste nepoužívat stejný účet jako účet adresářové služby i účet spravovat akci. Důvodem je to, že účet adresářové služby vyžaduje oprávnění jen pro čtení ke službě Active Directory a účty spravovat akce potřebují oprávnění k zápisu uživatelských účtů.

Pokud máte více doménových struktur, musí být účet spravované akce gMSA důvěryhodný ve všech doménových strukturách nebo pro každou doménovou strukturu vytvořit samostatný účet. Další informace najdete v tématu Podpora více doménových struktur v programu Microsoft Defender for Identity.

Vytvoření a konfigurace konkrétního účtu akce

  1. Vytvořte nový účet gMSA. Další informace najdete v tématu Začínáme se skupinami účtů spravované služby.

  2. Přiřaďte oprávnění Přihlásit se jako služba k účtu gMSA na každém řadiči domény, na kterém běží senzor defenderu pro identitu.

  3. Následujícím způsobem udělte požadovaná oprávnění účtu gMSA:

    1. Otevřete položku Uživatelé a počítače služby Active Directory.

    2. Klikněte pravým tlačítkem na příslušnou doménu nebo organizační jednotky a vyberte Vlastnosti. Příklad:

      Screenshot of selecting domain or OU properties.

    3. Přejděte na kartu Zabezpečení a vyberte Upřesnit. Příklad:

      Screenshot of the advanced security settings.

    4. Vyberte Přidat>objekt zabezpečení. Příklad:

      Screenshot of selecting a principal.

    5. Ujistěte se, že jsou účty služby označené v typech objektů. Příklad:

      Screenshot oof selecting service accounts as object types.

    6. Do pole Zadejte název objektu, který chcete vybrat , zadejte název účtu gMSA a vyberte OK.

    7. V poli Platí pro vyberte objekty potomků uživatele, ponechte stávající nastavení a přidejte oprávnění a vlastnosti uvedené v následujícím příkladu:

      Screenshot of setting permissions and properties.

      Mezi požadovaná oprávnění patří:

      Akce Oprávnění Vlastnosti
      Povolení vynucení resetování hesla Resetování hesla - Read pwdLastSet
      - Write pwdLastSet
      Zakázání uživatele - - Read userAccountControl
      - Write userAccountControl

    8. (Volitelné) V poli Platí pro vyberte objekty Descendant Group a nastavte následující vlastnosti:

      • Read members
      • Write members

    9. Vyberte OK.

Přidání účtu gMSA na portálu Microsoft Defenderu

  1. Přejděte na portál Microsoft Defenderu a vyberte Nastavení ->Identityies>Microsoft Defender for Identity>Manage action accounts>+Create new account.

    Příklad:

    Screenshot of the Create new account button.

  2. Zadejte název účtu a doménu a vyberte Uložit.

Váš účet akce je uvedený na stránce Spravovat účty akcí.

Související obsah

Další informace najdete v tématu Nápravné akce v programu Microsoft Defender for Identity.