Účty adresářové služby pro Microsoft Defender for Identity

  • Článek

Tento článek popisuje, jak Microsoft Defender for Identity používá účty adresářové služby (DSA).

I když je DSA v některých scénářích nepovinný, doporučujeme nakonfigurovat DSA pro Defender for Identity pro úplné pokrytí zabezpečení.

Pokud máte například nakonfigurovanou službu DSA, dsA se použije k připojení k řadiči domény při spuštění. DsA se dá také použít k dotazování řadiče domény na data o entitách, které se zobrazují v síťovém provozu, monitorovaných událostech a monitorovaných aktivitách tras tras pro Windows.

DsA se vyžaduje pro následující funkce a funkce:

  • Při práci se senzorem nainstalovaným na serveru AD FS / AD CS.

  • Žádost o seznamy členů pro místní skupiny správců ze zařízení, která se zobrazují v síťovém provozu, událostech a aktivitách tras pro Windows prostřednictvím volání SAM-R na zařízení. Shromážděná data se používají k výpočtu potenciálních cest laterálního pohybu.

  • Přístup ke kontejneru DeletedObjects ke shromažďování informací o odstraněných uživatelích a počítačích

  • Mapování domény a důvěryhodnosti, ke kterému dochází při spuštění senzoru, a to každých 10 minut.

  • Při dotazování na jinou doménu prostřednictvím protokolu LDAP získáte podrobnosti při zjišťování aktivit z entit v těchto dalších doménách.

Pokud používáte jeden DSA, dsA musí mít oprávnění ke čtení pro všechny domény v doménových strukturách. V nedůvěryhodném prostředí s více doménovými strukturami se pro každou doménovou strukturu vyžaduje účet DSA.

Jeden senzor v každé doméně je definovaný jako synchronizátor domény a zodpovídá za sledování změn entit v doméně. Například změny můžou zahrnovat objekty vytvořené, atributy entit sledované programem Defender for Identity atd.

Poznámka:

Defender for Identity ve výchozím nastavení podporuje až 30 přihlašovacích údajů. Pokud chcete přidat další přihlašovací údaje, obraťte se na podporu Defenderu for Identity.

Podporované možnosti účtu DSA

Defender for Identity podporuje následující možnosti DSA:

Možnost Popis Konfigurace
Skupinový účet spravované služby gMSA (doporučeno) Poskytuje bezpečnější nasazení a správu hesel. Služba Active Directory spravuje vytváření a obměny hesla účtu stejně jako heslo účtu počítače a můžete řídit, jak často se mění heslo účtu. Další informace najdete v tématu Konfigurace účtu adresářové služby pro Defender for Identity pomocí gMSA.
Běžný uživatelský účet Snadné použití při spuštění a jednodušší konfigurace oprávnění ke čtení mezi důvěryhodnými doménovými strukturami, ale vyžaduje dodatečnou režii pro správu hesel.

Běžný uživatelský účet je méně zabezpečený, protože vyžaduje vytvoření a správu hesel a může vést k výpadkům, pokud vyprší platnost hesla a neaktualizuje se pro uživatele i DSA.		 Ve službě Active Directory vytvořte nový účet, který se použije jako DSA s oprávněními ke čtení pro všechny objekty, včetně oprávnění ke kontejneru DeletedObjects . Další informace najdete v tématu Udělení požadovaných oprávnění DSA.

Využití položek DSA

Tato část popisuje, jak se používají položky DSA a jak senzor v libovolném scénáři vybere položku DSA. Pokusy o senzor se liší v závislosti na typu položky DSA:

Typ Popis
Účet gMSA Senzor se pokusí načíst heslo účtu gMSA ze služby Active Directory a pak se přihlásí k doméně.
Běžný uživatelský účet Senzor se pokusí přihlásit k doméně pomocí nakonfigurovaného uživatelského jména a hesla.

Použije se následující logika:

  1. Senzor hledá položku s přesnou shodou názvu domény cílové domény. Pokud se najde přesná shoda, senzor se pokusí ověřit pomocí přihlašovacích údajů v této položce.

  2. Pokud neexistuje přesná shoda nebo pokud se ověření nezdařilo, senzor vyhledá v seznamu položku nadřazené domény pomocí plně kvalifikovaného názvu domény DNS a pokusí se místo toho ověřit pomocí přihlašovacích údajů v nadřazené položce.

  3. Pokud pro nadřazenou doménu není žádná položka nebo pokud se ověření nezdařilo, senzor vyhledá v seznamu položku domény na stejné straně, pomocí plně kvalifikovaného názvu domény DNS a pokusí se místo toho ověřit pomocí přihlašovacích údajů v položce na stejné straně.

  4. Pokud pro doménu na stejné straně neexistuje položka nebo pokud se ověření nezdařilo, senzor znovu zkontroluje seznam a pokusí se znovu ověřit s každou položkou, dokud nebude úspěšná. Položky DSA gMSA mají vyšší prioritu než běžné položky DSA.

Ukázková logika s DSA

Tato část obsahuje příklad toho, jak senzor vyzkouší celý účet DSA, pokud máte více účtů, včetně účtu gMSA i běžného účtu.

Použije se následující logika:

  1. Senzor hledá shodu mezi názvem domény DNS cílové domény, například emea.contoso.com a položkou DSA gMSA, například emea.contoso.com.

  2. Senzor hledá shodu mezi názvem domény DNS cílové domény, jako emea.contoso.com je například a DSA pravidelná položka DSA, například emea.contoso.com

  3. Senzor hledá shodu v kořenovém názvu DNS cílové domény, například emea.contoso.com v názvu vstupní domény DSA gMSA, například contoso.com.

  4. Senzor hledá shodu v kořenovém názvu DNS cílové domény, například emea.contoso.com v názvu domény pro pravidelnou položku DSA, například contoso.com.

  5. Senzor hledá název cílové domény pro doménu na stejné straně, jako emea.contoso.com je název domény gMSA DSA, například apac.contoso.com.

  6. Senzor hledá název cílové domény pro doménu na stejné straně, například emea.contoso.com název domény pro pravidelnou položku DSA, například apac.contoso.com.

  7. Senzor spouští kruhové dotazování všech položek DSA gMSA.

  8. Senzor spouští kruhové dotazování všech běžných položek DSA.

Logika zobrazená v tomto příkladu se implementuje s následující konfigurací:

  • Položky DSA:

    • DSA1.emea.contoso.com
    • DSA2.fabrikam.com

  • Senzory a položka DSA, která se používá jako první:

    Plně kvalifikovaný název domény řadiče domény Použitá položka DSA
    DC01.emea.contoso.com DSA1.emea.contoso.com
    DC02.contoso.com DSA1.emea.contoso.com
    DC03.fabrikam.com DSA2.fabrikam.com
    DC04.contoso.local Kruhové dotazování

Důležité

Pokud se senzor při spuštění nemůže úspěšně ověřit přes LDAP do domény Active Directory, senzor nezadá stav spuštění a vygeneruje se problém se stavem. Další informace najdete v tématu Problémy se stavem identity v programu Defender for Identity.

Udělení požadovaných oprávnění DSA

DSA vyžaduje oprávnění jen pro čtení pro všechny objekty ve službě Active Directory, včetně kontejneru Odstraněné objekty.

Oprávnění jen pro čtení v kontejneru Odstraněné objekty umožňují defenderu for Identity zjišťovat odstranění uživatelů z vaší služby Active Directory.

Následující ukázka kódu vám pomůže udělit požadovaná oprávnění ke čtení v kontejneru Odstraněné objekty bez ohledu na to, jestli používáte účet gMSA.

Tip

Pokud dsA, kterému chcete udělit oprávnění, je skupinový účet spravované služby (gMSA), musíte nejprve vytvořit skupinu zabezpečení, přidat gMSA jako člena a přidat oprávnění k této skupině. Další informace najdete v tématu Konfigurace účtu adresářové služby pro Defender for Identity pomocí gMSA.

# Declare the identity that you want to add read access to the deleted objects container:
$Identity = 'mdiSvc01'

# If the identity is a gMSA, first to create a group and add the gMSA to it:
$groupName = 'mdiUsr01Group'
$groupDescription = 'Members of this group are allowed to read the objects in the Deleted Objects container in AD'
if(Get-ADServiceAccount -Identity $Identity -ErrorAction SilentlyContinue) {
    $groupParams = @{
        Name           = $groupName
        SamAccountName = $groupName
        DisplayName    = $groupName
        GroupCategory  = 'Security'
        GroupScope     = 'Universal'
        Description    = $groupDescription
    }
    $group = New-ADGroup @groupParams -PassThru
    Add-ADGroupMember -Identity $group -Members ('{0}$' -f $Identity)
    $Identity = $group.Name
}

# Get the deleted objects container's distinguished name:
$distinguishedName = ([adsi]'').distinguishedName.Value
$deletedObjectsDN = 'CN=Deleted Objects,{0}' -f $distinguishedName

# Take ownership on the deleted objects container:
$params = @("$deletedObjectsDN", '/takeOwnership')
C:\Windows\System32\dsacls.exe $params

# Grant the 'List Contents' and 'Read Property' permissions to the user or group:
$params = @("$deletedObjectsDN", '/G', ('{0}\{1}:LCRP' -f ([adsi]'').name.Value, $Identity))
C:\Windows\System32\dsacls.exe $params
  
# To remove the permissions, uncomment the next 2 lines and run them instead of the two prior ones:
# $params = @("$deletedObjectsDN", '/R', ('{0}\{1}' -f ([adsi]'').name.Value, $Identity))
# C:\Windows\System32\dsacls.exe $params

Další informace najdete v tématu Změna oprávnění u kontejneru odstraněného objektu.

Testování oprávnění a delegování DSA prostřednictvím PowerShellu

Pomocí následujícího příkazu PowerShellu ověřte, že vaše DSA nemá příliš mnoho oprávnění, jako jsou výkonná oprávnění správce:

Test-MDIDSA [-Identity] <String> [-Detailed] [<CommonParameters>]

Pokud chcete například zkontrolovat oprávnění pro účet mdiSvc01 a zadat úplné podrobnosti, spusťte:

Test-MDIDSA -Identity "mdiSvc01" -Detailed

Další informace najdete v referenčních informacích k PowerShellu DefenderForIdentity.

Další krok

Konfigurace účtu adresářové služby pro Defender for Identity pomocí gMSA »