Share via

Konfigurieren eines Verzeichnisdienstkontos für Defender for Identity mit einem gMSA

  • Artikel

In diesem Artikel wird beschrieben, wie Sie ein gruppenverwaltetes Dienstkonto (gMSA) für die Verwendung als Defender for Identity DSA-Eintrag erstellen.

Weitere Informationen finden Sie unter Kontoempfehlungen für den Verzeichnisdienst von Microsoft Defender for Identity.

Tipp

In Multi-Gesamtstruktur-, Multi-do Standard umgebungen empfehlen wir das Erstellen der gMSAs mit einem eindeutigen Namen für jede Gesamtstruktur oder do Standard. Erstellen Sie außerdem in jeder Aufgabe eine universelle Gruppe Standard mit allen Computerkonten aller Sensoren, sodass alle Sensoren die Kennwörter der GMSAs abrufen und die cross-do Standard-Authentifizierungen ausführen können.

Voraussetzungen: Erteilen von Berechtigungen zum Abrufen des Kennworts des gMSA-Kontos

Bevor Sie das gMSA-Konto erstellen, sollten Sie überlegen, wie Sie Berechtigungen zum Abrufen des Kennworts des Kontos zuweisen.

Bei Verwendung eines gMSA-Eintrags muss der Sensor das Kennwort des gMSA aus Active Directory abrufen. Dies kann entweder durch Zuweisen zu den einzelnen Sensoren oder mithilfe einer Gruppe erfolgen.

  • Wenn Sie nicht planen, den Sensor auf ad FS/AD CS-Servern zu installieren, können Sie die integrierte Sicherheitsgruppe "Do Standard Controller" in einer einzelstrukturbasierten Bereitstellung Standard verwenden, wenn Sie den Sensor nicht auf AD FS/AD CS-Servern installieren möchten.

  • In einer Gesamtstruktur mit mehreren Do Standard s wird empfohlen, bei Verwendung eines einzelnen DSA-Kontos eine universelle Gruppe zu erstellen und jede der do Standard Controller und AD FS/AD CS-Server zur universellen Gruppe hinzuzufügen.

Wenn Sie der universellen Gruppe ein Computerkonto hinzufügen, nachdem der Computer das Kerberos-Ticket erhalten hat, kann es erst dann das Kennwort des gMSA abrufen, wenn es ein neues Kerberos-Ticket erhält. Das Kerberos-Ticket enthält eine Liste von Gruppen, bei denen eine Entität Mitglied ist, wenn das Ticket ausgestellt wird.

Führen Sie in solchen Szenarien eine der folgenden Aktionen aus:

  • Warten Sie, bis das neue Kerberos-Ticket ausgestellt wurde. Kerberos-Tickets sind normalerweise 10 Stunden gültig.

  • Starten Sie den Server neu. Wenn der Server neu gestartet wird, wird ein neues Kerberos-Ticket mit der neuen Gruppenmitgliedschaft angefordert.

  • Löschen sie die vorhandenen Kerberos-Tickets. Der Domänencontroller stellt ein neues Kerberos-Ticket aus.

    Führen Sie zum Löschen der Tickets über eine Administrator-Eingabeaufforderung auf dem Do Standard-Controller den folgenden Befehl aus:klist purge -li 0x3e7

Erstellen des gMSA-Kontos

In diesem Abschnitt wird beschrieben, wie Sie eine bestimmte Gruppe erstellen, die das Kennwort des Kontos abrufen, ein gMSA-Konto erstellen und dann testen, dass das Konto einsatzbereit ist.

Aktualisieren Sie die Variablen im folgenden Skript mit Werten aus Ihrer Umgebung. Führen Sie dann die PowerShell-Befehle als Administrator aus:

# Variables:
# Specify the name of the gMSA you want to create:
$gMSA_AccountName = 'mdiSvc01'
# Specify the name of the group you want to create for the gMSA,
# or enter 'Domain Controllers' to use the built-in group when your environment is a single forest, and will contain only domain controller sensors.
$gMSA_HostsGroupName = 'mdiSvc01Group'
# Specify the computer accounts that will become members of the gMSA group and have permission to use the gMSA. 
# If you are using the 'Domain Controllers' group in the $gMSA_HostsGroupName variable, then this list is ignored
$gMSA_HostNames = 'DC1', 'DC2', 'DC3', 'DC4', 'DC5', 'DC6', 'ADFS1', 'ADFS2'

# Import the required PowerShell module:
Import-Module ActiveDirectory

# Set the group
if ($gMSA_HostsGroupName -eq 'Domain Controllers') {
    $gMSA_HostsGroup = Get-ADGroup -Identity 'Domain Controllers'
} else {
    $gMSA_HostsGroup = New-ADGroup -Name $gMSA_HostsGroupName -GroupScope DomainLocal -PassThru
    $gMSA_HostNames | ForEach-Object { Get-ADComputer -Identity $_ } |
        ForEach-Object { Add-ADGroupMember -Identity $gMSA_HostsGroupName -Members $_ }
}

# Create the gMSA:
New-ADServiceAccount -Name $gMSA_AccountName -DNSHostName "$gMSA_AccountName.$env:USERDNSDOMAIN" `
 -PrincipalsAllowedToRetrieveManagedPassword $gMSA_HostsGroup

Erteilen erforderlicher DSA-Berechtigungen

Die DSA erfordert schreibgeschützte Berechtigungen für alle Objekte in Active Directory, einschließlich des Containers "Gelöschte Objekte".

Die Leseberechtigungen für diesen Container Gelöschte Objekte ermöglicht es Defender for Identity, Benutzerlöschungen in Ihrem Active Directory zu erkennen.

Verwenden Sie das folgende Codebeispiel, um Ihnen bei der Erteilung der erforderlichen Leseberechtigungen für den Container "Gelöschte Objekte " zu helfen, unabhängig davon, ob Sie ein gMSA-Konto verwenden.

Tipp

Wenn die DSA, der Sie die Berechtigungen erteilen möchten, ein Gruppenverwaltetes Dienstkonto (Group Managed Service Account, gMSA) ist, müssen Sie zuerst eine Sicherheitsgruppe erstellen, die gMSA als Mitglied hinzufügen und dieser Gruppe die Berechtigungen hinzufügen. Weitere Informationen finden Sie unter Konfigurieren eines Verzeichnisdienstkontos für Defender for Identity mit einer gMSA.

# Declare the identity that you want to add read access to the deleted objects container:
$Identity = 'mdiSvc01'

# If the identity is a gMSA, first to create a group and add the gMSA to it:
$groupName = 'mdiUsr01Group'
$groupDescription = 'Members of this group are allowed to read the objects in the Deleted Objects container in AD'
if(Get-ADServiceAccount -Identity $Identity -ErrorAction SilentlyContinue) {
    $groupParams = @{
        Name           = $groupName
        SamAccountName = $groupName
        DisplayName    = $groupName
        GroupCategory  = 'Security'
        GroupScope     = 'Universal'
        Description    = $groupDescription
    }
    $group = New-ADGroup @groupParams -PassThru
    Add-ADGroupMember -Identity $group -Members ('{0}$' -f $Identity)
    $Identity = $group.Name
}

# Get the deleted objects container's distinguished name:
$distinguishedName = ([adsi]'').distinguishedName.Value
$deletedObjectsDN = 'CN=Deleted Objects,{0}' -f $distinguishedName

# Take ownership on the deleted objects container:
$params = @("$deletedObjectsDN", '/takeOwnership')
C:\Windows\System32\dsacls.exe $params

# Grant the 'List Contents' and 'Read Property' permissions to the user or group:
$params = @("$deletedObjectsDN", '/G', ('{0}\{1}:LCRP' -f ([adsi]'').name.Value, $Identity))
C:\Windows\System32\dsacls.exe $params
  
# To remove the permissions, uncomment the next 2 lines and run them instead of the two prior ones:
# $params = @("$deletedObjectsDN", '/R', ('{0}\{1}' -f ([adsi]'').name.Value, $Identity))
# C:\Windows\System32\dsacls.exe $params

Weitere Informationen finden Sie unter Ändern von Berechtigungen für einen gelöschten Objektcontainer.

Überprüfen, ob das gMSA-Konto über die erforderlichen Rechte verfügt

Der Defender for Identity-Sensordienst, Azure Advanced Threat Protection Sensor, wird als LocalService ausgeführt und führt einen Identitätswechsel des DSA-Kontos durch. Der Identitätswechsel schlägt fehl, wenn die Richtlinie "Als Dienst anmelden" konfiguriert ist, die Berechtigung jedoch nicht dem gMSA-Konto erteilt wurde. In solchen Fällen wird das folgende Integritätsproblem angezeigt: Anmeldeinformationen für Verzeichnisdienste sind falsch.

Wenn diese Warnung angezeigt wird, wird empfohlen, zu überprüfen, ob die Richtlinie für die Anmeldung als Dienst konfiguriert ist. Wenn Sie die Anmelderichtlinie als Dienst konfigurieren müssen, führen Sie dies entweder in einer Gruppenrichtlinieneinstellung oder in einer lokalen Sicherheitsrichtlinie aus.

  • Um die lokale Richtlinie zu überprüfen, führen Sie lokale Richtlinien aussecpol.msc, und wählen Sie sie aus. Wechseln Sie unter "Benutzerrechtezuweisung" zur Einstellung " Als Dienstrichtlinien anmelden". Zum Beispiel:

    Screenshot der Eigenschaften für „Anmeldung als Dienst“.

    Wenn die Richtlinie aktiviert ist, fügen Sie das gMSA-Konto zur Liste der Konten hinzu, die sich als Dienst anmelden können.

  • Um zu überprüfen, ob die Einstellung in einer Gruppenrichtlinie konfiguriert ist: Führen Sie aus, und überprüfen Siersop.msc, ob die Computerkonfiguration –> Windows Einstellungen – Sicherheits-Einstellungen –> Lokale Richtlinien –>> Benutzerrechtezuweisung –> Anmelden als Dienstrichtlinie ausgewählt ist. Zum Beispiel:

    Screenshot der Richtlinie für „Anmelden als Dienst“ im Gruppenrichtlinienverwaltungs-Editor.

    Wenn die Einstellung konfiguriert ist, fügen Sie das gMSA-Konto zur Liste der Konten hinzu, die sich im Gruppenrichtlinienverwaltungs-Editor als Dienst anmelden können.

Hinweis

Wenn Sie den Gruppenrichtlinienverwaltungs-Editor zum Konfigurieren der Einstellung "Anmelden als Dienst" verwenden, stellen Sie sicher, dass Sie sowohl NT Service\All Services als auch das von Ihnen erstellte gMSA-Konto hinzufügen.

Konfigurieren eines Verzeichnisdienstkontos in Microsoft Defender XDR

Um Ihre Sensoren mit Ihren Active Directory-Aktivitäten zu verbinden Standard müssen Sie Verzeichnisdienstkonten in Microsoft Defender XDR konfigurieren.

  1. Wechseln Sie in Microsoft Defender XDR zu Einstellungen > Identitäten. Zum Beispiel:

    Screenshot der Identitätseinstellungen in Microsoft Defender XDR.

  2. Wählen Sie Verzeichnisdienstkonten. Sie sehen, welche Konten mit welchen Aktionen verknüpft sind Standard. Zum Beispiel:

    Screenshot der Seite „Verzeichnisdienstkonten“.

  3. Um Anmeldeinformationen für das Verzeichnisdienstkonto hinzuzufügen, wählen Sie "Anmeldeinformationen hinzufügen" aus, und geben Sie den Namen "Konto", "Do Standard" und "Kennwort" des zuvor erstellten Kontos ein. Sie können auch auswählen, ob es sich um ein gruppenverwaltetes Dienstkonto (Group Managed Service Account, gMSA) handelt und ob es zu einer einzelnen Bezeichnung gehört Standard. Zum Beispiel:

    Screenshot des Bereichs „Anmeldeinformationen hinzufügen“.

    Feld Kommentare
    Kontoname (erforderlich) Geben Sie den schreibgeschützten AD-Benutzernamen ein. Beispiel: DefenderForIdentityUser.

    – Sie müssen ein standardmäßiges AD-Benutzer- oder gMSA-Konto verwenden.
    Verwenden Sie - nicht das UPN-Format für Ihren Nutzernamen.
    - Bei Verwendung eines gMSA-Kontos sollte die Benutzerzeichenfolge mit dem Zeichen $ enden. Beispiel: mdisvc$

    HINWEIS: Es wird empfohlen, die Verwendung von Konten zu vermeiden, die bestimmten Benutzern zugewiesen sind.
    Kennwort (erforderlich für Standard-AD-Benutzerkonten) Generieren Sie nur für AD-Benutzerkonten ein sicheres Kennwort für den schreibgeschützten Benutzer. Beispiel: PePR!BZ&}Y54UpC3aB.
    Gruppenverwaltetes Dienstkonto (erforderlich für gMSA-Konten) Wählen Sie nur für gMSA-Konten das gruppenverwaltete Dienstkonto aus.
    Domain (erforderlich) Geben Sie die Do Standard für den schreibgeschützten Benutzer ein. Beispiel: contoso.com.

    Es ist wichtig, dass Sie den vollständigen FQDN des Vorgangs eingeben Standard wo sich der Benutzer befindet. Wenn sich beispielsweise das Konto des Benutzers in der Domäne corp.contoso.com befindet, müssen Sie corp.contoso.com eingeben und nicht contoso.com.

    Weitere Informationen finden Sie unter Microsoft-Unterstützung für Single Label Domains.

  4. Wählen Sie Speichern.

  5. (Optional) Wenn Sie ein Konto auswählen, wird ein Detailbereich mit den Einstellungen für dieses Konto geöffnet. Zum Beispiel:

    Screenshot eines „ Kontodetails“-Bereichs.

Hinweis

Sie können dieses Verfahren verwenden, um das Kennwort für Standardmäßige Active Directory-Benutzerkonten zu ändern. Für gMSA-Konten ist kein Kennwort festgelegt.

Problembehandlung

Weitere Informationen finden Sie unter Sensor konnte die gMSA-Anmeldeinformationen nicht abrufen.

Nächster Schritt

Konfigurieren sie SAM-R, um die Erkennung von Lateral Movement Path in Microsoft Defender for Identity zu ermöglichen »