Microsoft Defender for Identity Aktionskonten

Defender for Identity ermöglicht Es Ihnen, Abhilfemaßnahmen für lokales Active Directory Konten zu ergreifen, falls eine Identität kompromittiert wird. Um diese Aktionen auszuführen, muss Microsoft Defender for Identity über die erforderlichen Berechtigungen verfügen.

Standardmäßig übernimmt der auf einem Domänencontroller installierte Microsoft Defender for Identity Sensor die Identität des LocalSystem-Kontos des Domänencontrollers und führt die Aktionen aus. Sie können dieses Standardverhalten jedoch ändern, indem Sie ein gMSA-Konto einrichten und die Berechtigungen nach Bedarf festlegen.

Konfigurieren sie Verwaltungskonten.

Erstellen und Konfigurieren eines bestimmten Aktionskontos

  1. Erstellen Sie auf einem Domänencontroller in Ihrer Domäne ein neues gMSA-Konto. Befolgen Sie die Anweisungen unter Erste Schritte mit gruppenverwalteten Dienstkonten.

  2. Weisen Sie dem gMSA-Konto auf jedem Domänencontroller, der den Defender for Identity-Sensor ausführt, das Recht "Anmelden als Dienst" zu.

  3. Erteilen Sie dem gMSA-Konto die erforderlichen Berechtigungen.

    1. Öffnen Sie Active Directory-Benutzer und -Computer.

    2. Klicken Sie mit der rechten Maustaste auf die relevante Domäne oder Organisationseinheit, und wählen Sie Eigenschaften aus.

      Wählen Sie Eigenschaften der Domäne oder Organisationseinheit aus.

    3. Wechseln Sie zur Registerkarte Sicherheit , und wählen Sie Erweitert aus.

      Erweiterte Sicherheitseinstellungen.

    4. Wählen Sie Hinzufügen.

    5. Wählen Sie Prinzipal auswählen aus. Wählen Sie einen Prinzipal auswählen aus.

    6. Stellen Sie sicher , dass Dienstkonten in Objekttypen gekennzeichnet sind. Wählen Sie Dienstkonten als Objekttypen aus.

    7. Geben Sie den Namen des gMSA-Kontos in das Feld Geben Sie den zu wählenden Objektnamen ein, und wählen Sie OK aus.

    8. Wählen Sie im Feld Gilt für die Option Untergeordnete Benutzerobjekte aus, belassen Sie die vorhandenen Einstellungen, und fügen Sie die folgenden Berechtigungen und Eigenschaften hinzu: Festlegen von Berechtigungen und Eigenschaften.

      • So aktivieren Sie die Kennwortzurücksetzung erzwingen:
        • Berechtigungen:
          • Kennwort zurücksetzen
        • Eigenschaften:
          • pwdLastSet lesen
          • pwdLastSet schreiben
      • So deaktivieren Sie den Benutzer:
        • Eigenschaften:
          • Lesen von userAccountControl
          • Schreiben von userAccountControl
    9. Wählen Sie im Feld Gilt für die Option Descendant Group-Objekte aus, und legen Sie die folgenden Eigenschaften fest:

      • Elemente lesen
      • Elemente schreiben
    10. Klicken Sie auf OK.

Hinweis

  • Es wird nicht empfohlen, dasselbe gMSA-Konto zu verwenden, das Sie für verwaltete Defender for Identity-Aktionen auf anderen Servern als Domänencontrollern konfiguriert haben. Wenn der Server kompromittiert ist, könnte ein Angreifer das Kennwort für das Konto abrufen und die Möglichkeit erhalten, Kennwörter zu ändern und Konten zu deaktivieren.

  • Es wird nicht empfohlen, dasselbe Konto wie das Verzeichnisdienstkonto und das Konto Aktion verwalten zu verwenden. Dies liegt daran, dass das Verzeichnisdienstkonto nur schreibgeschützte Berechtigungen für Active Directory erfordert, und die Konten aktion verwalten Schreibberechtigungen für Benutzerkonten benötigen.

Hinzufügen des gMSA-Kontos im Microsoft 365 Defender-Portal

  1. Wechseln Sie zum Microsoft 365 Defender-Portal.

  2. Wechseln Sie zu Einstellungen ->Identitäten.

  3. Wählen Sie unter Microsoft Defender for Identitydie Option Aktionskonten verwalten aus.

  4. Wählen Sie +Neues Konto erstellen aus, um Ihr gMSA-Konto hinzuzufügen.

  5. Geben Sie den Kontonamen und die Domäne an, und wählen Sie Speichern aus.

  6. Ihr Aktionskonto wird auf der Seite Aktionskonten verwalten aufgeführt.

    Erstellen Sie ein Aktionskonto.

Abhilfemaßnahmen in Defender for Identity

Nächste Schritte