Konfigurieren Sie Microsoft Defender für Identitätsaktionskonten
Defender for Identity ermöglicht Es Ihnen, Abhilfemaßnahmen für lokales Active Directory Konten zu ergreifen, wenn eine Identität kompromittiert wird. Um diese Aktionen auszuführen, muss Microsoft Defender for Identity über die erforderlichen Berechtigungen verfügen.
Standardmäßig übernimmt der Microsoft Defender for Identity-Sensor die LocalSystem Identität des Kontos des Do Standard Controllers und führt die Aktionen aus, einschließlich Angriffsstörungen von Microsoft Defender XDR.
Wenn Sie dieses Verhalten ändern müssen, richten Sie ein dediziertes gMSA ein, und legen Sie die erforderlichen Berechtigungen fest. Beispiel:
Hinweis
Die Verwendung eines dedizierten gMSA als Aktionskonto ist optional. Wir empfehlen Ihnen, die Standardeinstellungen für das LocalSystem-Konto zu verwenden.
Bewährte Methoden für Aktionskonten
Es wird empfohlen, die Verwendung des gleichen gMSA-Kontos zu vermeiden, das Sie für verwaltete Defender for Identity-Aktionen auf anderen Servern als do Standard Controllern konfiguriert haben. Wenn Sie dasselbe Konto verwenden und der Server kompromittiert ist, kann ein Angreifer das Kennwort für das Konto abrufen und die Möglichkeit erhalten, Kennwörter zu ändern und Konten zu deaktivieren.
Außerdem wird empfohlen, nicht dasselbe Konto wie das Verzeichnisdienstkonto und das Konto "Aktion verwalten" zu verwenden. Dies liegt daran, dass das Verzeichnisdienstkonto nur schreibgeschützte Berechtigungen für Active Directory benötigt, und die Konten "Aktion verwalten" benötigen Schreibberechtigungen für Benutzerkonten.
Wenn Sie über mehrere Gesamtstrukturen verfügen, muss Ihr verwaltetes gMSA-Aktionskonto in allen Gesamtstrukturen vertrauenswürdig sein oder für jede Gesamtstruktur eine separate Gesamtstruktur erstellen. Weitere Informationen finden Sie unter Microsoft Defender for Identity-Unterstützung für mehrere Gesamtstrukturen.
Erstellen und Konfigurieren eines bestimmten Aktionskontos
Erstellen eines gMSA-Kontos. Weitere Informationen finden Sie unter Erste Schritte mit gruppenverwalteten Dienstkonten.
Weisen Sie die Anmeldung als Dienst dem gMSA-Konto auf jeder Aufgabe zu Standard Controller, der den Defender for Identity-Sensor ausführt.
Erteilen Sie dem gMSA-Konto die erforderlichen Berechtigungen wie folgt:
Öffnen Sie Active Directory-Benutzer und -Computer.
Klicken Sie mit der rechten Maustaste auf die OE, und wählen Sie Eigenschaften aus. Beispiel:
Wählen Sie die Registerkarte Sicherheit aus, und klicken Sie auf Erweitert. Beispiel:
Wählen Sie "Prinzipal hinzufügen">aus. Beispiel:
Stellen Sie sicher, dass Dienstkonten in Objekttypen markiert sind. Beispiel:
Geben Sie im Feld Objektnamen eingeben den Namen des gMSA-Kontos ein und wählen Sie OK aus.
Wählen Sie im Feld "Gilt für " die Option "Untergeordnete Benutzerobjekte" aus, behalten Sie die vorhandenen Einstellungen bei, und fügen Sie die im folgenden Beispiel gezeigten Berechtigungen und Eigenschaften hinzu:
Zu den erforderlichen Berechtigungen gehören:
Aktion Berechtigungen Eigenschaften Aktivieren der Kennwortzurücksetzung Kennwort zurücksetzen - Read pwdLastSet
-Write pwdLastSetBenutzer deaktivieren - - Read userAccountControl
-Write userAccountControl(Optional) Wählen Sie in the Applies to field, select Descendant Group objects and set the following properties:
Read membersWrite members
Klickan Sie auf OK.
Hinzufügen des gMSA-Kontos im Microsoft Defender-Portal
Wechseln Sie zum Microsoft Defender-Portal, und wählen Sie Einstellungen ->Identitäten>microsoft Defender for Identity>Manage action accounts>+Create new account.
Beispiel:
Geben Sie den Kontonamen ein, und führen Sie dies aus Standard und wählen Sie "Speichern" aus.
Ihr Aktionskonto wird auf der Seite "Aktionskonten verwalten " aufgeführt.
Zugehöriger Inhalt
Weitere Informationen finden Sie unter Behebungsaktionen in Microsoft Defender for Identity.