Compartir a través de


Configurar las cuentas de acción de Microsoft Defender for Identity

Defender for Identity permite realizar acciones de corrección destinadas a cuentas Active Directory locales en caso de que una identidad esté en peligro. Para realizar estas acciones, Microsoft Defender for Identity debe tener los permisos necesarios para hacerlo.

De forma predeterminada, el sensor de Microsoft Defender for Identity suplanta la cuenta del controlador de dominio LocalSystem y realiza las acciones, incluidos los escenarios de interrupción de ataques de Microsoft Defender XDR.

Si necesita cambiar este comportamiento, configure una gMSA dedicada y defina los permisos que necesita. Por ejemplo:

Screenshot of the Manage action accounts tab.

Nota:

El uso de una gMSA dedicada como cuenta de acción es opcional. Se recomienda utilizar la configuración predeterminada para la cuenta LocalSystem.

Procedimientos recomendados para las cuentas de acción

Se recomienda evitar el uso de la misma cuenta de gMSA que configuró para las acciones administradas de Defender for Identity en servidores distintos de los controladores de dominio. Si usa la misma cuenta y el servidor está en peligro, un atacante podría recuperar la contraseña de la cuenta y obtener la capacidad de cambiar las contraseñas y deshabilitar las cuentas.

También se recomienda evitar el uso de la misma cuenta para la cuenta de servicio de directorio y la cuenta de administración de acciones. Esto se debe a que la cuenta de servicio de directorio únicamente requiere permisos de solo lectura para Active Directory y las cuentas de administración de acciones necesitan permisos de escritura en las cuentas de usuario.

Si tiene varios bosques, la cuenta de acción administrada de gMSA debe ser de confianza en todos los bosques o crear una independiente para cada bosque. Para más información, consulte Asistencia de varios bosques de Microsoft Defender for Identity.

Creación y configuración de una cuenta de acción específica

  1. Crear una nueva cuenta de gMSA. Para más información, consulte Introducción a las cuentas de servicio administradas de grupo.

  2. Asigne el botón Iniciar sesión como servicio directamente a la cuenta de gMSA en cada controlador de dominio que ejecute el sensor de Defender for Identity.

  3. Conceda los permisos requeridos a la cuenta gMSA de la siguiente manera:

    1. Abra Usuarios y equipos de Active Directory.

    2. Haga clic con el botón derecho en el dominio relevante o la UO y seleccione Propiedades. Por ejemplo:

      Screenshot of selecting domain or OU properties.

    3. Seleccione la pestaña Seguridad y haga clic en Opciones avanzadas. Por ejemplo:

      Screenshot of the advanced security settings.

    4. Seleccione Agregar>Seleccionar la principal. Por ejemplo:

      Screenshot of selecting a principal.

    5. Asegúrese de que las cuentas de servicio están marcadas en Tipos de objeto. Por ejemplo:

      Screenshot oof selecting service accounts as object types.

    6. En el cuadro Escriba el nombre del objeto que se va a seleccionar, escriba el nombre de la cuenta de gMSA y seleccione OK.

    7. En el campo Se aplica a, seleccione Objetos de usuario descendientes, deje la configuración existente y agregue los permisos y las propiedades que se muestran en el ejemplo siguiente:

      Screenshot of setting permissions and properties.

      Los permisos necesarios son:

      Acción Permisos Propiedades
      Habilitar restablecimiento de contraseña forzado Restablecimiento de contraseña - Read pwdLastSet
      - Write pwdLastSet
      Para deshabilitar usuario - - Read userAccountControl
      - Write userAccountControl
    8. (Opcional) En el campo Se aplica a, seleccione Objetos de grupo descendientes y establezca las siguientes propiedades:

      • Read members
      • Write members
    9. Seleccione Aceptar.

Adición de la cuenta de gMSA en el portal de Microsoft Defender

  1. Vaya al portal de Microsoft Defender y seleccione Configuraciones ->Identidades>Microsoft Defender for Identity>Administrar cuentas de acción>+Crear nueva cuenta.

    Por ejemplo:

    Screenshot of the Create new account button.

  2. Escriba el nombre y el dominio de la cuenta y seleccione Guardar.

La cuenta de acción aparece en la página Administrar cuentas de acción.

Para obtener más información, consulte Acciones de corrección en Microsoft Defender for Identity.