Configurar las cuentas de acción de Microsoft Defender for Identity
Defender for Identity permite realizar acciones de corrección destinadas a cuentas Active Directory locales en caso de que una identidad esté en peligro. Para realizar estas acciones, Microsoft Defender for Identity debe tener los permisos necesarios para hacerlo.
De forma predeterminada, el sensor de Microsoft Defender for Identity suplanta la cuenta del controlador de dominio LocalSystem
y realiza las acciones, incluidos los escenarios de interrupción de ataques de Microsoft Defender XDR.
Si necesita cambiar este comportamiento, configure una gMSA dedicada y defina los permisos que necesita. Por ejemplo:
Nota:
El uso de una gMSA dedicada como cuenta de acción es opcional. Se recomienda utilizar la configuración predeterminada para la cuenta LocalSystem
.
Procedimientos recomendados para las cuentas de acción
Se recomienda evitar el uso de la misma cuenta de gMSA que configuró para las acciones administradas de Defender for Identity en servidores distintos de los controladores de dominio. Si usa la misma cuenta y el servidor está en peligro, un atacante podría recuperar la contraseña de la cuenta y obtener la capacidad de cambiar las contraseñas y deshabilitar las cuentas.
También se recomienda evitar el uso de la misma cuenta para la cuenta de servicio de directorio y la cuenta de administración de acciones. Esto se debe a que la cuenta de servicio de directorio únicamente requiere permisos de solo lectura para Active Directory y las cuentas de administración de acciones necesitan permisos de escritura en las cuentas de usuario.
Si tiene varios bosques, la cuenta de acción administrada de gMSA debe ser de confianza en todos los bosques o crear una independiente para cada bosque. Para más información, consulte Asistencia de varios bosques de Microsoft Defender for Identity.
Creación y configuración de una cuenta de acción específica
Crear una nueva cuenta de gMSA. Para más información, consulte Introducción a las cuentas de servicio administradas de grupo.
Asigne el botón Iniciar sesión como servicio directamente a la cuenta de gMSA en cada controlador de dominio que ejecute el sensor de Defender for Identity.
Conceda los permisos requeridos a la cuenta gMSA de la siguiente manera:
Abra Usuarios y equipos de Active Directory.
Haga clic con el botón derecho en el dominio relevante o la UO y seleccione Propiedades. Por ejemplo:
Seleccione la pestaña Seguridad y haga clic en Opciones avanzadas. Por ejemplo:
Seleccione Agregar>Seleccionar la principal. Por ejemplo:
Asegúrese de que las cuentas de servicio están marcadas en Tipos de objeto. Por ejemplo:
En el cuadro Escriba el nombre del objeto que se va a seleccionar, escriba el nombre de la cuenta de gMSA y seleccione OK.
En el campo Se aplica a, seleccione Objetos de usuario descendientes, deje la configuración existente y agregue los permisos y las propiedades que se muestran en el ejemplo siguiente:
Los permisos necesarios son:
Acción Permisos Propiedades Habilitar restablecimiento de contraseña forzado Restablecimiento de contraseña - Read pwdLastSet
-Write pwdLastSet
Para deshabilitar usuario - - Read userAccountControl
-Write userAccountControl
(Opcional) En el campo Se aplica a, seleccione Objetos de grupo descendientes y establezca las siguientes propiedades:
Read members
Write members
Seleccione Aceptar.
Adición de la cuenta de gMSA en el portal de Microsoft Defender
Vaya al portal de Microsoft Defender y seleccione Configuraciones ->Identidades>Microsoft Defender for Identity>Administrar cuentas de acción>+Crear nueva cuenta.
Por ejemplo:
Escriba el nombre y el dominio de la cuenta y seleccione Guardar.
La cuenta de acción aparece en la página Administrar cuentas de acción.
Contenido relacionado
Para obtener más información, consulte Acciones de corrección en Microsoft Defender for Identity.