Megosztás a következőn keresztül:

Címtárszolgáltatás-fiókok a Microsoft Defender for Identity szolgáltatáshoz

  • Cikk

Ez a cikk azt ismerteti, hogy a Microsoft Defender for Identity hogyan használja a címtárszolgáltatás-fiókokat (DSA-kat).

Feljegyzés

A konfigurált címtárszolgáltatás-fiókoktól függetlenül az érzékelőszolgáltatás a LocalService identitás alatt fog működni, a frissítő szolgáltatás pedig a LocalSystem identitás alatt fog működni.

Bár a DSA bizonyos esetekben nem kötelező, javasoljuk, hogy konfiguráljon egy DSA-t a Defender for Identityhez a teljes biztonsági lefedettség érdekében.

Ha például egy DSA van konfigurálva, a rendszer a DSA használatával csatlakozik a tartományvezérlőhöz indításkor. A DSA használatával lekérdezheti a tartományvezérlőt a hálózati forgalomban, a figyelt eseményekben és a figyelt ETW-tevékenységekben látott entitásokra vonatkozó adatok lekérdezésére is

A következő funkciókhoz és funkciókhoz DSA szükséges:

  • Ha egy AD FS/AD CS-kiszolgálón telepített érzékelővel dolgozik.

  • Taglisták kérése helyi rendszergazdai csoportokhoz a hálózati forgalomban, eseményekben és ETW-tevékenységekben látott eszközökről az eszközre irányuló SAM-R-hívással . Az összegyűjtött adatok a lehetséges oldalirányú mozgási útvonalak kiszámítására szolgálnak.

  • Hozzáférés a DeletedObjects tárolóhoz, hogy adatokat gyűjtsön a törölt felhasználókról és számítógépekről.

  • Tartomány- és megbízhatósági leképezés, amely az érzékelő indításakor, majd 10 percenként történik.

  • Egy másik tartomány lekérdezése LDAP-en keresztül a többi tartomány entitásaiból származó tevékenységek észlelésekor.

Ha egyetlen DSA-t használ, a DSA-nak olvasási engedélyekkel kell rendelkeznie az erdők összes tartományához. Nem megbízható, többerdős környezetben minden erdőhöz DSA-fiók szükséges.

Minden tartomány egy érzékelője a tartományszinkronizálóként van definiálva, és a tartomány entitásainak változásainak nyomon követéséért felelős. A módosítások közé tartozhatnak például a létrehozott objektumok, a Defender for Identity által nyomon követett entitásattribútumok stb.

Feljegyzés

Alapértelmezés szerint a Defender for Identity legfeljebb 30 hitelesítő adatot támogat. További hitelesítő adatok hozzáadásához forduljon a Defender for Identity támogatási szolgálatához.

Támogatott DSA-fiókbeállítások

A Defender for Identity a következő DSA-beállításokat támogatja:

Lehetőség Leírás Konfiguráció
Csoportos felügyelt szolgáltatásfiók gMSA (ajánlott) Biztonságosabb üzembe helyezést és jelszókezelést biztosít. Az Active Directory a számítógépfiók jelszavához hasonlóan kezeli a fiók jelszavának létrehozását és elforgatását, és szabályozhatja, hogy milyen gyakran változik meg a fiók jelszava. További információ: Címtárszolgáltatás-fiók konfigurálása a Defender for Identityhez gMSA-val.
Normál felhasználói fiók Az első lépések során könnyen használható, és egyszerűbben konfigurálhatja az olvasási engedélyeket a megbízható erdők között, de további többletterhelést igényel a jelszókezeléshez.

A normál felhasználói fiókok kevésbé biztonságosak, mivel jelszavak létrehozását és kezelését igénylik, és állásidőhöz vezethetnek, ha a jelszó lejár, és nem frissül mind a felhasználó, mind a DSA számára.		 Hozzon létre egy új fiókot az Active Directoryban, amely az összes objektum olvasási engedélyeivel rendelkező DSA-ként használható, beleértve a DeletedObjects-tároló engedélyeit is. További információ: A szükséges DSA-engedélyek megadása.
Helyi szolgáltatásfiók A helyi szolgáltatásfiókot a rendszer a dobozon kívül használja, és alapértelmezés szerint akkor használja, ha nincs konfigurálva DSA.
Megjegyzés:
  • SAM-R lekérdezések a lehetséges oldalirányú mozgási útvonalakhoz, amely ebben a forgatókönyvben nem támogatott.
  • Az LDAP csak azon a tartományon belül lekérdezéseket futtat, amelyet az érzékelő telepített. Az ugyanazon erdő vagy erdőközi tartományokba történő lekérdezések sikertelenek lesznek.
    		•  Egyik sem

    Feljegyzés

    Bár a helyi szolgáltatásfiók alapértelmezés szerint az érzékelővel van használatban, és bizonyos esetekben a DSA nem kötelező, javasoljuk, hogy konfiguráljon egy DSA-t a Defender for Identityhez a teljes biztonsági lefedettség érdekében.

    DSA-bejegyzés használata

    Ez a szakasz ismerteti a DSA-bejegyzések használatát, valamint azt, hogy az érzékelő hogyan választ ki egy DSA-bejegyzést egy adott forgatókönyvben. Az érzékelőkísérletek a DSA-bejegyzés típusától függően eltérőek:

    Típus Leírás
    gMSA-fiók Az érzékelő megpróbálja lekérni a gMSA-fiók jelszavát az Active Directoryból, majd bejelentkezik a tartományba.
    Normál felhasználói fiók Az érzékelő a konfigurált felhasználónévvel és jelszóval próbál bejelentkezni a tartományba.

    A rendszer a következő logikát alkalmazza:

    1. Az érzékelő egy olyan bejegyzést keres, amely pontosan megegyezik a céltartomány tartománynevével. Ha pontos egyezést talál, az érzékelő megkísérli a hitelesítést a bejegyzésben szereplő hitelesítő adatokkal.

    2. Ha nincs pontos egyezés, vagy ha a hitelesítés sikertelen, az érzékelő a DNS teljes tartománynévvel keres egy bejegyzést a szülőtartományba, és ehelyett a szülőbejegyzés hitelesítő adataival próbál hitelesíteni.

    3. Ha nincs bejegyzés a szülőtartományhoz, vagy ha a hitelesítés sikertelen volt, az érzékelő megkeresi a testvértartomány-bejegyzést a DNS teljes tartománynevével, és ehelyett megkísérli a hitelesítést a testvérbejegyzés hitelesítő adataival.

    4. Ha nincs bejegyzés a testvértartományhoz, vagy ha a hitelesítés sikertelen volt, az érzékelő újra megvizsgálja a listát, és minden bejegyzéssel újra megpróbál hitelesíteni, amíg az sikeres nem lesz. A DSA gMSA-bejegyzések prioritása magasabb, mint a hagyományos DSA-bejegyzések.

    Mintalogika DSA-val

    Ez a szakasz bemutatja, hogy az érzékelő hogyan próbálja meg a DSA-t teljes egészében, ha több fiókkal rendelkezik, beleértve a gMSA-fiókot és a normál fiókot is.

    A rendszer a következő logikát alkalmazza:

    1. Az érzékelő egyezést keres a céltartomány DNS-tartományneve, például emea.contoso.com a DSA gMSA-bejegyzés, például emea.contoso.coma .

    2. Az érzékelő egyezést keres a céltartomány DNS-tartományneve, például emea.contoso.com a DSA normál bejegyzési DSA-jának neve között, például emea.contoso.com

    3. Az érzékelő egyezést keres a céltartomány gyökér DNS-nevében, például emea.contoso.com a DSA gMSA bejegyzési tartománynévben, például contoso.com.

    4. Az érzékelő egyezést keres a céltartomány gyökér DNS-nevében, például emea.contoso.com a DSA reguláris bejegyzési tartománynevében, például contoso.com.

    5. Az érzékelő megkeresi egy testvértartomány céltartománynevét, például emea.contoso.com a DSA gMSA bejegyzési tartománynevet, például apac.contoso.com.

    6. Az érzékelő megkeresi egy testvértartomány céltartománynevét, például emea.contoso.com a DSA reguláris bejegyzési tartománynevét, például apac.contoso.com.

    7. Az érzékelő az összes DSA gMSA-bejegyzés kerek robinját futtatja.

    8. Az érzékelő az összes DSA-bejegyzés kerek időszeletét futtatja.

    Az ebben a példában látható logika a következő konfigurációval implementálva van:

    • DSA-bejegyzések:

      • DSA1.emea.contoso.com
      • DSA2.fabrikam.com

    • Érzékelők és az elsőként használt DSA-bejegyzés:

      Tartományvezérlő teljes tartományneve Használt DSA-bejegyzés
      DC01.emea.contoso.com DSA1.emea.contoso.com
      DC02.contoso.com DSA1.emea.contoso.com
      DC03.fabrikam.com DSA2.fabrikam.com
      DC04.contoso.local Kerek időszeletelés

    Fontos

    Ha egy érzékelő nem tudja sikeresen hitelesíteni magát az LDAP-n keresztül az Active Directory-tartományba indításkor, az érzékelő nem lép be futó állapotba, és állapotproblémát okoz. További információ: Defender for Identity health issues.

    A szükséges DSA-engedélyek megadása

    A DSA csak olvasási engedélyeket igényel az Active Directory összes objektumához, beleértve a törölt objektumtárolót is.

    A Törölt objektumok tároló írásvédett engedélyei lehetővé teszik a Defender for Identity számára, hogy észlelje a felhasználók törlését az Active Directoryból.

    A következő kódmintával biztosíthatja a szükséges olvasási engedélyeket a Törölt objektumok tárolón, függetlenül attól, hogy gMSA-fiókot használ-e.

    Tipp.

    Ha a csoport által felügyelt szolgáltatásfiókhoz (gMSA) kíván engedélyeket adni, először létre kell hoznia egy biztonsági csoportot, tagként hozzá kell adnia a gMSA-t, majd hozzá kell adnia az engedélyeket a csoporthoz. További információ: Címtárszolgáltatás-fiók konfigurálása a Defender for Identityhez gMSA-val.

    # Declare the identity that you want to add read access to the deleted objects container:
$Identity = 'mdiSvc01'

# If the identity is a gMSA, first to create a group and add the gMSA to it:
$groupName = 'mdiUsr01Group'
$groupDescription = 'Members of this group are allowed to read the objects in the Deleted Objects container in AD'
if(Get-ADServiceAccount -Identity $Identity -ErrorAction SilentlyContinue) {
    $groupParams = @{
        Name           = $groupName
        SamAccountName = $groupName
        DisplayName    = $groupName
        GroupCategory  = 'Security'
        GroupScope     = 'Universal'
        Description    = $groupDescription
    }
    $group = New-ADGroup @groupParams -PassThru
    Add-ADGroupMember -Identity $group -Members ('{0}$' -f $Identity)
    $Identity = $group.Name
}

# Get the deleted objects container's distinguished name:
$distinguishedName = ([adsi]'').distinguishedName.Value
$deletedObjectsDN = 'CN=Deleted Objects,{0}' -f $distinguishedName

# Take ownership on the deleted objects container:
$params = @("$deletedObjectsDN", '/takeOwnership')
C:\Windows\System32\dsacls.exe $params

# Grant the 'List Contents' and 'Read Property' permissions to the user or group:
$params = @("$deletedObjectsDN", '/G', ('{0}\{1}:LCRP' -f ([adsi]'').name.Value, $Identity))
C:\Windows\System32\dsacls.exe $params
  
# To remove the permissions, uncomment the next 2 lines and run them instead of the two prior ones:
# $params = @("$deletedObjectsDN", '/R', ('{0}\{1}' -f ([adsi]'').name.Value, $Identity))
# C:\Windows\System32\dsacls.exe $params

    További információt a törölt objektumtárolók engedélyeinek módosítása című témakörben talál.

    DSA-engedélyek és delegálások tesztelése a PowerShell használatával

    A következő PowerShell-paranccsal ellenőrizze, hogy a DSA nem rendelkezik-e túl sok engedéllyel, például hatékony rendszergazdai engedélyekkel:

    Test-MDIDSA [-Identity] <String> [-Detailed] [<CommonParameters>]

    Ha például ellenőrizni szeretné az mdiSvc01-fiók engedélyeit, és részletes adatokat szeretne megadni, futtassa a következőt:

    Test-MDIDSA -Identity "mdiSvc01" -Detailed

    További információ: DefenderForIdentity PowerShell-referencia.

    Következő lépés

    Címtárszolgáltatás-fiók konfigurálása a Defender for Identity szolgáltatáshoz gMSA használatával »