A Microsoft Defender for Identity műveleti fiókjainak konfigurálása

A Defender for Identity lehetővé teszi a helyi Active Directory fiókokat célzó szervizelési műveletek végrehajtását, ha az identitás biztonsága sérül. Ezeknek a műveleteknek a végrehajtásához a Microsoft Defender for Identity-nek rendelkeznie kell a szükséges engedélyekkel.

Alapértelmezés szerint a Microsoft Defender for Identity érzékelő megszemélyesíti a LocalSystem tartományvezérlő fiókját, és végrehajtja a műveleteket, beleértve a Microsoft Defender XDR támadási zavarási forgatókönyveit is.

Ha módosítania kell ezt a viselkedést, állítson be egy dedikált gMSA-t, és hatókörbe állítsa a szükséges engedélyeket. Például:

Megjegyzés:

A dedikált gMSA használata műveletfiókként nem kötelező. Javasoljuk, hogy használja a fiók alapértelmezett beállításait LocalSystem .

Ajánlott eljárások a műveleti fiókokhoz

Javasoljuk, hogy ne használja ugyanazt a gMSA-fiókot, amelyet a Defender for Identity által felügyelt műveletekhez konfigurált a tartományvezérlők kivételével. Ha ugyanazt a fiókot használja, és a kiszolgáló sérült, a támadó lekérheti a fiók jelszavát, és módosíthatja a jelszavakat, és letilthatja a fiókokat.

Azt is javasoljuk, hogy ne használja ugyanazt a fiókot, mint a Címtárszolgáltatás-fiók és a Művelet kezelése fiók. Ennek az az oka, hogy a Címtárszolgáltatás-fiók csak írásvédett engedélyeket igényel az Active Directoryhoz, a Műveletkezelés fiókoknak pedig írási engedélyekre van szükségük a felhasználói fiókokhoz.

Ha több erdővel rendelkezik, a gMSA által felügyelt műveleti fióknak megbízhatónak kell lennie az összes erdőben, vagy minden erdőhöz külön-külön kell létrehoznia egyet. További információ: Microsoft Defender for Identity többerdős támogatás.

Adott műveleti fiók létrehozása és konfigurálása

1. Hozzon létre egy új gMSA-fiókot. További információ: A csoportosan felügyelt szolgáltatásfiókok használatának első lépései.

2. Rendelje hozzá szolgáltatásként a bejelentkezést a gMSA-fiókhoz minden olyan tartományvezérlőn, amely a Defender for Identity érzékelőt futtatja.

3. Adja meg a szükséges engedélyeket a gMSA-fióknak az alábbiak szerint:

   1. Nyissa meg az Active Directory – felhasználók és számítógépek beépülő modult.

   2. Kattintson a jobb gombbal a megfelelő tartományra vagy szervezeti egységre, és válassza a Tulajdonságok lehetőséget. Például:

      

   3. Nyissa meg a Biztonság lapot, és válassza a Speciális lehetőséget. Például:

      

   4. Válassza az Add Select>a principal (Egyszerű kijelölése) lehetőséget. Például:

      

   5. Győződjön meg arról, hogy a szolgáltatásfiókok objektumtípusokban vannak megjelölve. Például:

      

   6. Az Enter the object name to select box (Adja meg az objektum nevét) mezőbe írja be a gMSA-fiók nevét, és válassza az OK gombot.

   7. Az Applies to mezőben válassza a Leszármazott felhasználó objektumokat, hagyja meg a meglévő beállításokat, és adja hozzá az alábbi példában látható engedélyeket és tulajdonságokat:

      

      A szükséges engedélyek a következők:

      Action	Permissions	Tulajdonságok
      Jelszó-visszaállítás kényszerítésének engedélyezése	Reset password	- Read pwdLastSet - Write pwdLastSet
      A felhasználó letiltása	-	- Read userAccountControl - Write userAccountControl

   8. (Nem kötelező) Az Applies to mezőben válassza a Leszármazottcsoport objektumokat , és adja meg a következő tulajdonságokat:

      • Read members
      • Write members

   9. Kattintson az OK gombra.

A gMSA-fiók hozzáadása a Microsoft Defender portálon

1. Nyissa meg a Microsoft Defender portált, és válassza a Gépház ->Identityes>Microsoft Defender for Identity>Manage műveleti fiókok>+Új fiók létrehozása lehetőséget.

   Például:

   

2. Adja meg a fiók nevét és tartományát, és válassza a Mentés lehetőséget.

A műveletfiók a Műveletfiókok kezelése lapon található.

Kapcsolódó tartalom

További információ: Szervizelési műveletek a Microsoft Defender for Identity szolgáltatásban.