Megosztás a következőn keresztül:


A Microsoft Defender for Identity műveleti fiókjainak konfigurálása

A Defender for Identity lehetővé teszi a helyi Active Directory fiókokat célzó szervizelési műveletek végrehajtását, ha az identitás biztonsága sérül. Ezeknek a műveleteknek a végrehajtásához a Microsoft Defender for Identity-nek rendelkeznie kell a szükséges engedélyekkel.

Alapértelmezés szerint a Microsoft Defender for Identity érzékelő megszemélyesíti a LocalSystem tartományvezérlő fiókját, és végrehajtja a műveleteket, beleértve a Microsoft Defender XDR támadási zavarási forgatókönyveit is.

Ha módosítania kell ezt a viselkedést, állítson be egy dedikált gMSA-t, és hatókörbe állítsa a szükséges engedélyeket. Például:

Screenshot of the Manage action accounts tab.

Megjegyzés:

A dedikált gMSA használata műveletfiókként nem kötelező. Javasoljuk, hogy használja a fiók alapértelmezett beállításait LocalSystem .

Ajánlott eljárások a műveleti fiókokhoz

Javasoljuk, hogy ne használja ugyanazt a gMSA-fiókot, amelyet a Defender for Identity által felügyelt műveletekhez konfigurált a tartományvezérlők kivételével. Ha ugyanazt a fiókot használja, és a kiszolgáló sérült, a támadó lekérheti a fiók jelszavát, és módosíthatja a jelszavakat, és letilthatja a fiókokat.

Azt is javasoljuk, hogy ne használja ugyanazt a fiókot, mint a Címtárszolgáltatás-fiók és a Művelet kezelése fiók. Ennek az az oka, hogy a Címtárszolgáltatás-fiók csak írásvédett engedélyeket igényel az Active Directoryhoz, a Műveletkezelés fiókoknak pedig írási engedélyekre van szükségük a felhasználói fiókokhoz.

Ha több erdővel rendelkezik, a gMSA által felügyelt műveleti fióknak megbízhatónak kell lennie az összes erdőben, vagy minden erdőhöz külön-külön kell létrehoznia egyet. További információ: Microsoft Defender for Identity többerdős támogatás.

Adott műveleti fiók létrehozása és konfigurálása

  1. Hozzon létre egy új gMSA-fiókot. További információ: A csoportosan felügyelt szolgáltatásfiókok használatának első lépései.

  2. Rendelje hozzá szolgáltatásként a bejelentkezést a gMSA-fiókhoz minden olyan tartományvezérlőn, amely a Defender for Identity érzékelőt futtatja.

  3. Adja meg a szükséges engedélyeket a gMSA-fióknak az alábbiak szerint:

    1. Nyissa meg az Active Directory – felhasználók és számítógépek beépülő modult.

    2. Kattintson a jobb gombbal a megfelelő tartományra vagy szervezeti egységre, és válassza a Tulajdonságok lehetőséget. Például:

      Screenshot of selecting domain or OU properties.

    3. Nyissa meg a Biztonság lapot, és válassza a Speciális lehetőséget. Például:

      Screenshot of the advanced security settings.

    4. Válassza az Add Select>a principal (Egyszerű kijelölése) lehetőséget. Például:

      Screenshot of selecting a principal.

    5. Győződjön meg arról, hogy a szolgáltatásfiókok objektumtípusokban vannak megjelölve. Például:

      Screenshot oof selecting service accounts as object types.

    6. Az Enter the object name to select box (Adja meg az objektum nevét) mezőbe írja be a gMSA-fiók nevét, és válassza az OK gombot.

    7. Az Applies to mezőben válassza a Leszármazott felhasználó objektumokat, hagyja meg a meglévő beállításokat, és adja hozzá az alábbi példában látható engedélyeket és tulajdonságokat:

      Screenshot of setting permissions and properties.

      A szükséges engedélyek a következők:

      Action Permissions Tulajdonságok
      Jelszó-visszaállítás kényszerítésének engedélyezése Reset password - Read pwdLastSet
      - Write pwdLastSet
      A felhasználó letiltása - - Read userAccountControl
      - Write userAccountControl
    8. (Nem kötelező) Az Applies to mezőben válassza a Leszármazottcsoport objektumokat , és adja meg a következő tulajdonságokat:

      • Read members
      • Write members
    9. Kattintson az OK gombra.

A gMSA-fiók hozzáadása a Microsoft Defender portálon

  1. Nyissa meg a Microsoft Defender portált, és válassza a Gépház ->Identityes>Microsoft Defender for Identity>Manage műveleti fiókok>+Új fiók létrehozása lehetőséget.

    Például:

    Screenshot of the Create new account button.

  2. Adja meg a fiók nevét és tartományát, és válassza a Mentés lehetőséget.

A műveletfiók a Műveletfiókok kezelése lapon található.

További információ: Szervizelési műveletek a Microsoft Defender for Identity szolgáltatásban.