Delen via

Een gMSA-directoryserviceaccount configureren voor Defender for Identity

In dit artikel wordt beschreven hoe u een door een groep beheerd serviceaccount (gMSA) maakt om te gebruiken als een Microsoft Defender voor vermelding van het id-adreslijstserviceaccount.

Vereisten

  • Zorg ervoor dat u machtigingen hebt om gMSA's en beveiligingsgroepen te maken in Active Directory.

  • Wijs machtigingen toe waarmee de sensor het gMSA-wachtwoord kan ophalen.

  • Kies hoe u het ophalen van wachtwoorden wilt configureren:

    • Wijs het gMSA-account rechtstreeks toe aan elk van de sensoren.

    • Gebruik een groep die alle sensoren bevat die het gMSA-account moeten gebruiken.

  • Kies de juiste groep op basis van uw implementatie:

    • Implementatie met één forest, één domein: gebruik de ingebouwde beveiligingsgroep Domeincontrollers als u geen sensoren installeert op Active Directory Federation Services -servers (AD FS) of Active Directory Certificate Services (AD CS).

    • Forest met meerdere domeinen: als u één Directory Service-account (DSA) gebruikt, raden we u aan een universele groep te maken en elk van de domeincontrollers en AD FS- of AD CS-servers toe te voegen aan de universele groep.

  • Controleer in omgevingen met meerdere forests of meerdere domeinen of het domein waar u de gMSA maakt, de computeraccounts van de sensoren vertrouwt.

  • Maak een universele groep in elk domein die alle computeraccounts van sensoren bevat, zodat alle sensoren de wachtwoorden van de gMSA's kunnen ophalen en de verificaties tussen domeinen kunnen uitvoeren.

Het gMSA-account maken

  1. Als u nog nooit eerder een gMSA-account hebt gebruikt, moet u mogelijk een nieuwe hoofdsleutel genereren voor de Microsoft Group Key Distribution-service (KdsSvc) in Active Directory. Deze stap is slechts eenmaal per forest vereist. Voer de volgende opdracht uit om een nieuwe hoofdsleutel te genereren voor direct gebruik:

    Add-KdsRootKey -EffectiveImmediately

  2. Voer de PowerShell-opdrachten uit als beheerder. Met dit script wordt het volgende uitgevoerd:

    • Maak een gMSA-account.
    • Maak een groep voor het gMSA-account.
    • Voeg de opgegeven computeraccounts toe aan die groep.

  3. Voordat u het script uitvoert:

    • Werk de variabelewaarden bij zodat deze overeenkomen met uw omgeving.
    • Zorg ervoor dat u elke gMSA een unieke naam geeft voor elk forest of domein.
# Variables:
# Specify the name of the gMSA you want to create:
$gMSA_AccountName = 'mdiSvc01'
# Specify the name of the group you want to create for the gMSA,
# or enter 'Domain Controllers' to use the built-in group when your environment is a single forest, and will contain only domain controller sensors.
$gMSA_HostsGroupName = 'mdiSvc01Group'
# Specify the computer accounts that will become members of the gMSA group and have permission to use the gMSA. 
# If you are using the 'Domain Controllers' group in the $gMSA_HostsGroupName variable, then this list is ignored
$gMSA_HostNames = 'DC1', 'DC2', 'DC3', 'DC4', 'DC5', 'DC6', 'ADFS1', 'ADFS2'

# Import the required PowerShell module:
Import-Module ActiveDirectory

# Set the group
if ($gMSA_HostsGroupName -eq 'Domain Controllers') {
    $gMSA_HostsGroup = Get-ADGroup -Identity 'Domain Controllers'
} else {
    $gMSA_HostsGroup = New-ADGroup -Name $gMSA_HostsGroupName -GroupScope DomainLocal -PassThru
    $gMSA_HostNames | ForEach-Object { Get-ADComputer -Identity $_ } |
        ForEach-Object { Add-ADGroupMember -Identity $gMSA_HostsGroupName -Members $_ }
}

# Create the gMSA:
New-ADServiceAccount -Name $gMSA_AccountName -DNSHostName "$gMSA_AccountName.$env:USERDNSDOMAIN" `
 -PrincipalsAllowedToRetrieveManagedPassword $gMSA_HostsGroup

Kerberos-tickets vernieuwen na het wijzigen van groepslidmaatschap

Het Kerberos-ticket bevat een lijst met groepen waarvan een entiteit lid is wanneer het ticket wordt uitgegeven. Als u een computeraccount toevoegt aan de universele groep nadat deze al een Kerberos-ticket heeft ontvangen, kan het wachtwoord van de gMSA pas worden opgehaald als het een nieuw ticket heeft ontvangen.

Als u het Kerberos-ticket wilt vernieuwen, kunt u het volgende doen:

  • Wacht tot er een nieuw Kerberos-ticket is uitgegeven. Kerberos-tickets zijn doorgaans 10 uur geldig.

  • Start de server opnieuw op om een nieuw Kerberos-ticket aan te vragen met het nieuwe groepslidmaatschap.

  • Leeg de bestaande Kerberos-tickets op om de domeincontroller te dwingen een nieuw Kerberos-ticket aan te vragen. Voer de volgende opdracht uit om de tickets op te halen vanaf een beheerdersopdrachtprompt op de domeincontroller: klist purge -li 0x3e7

Vereiste machtigingen voor adreslijstserviceaccounts verlenen

De DSA vereist alleen-lezenmachtigingen voor alle objecten in Active Directory, inclusief de container Verwijderde objecten.

Met de alleen-lezenmachtigingen voor de container Verwijderde objecten kan Defender for Identity gebruikersverwijderingen uit uw Active Directory detecteren.

Gebruik het volgende codevoorbeeld om de vereiste leesmachtigingen te verlenen voor de container Verwijderde objecten , ongeacht of u een gMSA-account gebruikt of niet.

Tip

Als de DSA waaraan u de machtigingen wilt verlenen een gMSA (Group Managed Service Account) is, moet u eerst een beveiligingsgroep maken, de gMSA toevoegen als lid en de machtigingen toevoegen aan die groep. Zie Een Directory Service-account configureren voor Defender for Identity met een gMSA voor meer informatie.

# Declare the identity that you want to add read access to the deleted objects container:
$Identity = 'mdiSvc01'

# If the identity is a gMSA, first to create a group and add the gMSA to it:
$groupName = 'mdiUsr01Group'
$groupDescription = 'Members of this group are allowed to read the objects in the Deleted Objects container in AD'
if(Get-ADServiceAccount -Identity $Identity -ErrorAction SilentlyContinue) {
    $groupParams = @{
        Name           = $groupName
        SamAccountName = $groupName
        DisplayName    = $groupName
        GroupCategory  = 'Security'
        GroupScope     = 'Universal'
        Description    = $groupDescription
    }
    $group = New-ADGroup @groupParams -PassThru
    Add-ADGroupMember -Identity $group -Members ('{0}$' -f $Identity)
    $Identity = $group.Name
}

# Get the deleted objects container's distinguished name:
$distinguishedName = ([adsi]'').distinguishedName.Value
$deletedObjectsDN = 'CN=Deleted Objects,{0}' -f $distinguishedName

# Take ownership on the deleted objects container:
$params = @("$deletedObjectsDN", '/takeOwnership')
C:\Windows\System32\dsacls.exe $params

# Grant the 'List Contents' and 'Read Property' permissions to the user or group:
$params = @("$deletedObjectsDN", '/G', ('{0}\{1}:LCRP' -f ([adsi]'').name.Value, $Identity))
C:\Windows\System32\dsacls.exe $params
  
# To remove the permissions, uncomment the next 2 lines and run them instead of the two prior ones:
# $params = @("$deletedObjectsDN", '/R', ('{0}\{1}' -f ([adsi]'').name.Value, $Identity))
# C:\Windows\System32\dsacls.exe $params

Zie Machtigingen wijzigen voor een verwijderde objectcontainer voor meer informatie.

Controleer of het gMSA-account de vereiste rechten heeft

De Defender for Identity-sensorservice, Azure Advanced Threat Protection Sensor, wordt uitgevoerd als een LocalService die het DSA-account imiteert. Als het beleid Aanmelden als service is geconfigureerd, maar de machtiging niet is verleend aan het gMSA-account, mislukt de imitatie. In dat geval ziet u het volgende statusprobleem: Directory Services-gebruikersreferenties zijn onjuist.

Als u deze waarschuwing ziet, controleert u of het beleid Aanmelden als service is geconfigureerd in een groepsbeleid-instelling of in een lokaal beveiligingsbeleid.

Lokaal beveiligingsbeleid controleren

  1. Rennen secpol.msc

  2. Selecteer Lokaal beleid>Toewijzing van gebruikersrechten

  3. Open de beleidsinstelling Aanmelden als een service .

    Schermopname van de eigenschap Aanmelden als een service.

  4. Zodra het beleid is ingeschakeld, voegt u het gMSA-account toe aan de lijst met accounts die zich kunnen aanmelden als een service.

De groepsbeleid-instelling controleren

  1. Rennen rsop.msc

  2. Ga naar Computerconfiguratie -> Windows-instellingen -> Beveiligingsinstellingen -> Lokaal beleid -> Toewijzing van gebruikersrechten -> Aanmelden als een service.

    Schermopname van het beleid Aanmelden als een service in de groepsbeleid Management Editor.

  3. Zodra de instelling is geconfigureerd, voegt u het gMSA-account toe aan de lijst met accounts die zich kunnen aanmelden als een service in de groepsbeleid Management Editor.

Opmerking

Als u de groepsbeleid Management-Editor gebruikt om de instelling Aanmelden als service te configureren, moet u zowel NT Service\All Services als het gMSA-account toevoegen dat u hebt gemaakt.

Een Directory-serviceaccount configureren in Microsoft Defender XDR

Als u uw sensoren wilt verbinden met uw Active Directory-domeinen, configureert u Directory-serviceaccounts in Microsoft Defender XDR.

  1. Ga in Microsoft Defender XDR naar Instellingen > Identiteiten.

    Schermopname van de instellingenpagina en hoe u toegang hebt tot de pagina Defender for Identity.

  2. Selecteer Directory-serviceaccounts om te zien welke accounts aan welke domeinen zijn gekoppeld.

    Schermopname van de pagina Directory-serviceaccounts in de Defender-portal.

  3. Selecteer Referenties toevoegen

  4. Voer de volgende gegevens in:

    • Accountnaam
    • Domein
    • Password

  5. U kunt kiezen of het een door de groep beheerd serviceaccount (gMSA) is of dat het tot een domein met één label behoort.

    Schermopname van het deelvenster toegevoegde referenties.

    Veld Opmerkingen
    Accountnaam (vereist) Voer de alleen-lezen AD-gebruikersnaam in. Bijvoorbeeld: DefenderForIdentityUser.

    - U moet een standaard AD-gebruiker of gMSA-account gebruiken.
    - Gebruik niet de UPN-indeling voor uw gebruikersnaam.
    - Wanneer u een gMSA gebruikt, moet de gebruikerstekenreeks eindigen op het $ teken. Bijvoorbeeld:mdisvc$

    NOTITIE: U wordt aangeraden geen accounts te gebruiken die zijn toegewezen aan specifieke gebruikers.
    Wachtwoord (vereist voor standaard AD-gebruikersaccounts) Genereer alleen voor AD-gebruikersaccounts een sterk wachtwoord voor de alleen-lezen gebruiker. Bijvoorbeeld: PePR!BZ&}Y54UpC3aB.
    Door de groep beheerd serviceaccount (vereist voor gMSA-accounts) Alleen voor gMSA-accounts selecteert u Door groep beheerd serviceaccount.
    Domein (vereist) Voer het domein in voor de alleen-lezen gebruiker. Bijvoorbeeld: contoso.com.

    Het is belangrijk dat u de volledige FQDN invoert van het domein waar de gebruiker zich bevindt. Als het account van de gebruiker zich bijvoorbeeld in het domein corp.contoso.com bevindt, moet u niet contoso.cominvoerencorp.contoso.com.

    Zie Microsoft-ondersteuning voor Single Label Domains voor meer informatie.

  6. Klik op Opslaan.

  7. (Optioneel) Selecteer een account om het detailvenster te openen en de instellingen ervan weer te geven.

    Schermopname van een deelvenster met accountdetails.

Opmerking

U kunt dezelfde procedure gebruiken om het wachtwoord voor standaard Active Directory-gebruikersaccounts te wijzigen. gMSA-accounts vereisen geen wachtwoorden.

Problemen oplossen

Zie Sensor kan de gMSA-referenties niet ophalen voor meer informatie.

Volgende stap

SAM-R configureren om laterale bewegingspaddetectie in te schakelen in Microsoft Defender voor Identiteit »

  • Last updated on