Udostępnij za pośrednictwem


Konfigurowanie konta usługi katalogowej dla usługi Defender for Identity za pomocą konta zarządzanego przez grupę

W tym artykule opisano sposób tworzenia konta usługi zarządzanej przez grupę (gMSA) do użycia jako wpis DSA usługi Defender for Identity.

Aby uzyskać więcej informacji, zobacz Directory Service Accounts for Microsoft Defender for Identity (Konta usług katalogowych dla usługi Microsoft Defender for Identity).

Napiwek

W środowiskach z wieloma lasami, w środowiskach z wieloma domenami zalecamy utworzenie kont zasad grupy o unikatowej nazwie dla każdego lasu lub domeny. Ponadto utwórz grupę uniwersalną w każdej domenie, zawierającą konta komputera wszystkich czujników, aby wszystkie czujniki mogły pobrać hasła gMSAs i przeprowadzić uwierzytelnianie między domenami.

Wymagania wstępne: udzielanie uprawnień do pobierania hasła konta usługi gMSA

Przed utworzeniem konta usługi gMSA rozważ przypisanie uprawnień w celu pobrania hasła konta.

W przypadku korzystania z wpisu gMSA czujnik musi pobrać hasło gMSA z usługi Active Directory. Można to zrobić, przypisując do każdego z czujników lub przy użyciu grupy.

  • Jeśli nie planujesz instalowania czujnika na serwerach usług AD FS/AD CS w jednym lesie, możesz użyć wbudowanej grupy zabezpieczeń Kontrolery domeny.

  • W lesie z wieloma domenami, w przypadku korzystania z jednego konta DSA, zalecamy utworzenie grupy uniwersalnej i dodanie każdego z kontrolerów domeny i serwerów usług AD FS / AD CS do grupy uniwersalnej.

Jeśli dodasz konto komputera do grupy uniwersalnej po otrzymaniu biletu protokołu Kerberos przez komputer, nie będzie można pobrać hasła gMSA, dopóki nie otrzyma nowego biletu protokołu Kerberos. Bilet protokołu Kerberos zawiera listę grup, których jednostka jest członkiem podczas wystawiania biletu.

W takich scenariuszach wykonaj jedną z następujących czynności:

  • Poczekaj na wystawienie nowego biletu Protokołu Kerberos. Bilety kerberos są zwykle ważne przez 10 godzin.

  • Uruchom serwer ponownie. Po ponownym uruchomieniu serwera zostanie wyświetlony nowy bilet Protokołu Kerberos z nowym członkostwem w grupie.

  • Przeczyść istniejące bilety protokołu Kerberos. Wymuś to, aby kontroler domeny zażądał nowego biletu protokołu Kerberos.

    Aby przeczyścić bilety, w wierszu polecenia administratora na kontrolerze domeny uruchom następujące polecenie: klist purge -li 0x3e7

Tworzenie konta usługi gMSA

W tej sekcji opisano sposób tworzenia określonej grupy, która może pobrać hasło konta, utworzyć konto zarządzane przez grupę, a następnie przetestować, czy konto jest gotowe do użycia.

Uwaga

Jeśli nigdy wcześniej nie używano kont gMSA, może być konieczne wygenerowanie nowego klucza głównego dla usługa dystrybucji kluczy grupy firmy Microsoft (KdsSvc) w usłudze Active Directory. Ten krok jest wymagany tylko raz na las.

Aby wygenerować nowy klucz główny do natychmiastowego użycia, uruchom następujące polecenie:

Add-KdsRootKey -EffectiveImmediately

Zaktualizuj następujący kod przy użyciu wartości zmiennych dla danego środowiska. Następnie uruchom polecenia programu PowerShell jako administrator:

# Variables:
# Specify the name of the gMSA you want to create:
$gMSA_AccountName = 'mdiSvc01'
# Specify the name of the group you want to create for the gMSA,
# or enter 'Domain Controllers' to use the built-in group when your environment is a single forest, and will contain only domain controller sensors.
$gMSA_HostsGroupName = 'mdiSvc01Group'
# Specify the computer accounts that will become members of the gMSA group and have permission to use the gMSA. 
# If you are using the 'Domain Controllers' group in the $gMSA_HostsGroupName variable, then this list is ignored
$gMSA_HostNames = 'DC1', 'DC2', 'DC3', 'DC4', 'DC5', 'DC6', 'ADFS1', 'ADFS2'

# Import the required PowerShell module:
Import-Module ActiveDirectory

# Set the group
if ($gMSA_HostsGroupName -eq 'Domain Controllers') {
    $gMSA_HostsGroup = Get-ADGroup -Identity 'Domain Controllers'
} else {
    $gMSA_HostsGroup = New-ADGroup -Name $gMSA_HostsGroupName -GroupScope DomainLocal -PassThru
    $gMSA_HostNames | ForEach-Object { Get-ADComputer -Identity $_ } |
        ForEach-Object { Add-ADGroupMember -Identity $gMSA_HostsGroupName -Members $_ }
}

# Create the gMSA:
New-ADServiceAccount -Name $gMSA_AccountName -DNSHostName "$gMSA_AccountName.$env:USERDNSDOMAIN" `
 -PrincipalsAllowedToRetrieveManagedPassword $gMSA_HostsGroup

Udzielanie wymaganych uprawnień dsa

DsA wymaga uprawnień tylko do odczytu dla wszystkich obiektów w usłudze Active Directory, w tym kontenera usuniętych obiektów.

Uprawnienia tylko do odczytu w kontenerze Usunięte obiekty umożliwiają usłudze Defender for Identity wykrywanie usunięcia użytkowników z usługi Active Directory.

Skorzystaj z poniższego przykładu kodu, aby ułatwić przyznawanie wymaganych uprawnień do odczytu w kontenerze Usunięte obiekty , niezależnie od tego, czy używasz konta usługi gMSA.

Napiwek

Jeśli administrator dsA, do którego chcesz udzielić uprawnień, jest kontem usługi zarządzanej przez grupę (gMSA), musisz najpierw utworzyć grupę zabezpieczeń, dodać grupę zabezpieczeń jako członka i dodać uprawnienia do tej grupy. Aby uzyskać więcej informacji, zobacz Konfigurowanie konta usługi katalogowej dla usługi Defender for Identity przy użyciu konta zarządzanego przez grupę.

# Declare the identity that you want to add read access to the deleted objects container:
$Identity = 'mdiSvc01'

# If the identity is a gMSA, first to create a group and add the gMSA to it:
$groupName = 'mdiUsr01Group'
$groupDescription = 'Members of this group are allowed to read the objects in the Deleted Objects container in AD'
if(Get-ADServiceAccount -Identity $Identity -ErrorAction SilentlyContinue) {
    $groupParams = @{
        Name           = $groupName
        SamAccountName = $groupName
        DisplayName    = $groupName
        GroupCategory  = 'Security'
        GroupScope     = 'Universal'
        Description    = $groupDescription
    }
    $group = New-ADGroup @groupParams -PassThru
    Add-ADGroupMember -Identity $group -Members ('{0}$' -f $Identity)
    $Identity = $group.Name
}

# Get the deleted objects container's distinguished name:
$distinguishedName = ([adsi]'').distinguishedName.Value
$deletedObjectsDN = 'CN=Deleted Objects,{0}' -f $distinguishedName

# Take ownership on the deleted objects container:
$params = @("$deletedObjectsDN", '/takeOwnership')
C:\Windows\System32\dsacls.exe $params

# Grant the 'List Contents' and 'Read Property' permissions to the user or group:
$params = @("$deletedObjectsDN", '/G', ('{0}\{1}:LCRP' -f ([adsi]'').name.Value, $Identity))
C:\Windows\System32\dsacls.exe $params
  
# To remove the permissions, uncomment the next 2 lines and run them instead of the two prior ones:
# $params = @("$deletedObjectsDN", '/R', ('{0}\{1}' -f ([adsi]'').name.Value, $Identity))
# C:\Windows\System32\dsacls.exe $params

Aby uzyskać więcej informacji, zobacz Zmienianie uprawnień w kontenerze usuniętych obiektów.

Sprawdź, czy konto usługi gMSA ma wymagane prawa

Usługa czujnika usługi Defender for Identity, czujnik usługi Azure Advanced Threat Protection, działa jako usługa lokalna i wykonuje personifikację konta DSA. Personifikacja zakończy się niepowodzeniem, jeśli skonfigurowano zasady logowania jako usługi , ale nie udzielono uprawnień do konta usługi gMSA. W takich przypadkach zobaczysz następujący problem z kondycją: poświadczenia użytkownika usług katalogowych są nieprawidłowe.

Jeśli widzisz ten alert, zalecamy sprawdzenie, czy skonfigurowano zasady Logowanie jako usługa. Jeśli musisz skonfigurować zasady Logowanie jako usługa , zrób to w ustawieniu zasad grupy lub w lokalnych zasadach zabezpieczeń.

  • Aby sprawdzić zasady lokalne, uruchom secpol.msc polecenie i wybierz pozycję Zasady lokalne. W obszarze Przypisywanie praw użytkownika przejdź do ustawienia zasad Logowanie jako usługa. Na przykład:

    Zrzut ekranu przedstawiający właściwości logowania jako usługi.

    Jeśli zasady są włączone, dodaj konto gMSA do listy kont, które mogą zalogować się jako usługa.

  • Aby sprawdzić, czy ustawienie jest skonfigurowane w zasadach grupy: Uruchom rsop.msc i sprawdź, czy wybrano zasady Konfiguracja komputera —> Ustawienia systemu Windows —> Ustawienia zabezpieczeń —> Zasady lokalne —> Przypisanie praw użytkownika —> Logowanie jako usługa . Na przykład:

    Zrzut ekranu przedstawiający zasady Logowania jako usługi w Edytorze zarządzania zasadami grupy.

    Jeśli to ustawienie jest skonfigurowane, dodaj konto gMSA do listy kont, które mogą zalogować się jako usługa w Edytorze zarządzania zasadami grupy.

Uwaga

Jeśli używasz Edytora zarządzania zasadami grupy do skonfigurowania ustawienia Logowanie jako usługa , upewnij się, że dodano zarówno usługę NT\Wszystkie usługi , jak i utworzone konto gMSA.

Konfigurowanie konta usługi katalogowej w usłudze Microsoft Defender XDR

Aby połączyć czujniki z domenami usługi Active Directory, należy skonfigurować konta usługi katalogowej w usłudze Microsoft Defender XDR.

  1. W usłudze Microsoft Defender XDR przejdź do pozycji Tożsamości ustawień>. Na przykład:

    Zrzut ekranu przedstawiający ustawienia tożsamości w usłudze Microsoft Defender XDR.

  2. Wybierz pozycję Konta usługi katalogowej. Zobaczysz, które konta są skojarzone z którymi domenami. Na przykład:

    Zrzut ekranu przedstawiający stronę Konta usługi katalogowej.

  3. Aby dodać poświadczenia konta usługi katalogowej, wybierz pozycję Dodaj poświadczenia i wprowadź nazwę konta, domenę i hasło utworzonego wcześniej konta. Możesz również wybrać, czy jest to konto usługi zarządzane przez grupę (gMSA), a jeśli należy do domeny z pojedynczą etykietą. Na przykład:

    Zrzut ekranu przedstawiający okienko dodawania poświadczeń.

    Pole Komentarze
    Nazwa konta (wymagane) Wprowadź nazwę użytkownika usługi AD tylko do odczytu. Na przykład: DefenderForIdentityUser.

    — Musisz użyć standardowego konta usługi AD lub konta usługi gMSA.
    - Nie używaj formatu nazwy UPN dla swojej nazwy użytkownika.
    — W przypadku korzystania z konta zarządzanego przez grupę ciąg użytkownika powinien kończyć się znakiem $ . Na przykład: mdisvc$.

    UWAGA: Zalecamy unikanie używania kont przypisanych do określonych użytkowników.
    Hasło (wymagane dla kont użytkowników usługi AD w warstwie Standardowa) Tylko w przypadku kont użytkowników usługi AD wygeneruj silne hasło dla użytkownika tylko do odczytu. Na przykład: PePR!BZ&}Y54UpC3aB.
    Konto usługi zarządzane przez grupę (wymagane dla kont gMSA) W przypadku kont gMSA wybierz pozycję Konto usługi zarządzanej przez grupę.
    Domena (wymagana ) Wprowadź domenę dla użytkownika tylko do odczytu. Na przykład: contoso.com.

    Ważne jest, aby wprowadzić pełną nazwę FQDN domeny, w której znajduje się użytkownik. Jeśli na przykład konto użytkownika znajduje się w corp.contoso.com domeny, musisz wprowadzić corp.contoso.com wartość nie contoso.com.

    Aby uzyskać więcej informacji, zobacz Pomoc techniczna firmy Microsoft dla domen z pojedynczą etykietą.
  4. Wybierz pozycję Zapisz.

  5. (Opcjonalnie) W przypadku wybrania konta zostanie otwarte okienko szczegółów z ustawieniami tego konta. Na przykład:

    Zrzut ekranu przedstawiający okienko szczegółów konta.

Uwaga

Tej samej procedury można użyć, aby zmienić hasło dla standardowych kont użytkowników usługi Active Directory. Nie ma ustawionego hasła dla kont gMSA.

Rozwiązywanie problemów

Aby uzyskać więcej informacji, zobacz Sensor failed to retrieve the gMSA credentials (Czujnik nie może pobrać poświadczeń gMSA).

Następny krok