Konta usług katalogowych dla usługi Microsoft Defender for Identity

  • Artykuł

W tym artykule opisano, jak usługa Microsoft Defender for Identity używa kont usług katalogowych (DSA).

Chociaż dsa jest opcjonalna w niektórych scenariuszach, zalecamy skonfigurowanie umowy DSA dla usługi Defender for Identity pod kątem pełnego pokrycia zabezpieczeń.

Na przykład w przypadku skonfigurowania dsa dsa administrator dsa jest używany do nawiązywania połączenia z kontrolerem domeny podczas uruchamiania. Administrator dsa może również służyć do wykonywania zapytań dotyczących kontrolera domeny pod kątem danych dotyczących jednostek widocznych w ruchu sieciowym, monitorowanych zdarzeń i monitorowanych działań ETW

Usługa DSA jest wymagana dla następujących funkcji i funkcji:

  • Podczas pracy z czujnikiem zainstalowanym na serwerze usług AD FS/AD CS.

  • Żądanie list członków dla lokalnych grup administratorów z urządzeń widocznych w ruchu sieciowym, zdarzeń i działań ETW za pośrednictwem wywołania SAM-R wykonanego na urządzeniu. Zebrane dane służą do obliczania potencjalnych ścieżek przenoszenia bocznego.

  • Uzyskiwanie dostępu do kontenera DeletedObjects w celu zbierania informacji o usuniętych użytkownikach i komputerach.

  • Mapowanie domeny i zaufania, które występuje podczas uruchamiania czujnika, i ponownie co 10 minut.

  • Wykonywanie zapytań dotyczących innej domeny za pośrednictwem protokołu LDAP w celu uzyskania szczegółowych informacji podczas wykrywania działań z jednostek w tych innych domenach.

Jeśli używasz pojedynczej umowy DSA, dsa musi mieć uprawnienia odczyt do wszystkich domen w lasach. W niezaufanym środowisku z wieloma lasami konto DSA jest wymagane dla każdego lasu.

Jeden czujnik w każdej domenie jest definiowany jako synchronizator domeny i jest odpowiedzialny za śledzenie zmian w jednostkach w domenie. Na przykład zmiany mogą obejmować obiekty utworzone, atrybuty jednostki śledzone przez usługę Defender for Identity itd.

Uwaga

Domyślnie usługa Defender for Identity obsługuje maksymalnie 30 poświadczeń. Aby dodać więcej poświadczeń, skontaktuj się z pomocą techniczną usługi Defender for Identity.

Obsługiwane opcje konta DSA

Usługa Defender for Identity obsługuje następujące opcje dsa:

Opcja Opis Konfigurowanie
Konto usługi zarządzane przez grupę gMSA (zalecane) Zapewnia bezpieczniejsze wdrażanie i zarządzanie hasłami. Usługa Active Directory zarządza tworzeniem i rotacją hasła konta, podobnie jak hasło konta komputera, i możesz kontrolować, jak często hasło konta jest zmieniane. Aby uzyskać więcej informacji, zobacz Konfigurowanie konta usługi katalogowej dla usługi Defender for Identity przy użyciu konta zarządzanego przez grupę.
Konto zwykłego użytkownika Łatwe w użyciu podczas rozpoczynania pracy i prostsze konfigurowanie uprawnień do odczytu między zaufanymi lasami, ale wymaga dodatkowych obciążeń związanych z zarządzaniem hasłami.

Zwykłe konto użytkownika jest mniej bezpieczne, ponieważ wymaga tworzenia haseł i zarządzania nimi oraz może prowadzić do przestoju, jeśli hasło wygaśnie i nie zostanie zaktualizowane zarówno dla użytkownika, jak i dsa.		 Utwórz nowe konto w usłudze Active Directory, które ma być używane jako administrator dsa z uprawnieniami do odczytu do wszystkich obiektów, w tym uprawnień do kontenera DeletedObjects . Aby uzyskać więcej informacji, zobacz Udzielanie wymaganych uprawnień DSA.

Użycie wpisu DSA

W tej sekcji opisano sposób użycia wpisów DSA oraz sposób wybierania wpisu DSA w dowolnym scenariuszu. Próby czujnika różnią się w zależności od typu wpisu DSA:

Type Opis
konto gMSA Czujnik próbuje pobrać hasło konta gMSA z usługi Active Directory, a następnie loguje się do domeny.
Konto zwykłego użytkownika Czujnik próbuje zalogować się do domeny przy użyciu skonfigurowanej nazwy użytkownika i hasła.

Zastosowano następującą logikę:

  1. Czujnik szuka wpisu z dokładnym dopasowaniem nazwy domeny docelowej. Jeśli zostanie znalezione dokładne dopasowanie, czujnik próbuje uwierzytelnić się przy użyciu poświadczeń w tym wpisie.

  2. Jeśli nie ma dokładnego dopasowania lub jeśli uwierzytelnianie nie powiodło się, czujnik przeszukuje listę wpisu do domeny nadrzędnej przy użyciu nazwy FQDN DNS i próbuje uwierzytelnić się przy użyciu poświadczeń w wpisie nadrzędnym.

  3. Jeśli nie ma wpisu dla domeny nadrzędnej lub jeśli uwierzytelnianie nie powiodło się, czujnik przeszukuje listę wpisu domeny równorzędnej, używając nazwy FQDN DNS i próbuje uwierzytelnić się przy użyciu poświadczeń w wpisie równorzędnym.

  4. Jeśli nie ma wpisu dla domeny równorzędnej lub jeśli uwierzytelnianie nie powiodło się, czujnik ponownie przegląda listę i próbuje ponownie uwierzytelnić się przy użyciu każdego wpisu, dopóki nie powiedzie się. Wpisy dsa gMSA mają wyższy priorytet niż zwykłe wpisy DSA.

Przykładowa logika z dsa

W tej sekcji przedstawiono przykład, w jaki sposób czujnik próbuje skonsekwencją dsa, gdy masz wiele kont, w tym zarówno konto gMSA, jak i zwykłe konto.

Zastosowano następującą logikę:

  1. Czujnik szuka dopasowania między nazwą domeny DNS domeny docelowej, na przykład emea.contoso.com i wpisem DSA gMSA, takim jak emea.contoso.com.

  2. Czujnik szuka dopasowania między nazwą domeny DNS domeny docelowej, na przykład emea.contoso.com a regularnym wpisem DSA, takim jak DSA, na przykład emea.contoso.com

  3. Czujnik szuka dopasowania w głównej nazwie DNS domeny docelowej, takiej jak emea.contoso.com i nazwa domeny wpisu DSA gMSA, na przykład contoso.com.

  4. Czujnik wyszukuje dopasowanie w głównej nazwie DNS domeny docelowej, takiej jak emea.contoso.com i nazwa domeny wpisu regularnego DSA, na przykład contoso.com.

  5. Czujnik wyszukuje docelową nazwę domeny dla domeny równorzędnej, na przykład emea.contoso.com i nazwę domeny wpisu DSA gMSA, taką jak apac.contoso.com.

  6. Czujnik wyszukuje docelową nazwę domeny dla domeny równorzędnej, na przykład emea.contoso.com i nazwę domeny wpisu DSA, taką jak apac.contoso.com.

  7. Czujnik uruchamia działanie okrężne wszystkich wpisów grupy DSA gMSA.

  8. Czujnik uruchamia działanie okrężne wszystkich regularnych wpisów DSA.

Logika pokazana w tym przykładzie jest implementowana przy użyciu następującej konfiguracji:

  • Wpisy DSA:

    • DSA1.emea.contoso.com
    • DSA2.fabrikam.com

  • Czujniki i wpis DSA, który jest używany jako pierwszy:

    Nazwa FQDN kontrolera domeny Używany wpis DSA
    DC01.emea.contoso.com DSA1.emea.contoso.com
    DC02.contoso.com DSA1.emea.contoso.com
    DC03.fabrikam.com DSA2.fabrikam.com
    DC04.contoso.local Działanie okrężne

Ważne

Jeśli czujnik nie może pomyślnie uwierzytelnić się za pośrednictwem protokołu LDAP w domenie usługi Active Directory podczas uruchamiania, czujnik nie wprowadzi stanu uruchomienia i zostanie wygenerowany problem z kondycją. Aby uzyskać więcej informacji, zobacz Problemy z kondycją usługi Defender for Identity.

Udzielanie wymaganych uprawnień dsa

DsA wymaga uprawnień tylko do odczytu dla wszystkich obiektów w usłudze Active Directory, w tym kontenera usuniętych obiektów.

Uprawnienia tylko do odczytu w kontenerze Usunięte obiekty umożliwiają usłudze Defender for Identity wykrywanie usunięcia użytkowników z usługi Active Directory.

Skorzystaj z poniższego przykładu kodu, aby ułatwić przyznawanie wymaganych uprawnień do odczytu w kontenerze Usunięte obiekty , niezależnie od tego, czy używasz konta usługi gMSA.

Napiwek

Jeśli administrator dsA, do którego chcesz udzielić uprawnień, jest kontem usługi zarządzanej przez grupę (gMSA), musisz najpierw utworzyć grupę zabezpieczeń, dodać grupę zabezpieczeń jako członka i dodać uprawnienia do tej grupy. Aby uzyskać więcej informacji, zobacz Konfigurowanie konta usługi katalogowej dla usługi Defender for Identity przy użyciu konta zarządzanego przez grupę.

# Declare the identity that you want to add read access to the deleted objects container:
$Identity = 'mdiSvc01'

# If the identity is a gMSA, first to create a group and add the gMSA to it:
$groupName = 'mdiUsr01Group'
$groupDescription = 'Members of this group are allowed to read the objects in the Deleted Objects container in AD'
if(Get-ADServiceAccount -Identity $Identity -ErrorAction SilentlyContinue) {
    $groupParams = @{
        Name           = $groupName
        SamAccountName = $groupName
        DisplayName    = $groupName
        GroupCategory  = 'Security'
        GroupScope     = 'Universal'
        Description    = $groupDescription
    }
    $group = New-ADGroup @groupParams -PassThru
    Add-ADGroupMember -Identity $group -Members ('{0}$' -f $Identity)
    $Identity = $group.Name
}

# Get the deleted objects container's distinguished name:
$distinguishedName = ([adsi]'').distinguishedName.Value
$deletedObjectsDN = 'CN=Deleted Objects,{0}' -f $distinguishedName

# Take ownership on the deleted objects container:
$params = @("$deletedObjectsDN", '/takeOwnership')
C:\Windows\System32\dsacls.exe $params

# Grant the 'List Contents' and 'Read Property' permissions to the user or group:
$params = @("$deletedObjectsDN", '/G', ('{0}\{1}:LCRP' -f ([adsi]'').name.Value, $Identity))
C:\Windows\System32\dsacls.exe $params
  
# To remove the permissions, uncomment the next 2 lines and run them instead of the two prior ones:
# $params = @("$deletedObjectsDN", '/R', ('{0}\{1}' -f ([adsi]'').name.Value, $Identity))
# C:\Windows\System32\dsacls.exe $params

Aby uzyskać więcej informacji, zobacz Zmienianie uprawnień w kontenerze usuniętych obiektów.

Testowanie uprawnień i delegowania DSA za pomocą programu PowerShell

Użyj następującego polecenia programu PowerShell, aby sprawdzić, czy administrator dsa nie ma zbyt wielu uprawnień, takich jak zaawansowane uprawnienia administratora:

Test-MDIDSA [-Identity] <String> [-Detailed] [<CommonParameters>]

Aby na przykład sprawdzić uprawnienia dla konta mdiSvc01 i podać pełne szczegóły, uruchom polecenie:

Test-MDIDSA -Identity "mdiSvc01" -Detailed

Aby uzyskać więcej informacji, zobacz dokumentację programu PowerShell DefenderForIdentity.

Następny krok

Konfigurowanie konta usługi katalogowej dla usługi Defender for Identity za pomocą konta zarządzanego przez grupę »