Konfigurowanie kont akcji usługi Microsoft Defender for Identity

Usługa Defender for Identity umożliwia wykonywanie akcji korygujących przeznaczonych dla kont lokalna usługa Active Directory w przypadku naruszenia zabezpieczeń tożsamości. Aby wykonać te działania, usługa Microsoft Defender for Identity musi mieć wymagane uprawnienia, aby to zrobić.

Domyślnie czujnik usługi Microsoft Defender for Identity personifikuje LocalSystem konto kontrolera domeny i wykonuje akcje, w tym scenariusze zakłócania ataku z usługi Microsoft Defender XDR.

Jeśli musisz zmienić to zachowanie, skonfiguruj dedykowane konto zarządzane przez użytkownika i określ zakres potrzebnych uprawnień. Na przykład:

Uwaga

Użycie dedykowanego konta zarządzanego przez użytkownika jako konta działania jest opcjonalne. Zalecamy użycie ustawień domyślnych LocalSystem dla konta.

Najlepsze rozwiązania dotyczące kont akcji

Zalecamy unikanie używania tego samego konta usługi gMSA skonfigurowanego dla akcji zarządzanych usługi Defender for Identity na serwerach innych niż kontrolery domeny. Jeśli używasz tego samego konta i serwer zostanie naruszony, osoba atakująca może pobrać hasło dla konta i uzyskać możliwość zmiany haseł i wyłączenia kont.

Zalecamy również unikanie używania tego samego konta co konto usługi katalogowej i zarządzanie kontem działania. Dzieje się tak, ponieważ konto usługi katalogowej wymaga tylko uprawnień tylko do odczytu w usłudze Active Directory, a konta zarządzania akcjami wymagają uprawnień do zapisu na kontach użytkowników.

Jeśli masz wiele lasów, konto działania zarządzanego przez usługę gMSA musi być zaufane we wszystkich lasach lub utworzyć oddzielne konto dla każdego lasu. Aby uzyskać więcej informacji, zobacz Obsługa wielu lasów w usłudze Microsoft Defender for Identity.

Tworzenie i konfigurowanie określonego konta działania

1. Utwórz nowe konto gMSA. Aby uzyskać więcej informacji, zobacz Wprowadzenie do kont usług zarządzanych przez grupę.

2. Przypisz uprawnienie Zaloguj się jako usługa do konta usługi gMSA na każdym kontrolerze domeny z uruchomionym czujnikiem usługi Defender for Identity.

3. Udziel wymaganych uprawnień do konta usługi gMSA w następujący sposób:

   1. Otwórz narzędzie Użytkownicy i komputery usługi Active Directory.

   2. Kliknij prawym przyciskiem myszy odpowiednią domenę lub jednostkę organizacyjną i wybierz pozycję Właściwości. Na przykład:

      

   3. Przejdź do karty Zabezpieczenia i wybierz pozycję Zaawansowane. Na przykład:

      

   4. Wybierz pozycję Dodaj>pozycję Wybierz podmiot zabezpieczeń. Na przykład:

      

   5. Upewnij się, że konta usług są oznaczone w typach obiektów. Na przykład:

      

   6. W polu Wprowadź nazwę obiektu do wybrania wprowadź nazwę konta gMSA i wybierz przycisk OK.

   7. W polu Dotyczy wybierz pozycję Obiekty użytkownika podrzędnego, pozostaw istniejące ustawienia i dodaj uprawnienia i właściwości pokazane w poniższym przykładzie:

      

      Wymagane uprawnienia obejmują:

      Akcja	Uprawnienia	Właściwości
      Włącz wymuszanie resetowania hasła	Resetowanie hasła	- Read pwdLastSet - Write pwdLastSet
      Aby wyłączyć użytkownika	-	- Read userAccountControl - Write userAccountControl

   8. (Opcjonalnie) W polu Dotyczy wybierz pozycję Obiekty grupy potomnych i ustaw następujące właściwości:

      • Read members
      • Write members

   9. Wybierz przycisk OK.

Dodawanie konta usługi gMSA w portalu usługi Microsoft Defender

1. Przejdź do portalu usługi Microsoft Defender i wybierz pozycję Ustawienia ->Identities Microsoft Defender for Identity>Manage action accounts +Create new account (Zarządzanie kontami> akcji w usłudze>Microsoft Defender i utwórz nowe konto).

   Na przykład:

   

2. Wprowadź nazwę konta i domenę, a następnie wybierz pozycję Zapisz.

Twoje konto działania znajduje się na stronie Zarządzanie kontami akcji.

Powiązana zawartość

Aby uzyskać więcej informacji, zobacz Akcje korygowania w usłudze Microsoft Defender for Identity.