contas de ação Microsoft Defender para Identidade

O Defender for Identity permite-lhe tomar medidas de reparação direcionadas Ative Directory no local contas no caso de uma identidade estar comprometida. Para tomar estas ações, Microsoft Defender para Identidade precisa de ter as permissões necessárias para o fazer.

Por predefinição, o sensor Microsoft Defender para Identidade instalado num controlador de domínio personificará a conta LocalSystem do controlador de domínio e executará as ações. No entanto, pode alterar este comportamento padrão configurando uma conta gMSA e estender as permissões conforme necessário.

Configure contas de gestão.

Criar e configurar uma conta de ação específica

  1. Num controlador de domínio no seu domínio, crie uma nova conta gMSA, seguindo as instruções em Começar com contas de serviço geridas pelo grupo.

  2. Atribua o direito "Iniciar sessão como serviço" à conta gMSA em cada controlador de domínio que executa o sensor Defender for Identity.

  3. Conceder as permissões necessárias à conta gMSA.

    1. Abra Utilizadores e Computadores do Active Directory.

    2. Clique no domínio relevante ou ou ou ou e selecione Propriedades.

      Selecione propriedades de domínio ou OU.

    3. Vá ao separador Segurança e selecione Advanced.

      Definições avançadas de segurança.

    4. Selecione Adicionar.

    5. Escolha Selecione um principal. Escolha um principal.

    6. Certifique-se de que as contas de serviço estão marcadas nos tipos de Objetos. Selecione as contas de serviço como tipos de objetos.

    7. Introduza o nome da conta gMSA na página Introduzir o nome do objeto para selecionar a caixa e selecionar OK.

    8. Selecione objetos de utilizador descendentes no campo Aplica-se ao campo, deixe as definições existentes e adicione as seguintes permissões e propriedades: Defina permissões e propriedades.

      • Para ativar o reset da palavra-passe de força:
        • Permissões:
          • Repor palavra-passe
        • Propriedades:
          • Ler pwdLastSet
          • Escrever pwdLastSet
      • Para desativar o utilizador:
        • Propriedades:
          • Ler userAccountControl
          • Escreva userAccountControl
    9. Selecione objetos de grupo descendentes no campo Aplica-se ao campo e define as seguintes propriedades:

      • Ler membros
      • Escreva membros
    10. Selecione OK.

Nota

  • Não é aconselhável utilizar a mesma conta gMSA que configuraste para defender para ações geridas pelo Defender para identidade em servidores que não os controladores de domínio. Se o servidor estiver comprometido, um intruso poderá recuperar a palavra-passe da conta e ganhar a capacidade de alterar palavras-passe e desativar as contas.

  • Não recomendamos a utilização da mesma conta que a conta do Serviço de Diretório e a conta Manage Action. Isto porque a conta do Serviço de Diretório requer apenas permissões de leitura para o Ative Directory, e as contas Manage Action precisam de escrever permissões nas contas dos utilizadores.

Adicione a conta gMSA no portal Microsoft 365 Defender

  1. Vá ao portal Microsoft 365 Defender.

  2. Ir para Definições ->Identidades.

  3. Em Microsoft Defender para Identidade, selecione Gerir contas de ação.

  4. Selecione +Crie uma nova conta para adicionar a sua conta gMSA.

  5. Forneça o nome e o domínio da conta e selecione Save.

  6. A sua conta de ação será listada na página 'Gerir contas de ação '.

    Criar conta de ação.

Ações de reparação no Defender para a Identidade

Passos seguintes