Configurar contas de ação do Microsoft Defender para Identidade
O Defender for Identity permite que você execute ações de correção direcionadas a contas locais do Ative Directory caso uma identidade seja comprometida. Para executar essas ações, o Microsoft Defender for Identity precisa ter as permissões necessárias para fazer isso.
Por padrão, o sensor Microsoft Defender for Identity representa a LocalSystem
conta do controlador de domínio e executa as ações, incluindo cenários de interrupção de ataque do Microsoft Defender XDR.
Se você precisar alterar esse comportamento, configure um gMSA dedicado e defina o escopo das permissões necessárias. Por exemplo:
Nota
Usar um gMSA dedicado como uma conta de ação é opcional. Recomendamos que você use as configurações padrão para a LocalSystem
conta.
Práticas recomendadas para contas de ação
Recomendamos que você evite usar a mesma conta gMSA configurada para ações gerenciadas do Defender for Identity em servidores que não sejam controladores de domínio. Se você usar a mesma conta e o servidor estiver comprometido, um invasor poderá recuperar a senha da conta e ganhar a capacidade de alterar senhas e desabilitar contas.
Também recomendamos que você evite usar a mesma conta que a conta do Serviço de Diretório e a conta Gerenciar Ação. Isso ocorre porque a conta do Serviço de Diretório requer apenas permissões somente leitura para o Ative Directory e as contas Gerenciar Ação precisam de permissões de gravação em contas de usuário.
Se você tiver várias florestas, sua conta de ação gerenciada gMSA deverá ser confiável em todas as florestas ou criar uma separada para cada floresta. Para obter mais informações, consulte Suporte a várias florestas do Microsoft Defender for Identity.
Criar e configurar uma conta de ação específica
Crie uma nova conta gMSA. Para obter mais informações, consulte Introdução às contas de serviço gerenciado de grupo.
Atribua o direito Fazer logon como serviço à conta gMSA em cada controlador de domínio que executa o sensor Defender for Identity.
Conceda as permissões necessárias para a conta gMSA da seguinte maneira:
Abra Utilizadores e Computadores do Active Directory.
Clique com o botão direito do mouse no domínio ou UO relevante e selecione Propriedades. Por exemplo:
Vá para a guia Segurança e selecione Avançado. Por exemplo:
Selecione Adicionar>Selecione uma entidade de segurança. Por exemplo:
Verifique se Contas de serviço está marcado em Tipos de objeto. Por exemplo:
Na caixa Digite o nome do objeto a ser selecionado, digite o nome da conta gMSA e selecione OK.
No campo Aplica-se a, selecione Objetos de usuário descendente, deixe as configurações existentes e adicione as permissões e propriedades mostradas no exemplo a seguir:
As permissões necessárias incluem:
Ação Permissões Propriedades Ativar reposição forçada de palavra-passe Repor palavra-passe - Read pwdLastSet
-Write pwdLastSet
Para desativar o usuário - - Read userAccountControl
-Write userAccountControl
(Opcional) No campo Aplica-se a , selecione Objetos de grupo descendente e defina as seguintes propriedades:
Read members
Write members
Selecione OK.
Adicionar a conta gMSA no portal do Microsoft Defender
Vá para o portal do Microsoft Defender e selecione Configurações ->Identidades>Microsoft Defender for Identity>Gerenciar contas de> ação+Criar nova conta.
Por exemplo:
Introduza o nome da conta e o domínio e selecione Guardar.
Sua conta de ação está listada na página Gerenciar contas de ação.
Conteúdos relacionados
Para obter mais informações, consulte Ações de correção no Microsoft Defender for Identity.