Поделиться через

Настройка учетной записи службы каталогов для Defender для удостоверений с помощью gMSA

  • Статья

В этой статье описывается, как создать управляемую группу учетную запись службы (gMSA) для использования в качестве записи DsA Defender для удостоверений.

Дополнительные сведения см. в разделе "Учетные записи службы каталогов" для Microsoft Defender для удостоверений.

Совет

В средах с несколькими лесами с несколькими доменами рекомендуется создавать gMSAs с уникальным именем для каждого леса или домена. Кроме того, создайте универсальную группу в каждом домене, содержащую учетные записи компьютера всех датчиков, чтобы все датчики могли получать пароли gMSAs и выполнять междоменные проверки подлинности.

Предварительные требования. Предоставление разрешений на получение пароля учетной записи gMSA

Перед созданием учетной записи gMSA рекомендуется назначить разрешения на получение пароля учетной записи.

При использовании записи gMSA датчик должен получить пароль gMSA из Active Directory. Это можно сделать, назначив каждому датчику или используя группу.

  • В одном лесу, однодомном развертывании, если вы не планируете устанавливать датчик на серверах AD FS или AD CS, можно использовать встроенную группу безопасности контроллеров домена.

  • В лесу с несколькими доменами при использовании одной учетной записи DSA рекомендуется создать универсальную группу и добавить каждый контроллер домена и серверы AD FS / AD CS в универсальную группу.

Если вы добавите учетную запись компьютера в универсальную группу после того, как компьютер получил свой билет Kerberos, он не сможет получить пароль gMSA, пока он не получит новый билет Kerberos. Билет Kerberos содержит список групп, в которые сущность входит при выдаче билета.

В таких сценариях выполните одно из следующих действий:

  • Дождитесь выдачи нового билета Kerberos. Билеты Kerberos обычно действительны в течение 10 часов.

  • Перезагрузите сервер. При перезагрузке сервера запрашивается новый билет Kerberos с новым членством в группе.

  • Очистка существующих билетов Kerberos. Это заставляет контроллер домена запрашивать новый билет Kerberos.

    Чтобы очистить билеты, выполните следующую команду: klist purge -li 0x3e7

Создание учетной записи gMSA

В этом разделе описывается создание определенной группы, которая может получить пароль учетной записи, создать учетную запись gMSA, а затем проверить, готова ли учетная запись к использованию.

Обновите следующий код со значениями переменных для вашей среды. Затем выполните команды PowerShell от имени администратора:

# Variables:
# Specify the name of the gMSA you want to create:
$gMSA_AccountName = 'mdiSvc01'
# Specify the name of the group you want to create for the gMSA,
# or enter 'Domain Controllers' to use the built-in group when your environment is a single forest, and will contain only domain controller sensors.
$gMSA_HostsGroupName = 'mdiSvc01Group'
# Specify the computer accounts that will become members of the gMSA group and have permission to use the gMSA. 
# If you are using the 'Domain Controllers' group in the $gMSA_HostsGroupName variable, then this list is ignored
$gMSA_HostNames = 'DC1', 'DC2', 'DC3', 'DC4', 'DC5', 'DC6', 'ADFS1', 'ADFS2'

# Import the required PowerShell module:
Import-Module ActiveDirectory

# Set the group
if ($gMSA_HostsGroupName -eq 'Domain Controllers') {
    $gMSA_HostsGroup = Get-ADGroup -Identity 'Domain Controllers'
} else {
    $gMSA_HostsGroup = New-ADGroup -Name $gMSA_HostsGroupName -GroupScope DomainLocal -PassThru
    $gMSA_HostNames | ForEach-Object { Get-ADComputer -Identity $_ } |
        ForEach-Object { Add-ADGroupMember -Identity $gMSA_HostsGroupName -Members $_ }
}

# Create the gMSA:
New-ADServiceAccount -Name $gMSA_AccountName -DNSHostName "$gMSA_AccountName.$env:USERDNSDOMAIN" `
 -PrincipalsAllowedToRetrieveManagedPassword $gMSA_HostsGroup

Предоставление необходимых разрешений DSA

ДЛЯ DSA требуются разрешения только для чтения всехобъектов в Active Directory, включая контейнер удаленных объектов.

Разрешения только для чтения в контейнере удаленных объектов позволяют Defender для удостоверений обнаруживать удаления пользователей из Active Directory.

Используйте следующий пример кода, чтобы предоставить необходимые разрешения на чтение в контейнере удаленных объектов , независимо от того, используется ли учетная запись gMSA.

Совет

Если DSA требуется предоставить разрешения для группы управляемой учетной записи службы (gMSA), необходимо сначала создать группу безопасности, добавить gMSA в качестве члена и добавить разрешения в эту группу. Дополнительные сведения см. в разделе "Настройка учетной записи службы каталогов для Защитника для удостоверений" с помощью gMSA.

# Declare the identity that you want to add read access to the deleted objects container:
$Identity = 'mdiSvc01'

# If the identity is a gMSA, first to create a group and add the gMSA to it:
$groupName = 'mdiUsr01Group'
$groupDescription = 'Members of this group are allowed to read the objects in the Deleted Objects container in AD'
if(Get-ADServiceAccount -Identity $Identity -ErrorAction SilentlyContinue) {
    $groupParams = @{
        Name           = $groupName
        SamAccountName = $groupName
        DisplayName    = $groupName
        GroupCategory  = 'Security'
        GroupScope     = 'Universal'
        Description    = $groupDescription
    }
    $group = New-ADGroup @groupParams -PassThru
    Add-ADGroupMember -Identity $group -Members ('{0}$' -f $Identity)
    $Identity = $group.Name
}

# Get the deleted objects container's distinguished name:
$distinguishedName = ([adsi]'').distinguishedName.Value
$deletedObjectsDN = 'CN=Deleted Objects,{0}' -f $distinguishedName

# Take ownership on the deleted objects container:
$params = @("$deletedObjectsDN", '/takeOwnership')
C:\Windows\System32\dsacls.exe $params

# Grant the 'List Contents' and 'Read Property' permissions to the user or group:
$params = @("$deletedObjectsDN", '/G', ('{0}\{1}:LCRP' -f ([adsi]'').name.Value, $Identity))
C:\Windows\System32\dsacls.exe $params
  
# To remove the permissions, uncomment the next 2 lines and run them instead of the two prior ones:
# $params = @("$deletedObjectsDN", '/R', ('{0}\{1}' -f ([adsi]'').name.Value, $Identity))
# C:\Windows\System32\dsacls.exe $params

Дополнительные сведения см. в разделе "Изменение разрешений" в контейнере удаленных объектов.

Убедитесь, что учетная запись gMSA имеет необходимые права

Служба датчиков Defender для удостоверений, датчик Расширенной защиты от угроз Azure выполняется в качестве локальной службы и выполняет олицетворение учетной записи DSA. Олицетворение завершится ошибкой, если политика входа в качестве службы настроена, но разрешение не было предоставлено учетной записи gMSA. В таких случаях вы увидите следующую проблему работоспособности: учетные данные пользователей служб каталогов неверны.

Если вы видите это оповещение, рекомендуется проверка, чтобы узнать, настроена ли политика входа в качестве службы. Если необходимо настроить вход в качестве политики службы , сделайте это либо в параметре групповой политики, либо в локальной политике безопасности.

  • Чтобы проверка локальную политику, запустите secpol.msc и выберите "Локальные политики". В разделе "Назначение прав пользователя" перейдите в журнал в качестве параметра политики службы. Например:

    Снимок экрана: вход в качестве свойства службы.

    Если политика включена, добавьте учетную запись gMSA в список учетных записей, которые могут войти в систему как услуга.

  • Чтобы проверка, если параметр настроен в групповой политике: запустите rsop.msc и просмотрите, выбрана ли конфигурация компьютера —> Windows Параметры> — безопасность Параметры —> локальные политики> — назначение прав пользователей —> вход в качестве политики службы. Например:

    Снимок экрана: вход в качестве политики службы в редакторе управления групповыми политиками.

    Если параметр настроен, добавьте учетную запись gMSA в список учетных записей, которые могут войти в систему в качестве службы в редакторе управления групповыми политиками.

Примечание.

Если вы используете редактор управления групповыми политиками для настройки входа в качестве параметра службы, убедитесь, что вы добавили как NT Service\All Services, так и созданную учетную запись gMSA.

Настройка учетной записи службы каталогов в XDR в Microsoft Defender

Чтобы подключить датчики к доменам Active Directory, необходимо настроить учетные записи службы каталогов в XDR в Microsoft Defender.

  1. В Microsoft Defender XDR перейдите к Параметры > удостоверениям. Например:

    Снимок экрана: параметры удостоверений в XDR в Microsoft Defender.

  2. Выберите учетные записи службы каталогов. Вы увидите, какие учетные записи связаны с доменами. Например:

    Снимок экрана: страница учетных записей службы каталогов.

  3. Чтобы добавить учетные данные учетной записи службы каталогов, выберите "Добавить учетные данные" и введите имя учетной записи, домен и пароль созданной ранее учетной записи. Вы также можете выбрать, является ли она учетной записью управляемой группы (gMSA), и если она принадлежит к домену одной метки. Например:

    Снимок экрана: панель добавления учетных данных.

    Поле Комментарии
    Имя учетной записи (обязательно) Введите имя пользователя AD только для чтения. Например: DefenderForIdentityUser.

    — Необходимо использовать стандартную учетную запись ПОЛЬЗОВАТЕЛЯ AD или gMSA.
    - Не используйте формат имени участника-пользователя.
    — При использовании gMSA строка пользователя должна заканчиваться $ знаком. Например: mdisvc$

    ПРИМЕЧАНИЕ. Рекомендуется избегать использования учетных записей, назначенных определенным пользователям.
    Пароль (требуется для стандартных учетных записей пользователей AD) Только для учетных записей пользователей AD создайте надежный пароль для пользователя только для чтения. Например: PePR!BZ&}Y54UpC3aB.
    Группировать управляемую учетную запись службы (требуется для учетных записей gMSA) Для учетных записей gMSA выберите только управляемую учетную запись службы группы.
    Домен (обязательный) Введите домен для пользователя, доступного только для чтения. Например, contoso.com.

    Важно ввести полное полное доменное имя домена, в котором находится пользователь. Например, если учетная запись пользователя находится в домене corp.contoso.com, необходимо ввести corp.contoso.com не contoso.comтак.

    Дополнительные сведения см. в статье о поддержке Майкрософт для доменов отдельных меток.

  4. Выберите Сохранить.

  5. (Необязательно) Если выбрать учетную запись, откроется панель сведений с параметрами для этой учетной записи. Например:

    Снимок экрана: область сведений о учетной записи.

Примечание.

Эту же процедуру можно использовать для изменения пароля для стандартных учетных записей пользователей Active Directory. Для учетных записей gMSA нет набора паролей.

Устранение неполадок

Дополнительные сведения см. в разделе "Датчик" не удалось получить учетные данные gMSA.

Следующий шаг

Настройка SAM-R для включения обнаружения пути бокового перемещения в Microsoft Defender для удостоверений »