Настройка учетных записей действий Microsoft Defender для удостоверений

Defender для удостоверений позволяет выполнять действия по исправлению, предназначенные для учетных записей локальная служба Active Directory в случае компрометации удостоверения. Чтобы выполнить эти действия, Microsoft Defender для удостоверений должны иметь необходимые разрешения для этого.

По умолчанию датчик Microsoft Defender для удостоверений олицетворяет LocalSystem учетную запись контроллера домена и выполняет действия, включая атаки, которые нарушают сценарии из XDR в Microsoft Defender.

Если вам нужно изменить это поведение, настройте выделенный gMSA и область необходимые разрешения. Рассмотрим пример.

Примечание.

Использование выделенной gMSA в качестве учетной записи действия является необязательным. Рекомендуется использовать параметры по умолчанию для учетной LocalSystem записи.

Рекомендации по учетным записям действий

Рекомендуется избегать использования той же учетной записи gMSA, настроенной для управляемых действий Defender для удостоверений на серверах, отличных от контроллеров домена. Если вы используете ту же учетную запись и сервер скомпрометирован, злоумышленник может получить пароль для учетной записи и получить возможность изменять пароли и отключать учетные записи.

Кроме того, рекомендуется избегать использования той же учетной записи, что и учетная запись службы каталогов, и учетная запись "Управление действием". Это связано с тем, что для учетной записи службы каталогов требуются только разрешения только для чтения в Active Directory, а учетные записи управления действиями требуют разрешения на запись учетных записей пользователей.

Если у вас несколько лесов, учетная запись управляемого действия gMSA должна быть доверена во всех лесах или создать отдельную учетную запись для каждого леса. Дополнительные сведения см. в Microsoft Defender для удостоверений поддержке нескольких лесов.

Создание и настройка определенной учетной записи действия

1. Создайте новую учетную запись gMSA. Дополнительные сведения см. в статье "Начало работы с управляемыми учетными записями служб группы".

2. Назначьте вход в качестве службы право учетной записи gMSA на каждом контроллере домена, на котором запущен датчик Defender для удостоверений.

3. Предоставьте необходимые разрешения учетной записи gMSA следующим образом:

   1. Откройте оснастку Пользователи и компьютеры Active Directory.

   2. Щелкните правой кнопкой мыши соответствующий домен или подразделение и выберите пункт "Свойства". Например:

      

   3. Перейдите на вкладку "Безопасность " и выберите "Дополнительно". Например:

      

   4. Выберите "Добавить>субъект". Например:

      

   5. Убедитесь, что учетные записи службы помечены в типах объектов. Например:

      

   6. В поле "Введите имя объекта" для выбора, введите имя учетной записи gMSA и нажмите кнопку "ОК".

   7. В поле "Область применения" выберите объекты "Потомок", оставьте существующие параметры и добавьте разрешения и свойства, показанные в следующем примере:

      

      Необходимые разрешения:

      Действие	Разрешения	Свойства
      Включение принудительного сброса пароля	Введите новый пароль	- Read pwdLastSet - Write pwdLastSet
      Отключение пользователя	-	- Read userAccountControl - Write userAccountControl

   8. (Необязательно) В поле "Область применения" выберите объекты "Группа потомков" и задайте следующие свойства:

      • Read members
      • Write members

   9. Нажмите ОК.

Добавление учетной записи gMSA на портале Microsoft Defender

1. Перейдите на портал Microsoft Defender и выберите Параметры ->Удостоверения Microsoft Defender для удостоверений> Управляемые> учетные> записи действий+Создать новую учетную запись.

   Например:

   

2. Введите имя учетной записи и домен и нажмите кнопку "Сохранить".

Учетная запись действия указана на странице "Управление учетными записями действий".

Связанный контент

Дополнительные сведения см. в разделе "Действия по исправлению" в Microsoft Defender для удостоверений.