Kimlik için Microsoft Defender için Dizin Hizmeti Hesapları
Bu makalede, Kimlik için Microsoft Defender'nin Dizin Hizmeti Hesaplarını (DSA) nasıl kullandığı açıklanmaktadır.
Not
Yapılandırılan Dizin Hizmeti Hesapları ne olursa olsun, algılayıcı hizmeti LocalService kimliği altında, güncelleştirici hizmeti de LocalSystem kimliği altında çalışır.
Bazı senaryolarda DSA isteğe bağlıdır ancak tam güvenlik kapsamı için Kimlik için Defender için DSA yapılandırmanızı öneririz.
Örneğin, yapılandırılmış bir DSA'nız olduğunda, başlangıçta etki alanı denetleyicisine bağlanmak için DSA kullanılır. DSA, ağ trafiğinde, izlenen olaylarda ve izlenen ETW etkinliklerinde görülen varlıklardaki veriler için etki alanı denetleyicisini sorgulamak için de kullanılabilir
Aşağıdaki özellikler ve işlevler için DSA gereklidir:
AD FS / AD CS sunucusunda yüklü bir algılayıcıyla çalışırken.
Ağa yapılan bir SAM-R çağrısı aracılığıyla ağ trafiğinde, olaylarda ve ETW etkinliklerinde görülen cihazlardan yerel yönetici grupları için üye listeleri isteme. Toplanan veriler olası yanal hareket yollarını hesaplamak için kullanılır.
Silinen kullanıcılar ve bilgisayarlar hakkında bilgi toplamak için DeletedObjects kapsayıcısına erişme.
Algılayıcı başlangıcında ve 10 dakikada bir tekrarlanan etki alanı ve güven eşlemesi.
Diğer etki alanlarındaki varlıklardan etkinlikleri algılarken ayrıntılar için LDAP aracılığıyla başka bir etki alanını sorgulama.
Tek bir DSA kullanırken, DSA'nın ormanlardaki tüm etki alanları için Okuma izinlerine sahip olması gerekir. Güvenilmeyen, çok ormanlı bir ortamda, her orman için bir DSA hesabı gerekir.
Her etki alanındaki bir algılayıcı, etki alanı eşitleyicisi olarak tanımlanır ve etki alanındaki varlıklardaki değişiklikleri izlemekle sorumludur. Örnekler için değişiklikler oluşturulan nesneleri, Kimlik için Defender tarafından izlenen varlık özniteliklerini vb. içerebilir.
Not
Varsayılan olarak, Kimlik için Defender en fazla 30 kimlik bilgilerini destekler. Daha fazla kimlik bilgisi eklemek için Kimlik için Defender desteğine başvurun.
Desteklenen DSA hesabı seçenekleri
Kimlik için Defender aşağıdaki DSA seçeneklerini destekler:
Seçenek | Açıklama | Yapılandırma |
---|---|---|
Grup Yönetilen Hizmet Hesabı gMSA (Önerilen) | Daha güvenli bir dağıtım ve parola yönetimi sağlar. Active Directory, bir bilgisayar hesabının parolası gibi hesabın parolasının oluşturulmasını ve döndürülünü yönetir ve hesabın parolasının ne sıklıkta değiştirileceğini denetleyebilirsiniz. | Daha fazla bilgi için bkz . gMSA ile Kimlik için Defender için Dizin Hizmeti Hesabı Yapılandırma. |
Normal kullanıcı hesabı | Başlarken kullanımı kolay ve güvenilen ormanlar arasında Okuma izinlerini yapılandırmak daha kolaydır, ancak parola yönetimi için ek yük gerektirir. Parola oluşturmanızı ve yönetmenizi gerektirdiğinden normal bir kullanıcı hesabı daha az güvenlidir ve parolanın süresi dolarsa ve hem kullanıcı hem de DSA için güncelleştirilmezse kapalı kalma süresine yol açabilir. |
Active Directory'de, DeletedObjects kapsayıcısına yönelik izinler de dahil olmak üzere tüm nesneler için Okuma izinlerine sahip DSA olarak kullanmak üzere yeni bir hesap oluşturun. Daha fazla bilgi için bkz . Gerekli DSA izinlerini verme. |
Yerel hizmet hesabı | Yerel hizmet hesabı kullanıma hazır olarak kullanılır ve varsayılan olarak yapılandırılmış DSA olmadığında kullanılır. Not: |
None |
Not
Yerel hizmet hesabı algılayıcıyla varsayılan olarak kullanılır ve bazı senaryolarda DSA isteğe bağlıdır ancak tam güvenlik kapsamı için Kimlik için Defender için DSA yapılandırmanızı öneririz.
DSA giriş kullanımı
Bu bölümde DSA girişlerinin nasıl kullanıldığı ve algılayıcının belirli bir senaryoda bir DSA girişini nasıl seçtiği açıklanmaktadır. Sensör denemeleri, DSA girişinin türüne bağlı olarak farklılık gösterir:
Type | Açıklama |
---|---|
gMSA hesabı | Algılayıcı, Active Directory'den gMSA hesabı parolasını almayı dener ve ardından etki alanında oturum açar. |
Normal kullanıcı hesabı | Algılayıcı, yapılandırılan kullanıcı adı ve parolayı kullanarak etki alanında oturum açmayı dener. |
Aşağıdaki mantık uygulanır:
Algılayıcı, hedef etki alanının etki alanı adıyla tam eşleşmesi olan bir girdi arar. Tam eşleşme bulunursa algılayıcı, bu girdideki kimlik bilgilerini kullanarak kimlik doğrulamayı dener.
Tam eşleşme yoksa veya kimlik doğrulaması başarısız olduysa, algılayıcı DNS FQDN kullanarak üst etki alanına giriş için listede arama yapar ve bunun yerine üst girdideki kimlik bilgilerini kullanarak kimlik doğrulamayı dener.
Üst etki alanı için bir girdi yoksa veya kimlik doğrulaması başarısız olduysa algılayıcı, DNS FQDN'sini kullanarak listede eşdüzey etki alanı girdisi arar ve bunun yerine eşdüzey girdideki kimlik bilgilerini kullanarak kimlik doğrulamayı dener.
Eşdüzey etki alanı için bir giriş yoksa veya kimlik doğrulaması başarısız olduysa, algılayıcı listeyi yeniden inceler ve başarılı olana kadar her girişle yeniden kimlik doğrulaması yapmaya çalışır. DSA gMSA girişleri, normal DSA girişlerinden daha yüksek önceliğe sahiptir.
DSA ile örnek mantık
Bu bölümde, hem gMSA hesabı hem de normal hesap dahil olmak üzere birden fazla hesabınız olduğunda algılayıcının DSA'nın tamamını nasıl deneyeceğini gösteren bir örnek sağlanır.
Aşağıdaki mantık uygulanır:
Algılayıcı, gibi hedef etki alanının DNS etki alanı adı ile gibi
emea.contoso.com
DSA gMSA girişiemea.contoso.com
arasında bir eşleşme arar.Algılayıcı,
emea.contoso.com
hedef etki alanının DNS etki alanı adı ile DSA normal girişi DSA arasında bir eşleşme arar; örneğin,emea.contoso.com
Algılayıcı, hedef etki alanının kök DNS adında ( gibi
emea.contoso.com
) ve gibi DSA gMSA giriş etki alanı adındacontoso.com
bir eşleşme arar.Algılayıcı, hedef etki alanının kök DNS adında ( gibi
emea.contoso.com
) ve gibi DSA normal giriş etki alanı adındacontoso.com
bir eşleşme arar.Algılayıcı, gibi
emea.contoso.com
bir eşdüzey etki alanı için hedef etki alanı adını ve gibiapac.contoso.com
DSA gMSA giriş etki alanı adını arar.Algılayıcı, gibi bir eşdüzey etki alanı için hedef etki alanı
emea.contoso.com
adını ve gibiapac.contoso.com
DSA normal giriş etki alanı adını arar.Algılayıcı, tüm DSA gMSA girişlerini hepsini bir kez deneme çalıştırır.
Algılayıcı, tüm DSA normal girişlerini hepsini bir kez denemeyi çalıştırır.
Bu örnekte gösterilen mantık aşağıdaki yapılandırmayla uygulanır:
DSA girişleri:
DSA1.emea.contoso.com
DSA2.fabrikam.com
Algılayıcılar ve ilk olarak kullanılan DSA girişi:
Etki alanı denetleyicisi FQDN Kullanılan DSA girdisi DC01.emea.contoso.com
DSA1.emea.contoso.com
DC02.contoso.com
DSA1.emea.contoso.com
DC03.fabrikam.com
DSA2.fabrikam.com
DC04.contoso.local
Dönüşümlü dağıtım
Önemli
Algılayıcı başlangıçta Active Directory etki alanında LDAP aracılığıyla başarıyla kimlik doğrulaması yapamıyorsa algılayıcı çalışır duruma girmez ve bir sistem durumu sorunu oluşturulur. Daha fazla bilgi için bkz . Kimlik durumu sorunları için Defender.
Gerekli DSA izinlerini verme
DSA, Silinmiş Nesneler Kapsayıcısı da dahil olmak üzere Active Directory'deki tüm nesneler üzerinde salt okunur izinler gerektirir.
Silinmiş Nesneler kapsayıcısı üzerindeki salt okunur izinler, Kimlik için Defender'ın Active Directory'nizden kullanıcı silmeleri algılamasına olanak tanır.
gMSA hesabı kullanıp kullanmadığınız fark etmeksizin Silinmiş Nesneler kapsayıcısı üzerinde gerekli okuma izinlerini vermenize yardımcı olması için aşağıdaki kod örneğini kullanın.
İpucu
İzin vermek istediğiniz DSA bir Grup Yönetilen Hizmet Hesabı (gMSA) ise, önce bir güvenlik grubu oluşturmanız, gMSA'yı üye olarak eklemeniz ve izinleri bu gruba eklemeniz gerekir. Daha fazla bilgi için bkz . gMSA ile Kimlik için Defender için Dizin Hizmeti Hesabı Yapılandırma.
# Declare the identity that you want to add read access to the deleted objects container:
$Identity = 'mdiSvc01'
# If the identity is a gMSA, first to create a group and add the gMSA to it:
$groupName = 'mdiUsr01Group'
$groupDescription = 'Members of this group are allowed to read the objects in the Deleted Objects container in AD'
if(Get-ADServiceAccount -Identity $Identity -ErrorAction SilentlyContinue) {
$groupParams = @{
Name = $groupName
SamAccountName = $groupName
DisplayName = $groupName
GroupCategory = 'Security'
GroupScope = 'Universal'
Description = $groupDescription
}
$group = New-ADGroup @groupParams -PassThru
Add-ADGroupMember -Identity $group -Members ('{0}$' -f $Identity)
$Identity = $group.Name
}
# Get the deleted objects container's distinguished name:
$distinguishedName = ([adsi]'').distinguishedName.Value
$deletedObjectsDN = 'CN=Deleted Objects,{0}' -f $distinguishedName
# Take ownership on the deleted objects container:
$params = @("$deletedObjectsDN", '/takeOwnership')
C:\Windows\System32\dsacls.exe $params
# Grant the 'List Contents' and 'Read Property' permissions to the user or group:
$params = @("$deletedObjectsDN", '/G', ('{0}\{1}:LCRP' -f ([adsi]'').name.Value, $Identity))
C:\Windows\System32\dsacls.exe $params
# To remove the permissions, uncomment the next 2 lines and run them instead of the two prior ones:
# $params = @("$deletedObjectsDN", '/R', ('{0}\{1}' -f ([adsi]'').name.Value, $Identity))
# C:\Windows\System32\dsacls.exe $params
Daha fazla bilgi için bkz . Silinen nesne kapsayıcısı üzerindeki izinleri değiştirme.
PowerShell aracılığıyla DSA izinlerinizi ve temsilcilerinizi test edin
DSA'nızın güçlü yönetici izinleri gibi çok fazla izne sahip olmadığını doğrulamak için aşağıdaki PowerShell komutunu kullanın:
Test-MDIDSA [-Identity] <String> [-Detailed] [<CommonParameters>]
Örneğin, mdiSvc01 hesabının izinlerini denetlemek ve tüm ayrıntıları sağlamak için şunu çalıştırın:
Test-MDIDSA -Identity "mdiSvc01" -Detailed
Daha fazla bilgi için bkz . DefenderForIdentity PowerShell başvurusu.