設定 適用於身分識別的 Microsoft Defender 動作帳戶

  • 文章

適用於身分識別的Defender可讓您在身分識別遭到入侵時,採取以 內部部署的 Active Directory 帳戶為目標的補救動作。 若要採取這些動作,適用於身分識別的 Microsoft Defender 必須具備執行此動作所需的許可權。

根據預設,適用於身分識別的 Microsoft Defender 感測器會模擬LocalSystem域控制器的帳戶並執行動作,包括攻擊中斷 Microsoft Defender 全面偵測回應 的案例。

如果您需要變更此行為,請設定專用的 gMSA,並設定您需要的許可權。 例如:

Screenshot of the Manage action accounts tab.

注意

使用專用 gMSA 作為動作帳戶是選擇性的。 建議您使用帳戶的預設設定 LocalSystem

動作帳戶的最佳做法

建議您避免在域控制器以外的伺服器上,使用針對適用於身分識別的 Defender 所設定的相同 gMSA 帳戶。 如果您使用相同的帳戶且伺服器遭到入侵,攻擊者可能會擷取帳戶的密碼,並取得變更密碼並停用帳戶的能力。

我們也建議您避免使用與目錄服務帳戶和管理動作帳戶相同的帳戶。 這是因為目錄服務帳戶只需要 Active Directory 的唯讀許可權,而管理動作帳戶需要使用者帳戶的寫入許可權。

如果您有多個樹系,您的 gMSA 受控動作帳戶必須受到所有樹系的信任,或為每個樹系建立個別的樹系。 如需詳細資訊,請參閱 適用於身分識別的 Microsoft Defender 多樹系支援

建立及設定特定動作帳戶

  1. 建立新的 gMSA 帳戶。 如需詳細資訊,請參閱 開始使用群組受管理的服務帳戶

  2. [以服務 身分登入] 指派給執行適用於身分識別的Defender感測器的每個域控制器上的 gMSA 帳戶。

  3. 將所需的許可權授與 gMSA 帳戶,如下所示:

    1. 開啟 [Active Directory 使用者及電腦]。

    2. 以滑鼠右鍵按兩下相關的網域或 OU,然後選取 [ 屬性]。 例如:

      Screenshot of selecting domain or OU properties.

    3. 移至 [ 安全性] 索引標籤,然後選取 [ 進階]。 例如:

      Screenshot of the advanced security settings.

    4. 選取 [新增>] 選取主體。 例如:

      Screenshot of selecting a principal.

    5. 請確定服務帳戶已在物件類型標示。 例如:

      Screenshot oof selecting service accounts as object types.

    6. 在 [ 輸入要選取 的物件名稱] 方塊中,輸入 gMSA 帳戶的名稱,然後選取 [ 確定]。

    7. 在 [ 套用至] 字段中,選取 [子系用戶物件]、保留現有的設定,然後新增下列範例中顯示的許可權和屬性:

      Screenshot of setting permissions and properties.

      必要權限包括:

      動作 權限 屬性
      啟用強制密碼重設 重設密碼 - Read pwdLastSet
      - Write pwdLastSet
      停用使用者 - - Read userAccountControl
      - Write userAccountControl

    8. (選擇性)在 [ 套用至] 字段中,選取 [子系群組] 對象 並設定下列屬性:

      • Read members
      • Write members

    9. 選取 [確定]。

在 Microsoft Defender 入口網站中新增 gMSA 帳戶

  1. 移至 Microsoft Defender 入口網站,然後選取 [設定 ->Identities> 適用於身分識別的 Microsoft Defender> 管理動作帳戶>+建立新帳戶。

    例如:

    Screenshot of the Create new account button.

  2. 輸入帳戶名稱和網域,然後選取 [ 儲存]。

您的動作帳戶會列在 [ 管理動作帳戶 ] 頁面上。

相關內容

如需詳細資訊,請參閱 適用於身分識別的 Microsoft Defender 中的補救動作。