配置 Microsoft Defender for Identity 操作帐户

  • 项目

Defender for Identity 允许在身份遭到入侵时采取针对本地 Active Directory帐户的修正操作。 要执行这些操作,Microsoft Defender for Identity 需要具有执行此操作所需的权限。

默认情况下,Microsoft Defender for Identity 传感器模拟域控制器的 LocalSystem 帐户并执行操作,包括 Microsoft Defender XDR 中的攻击中断应用场景

如果需要更改此行为,设置专用 gMSA 并限定所需的权限。 例如:

Screenshot of the Manage action accounts tab.

注意

可选择将专用 gMSA 用作操作帐户。 建议使用 LocalSystem 帐户的默认设置。

适用于操作帐户的最佳做法

建议避免在域控制器以外的服务器上使用为 Defender for Identity 托管操作配置的同一 gMSA 帐户。 如果使用同一帐户并且服务器遭到入侵,攻击者可以检索帐户的密码,并能够更改密码和禁用帐户。

我们还建议避免将同一帐户用作目录服务帐户和管理操作帐户。 这是因为目录服务帐户只需 Active Directory 的只读权限,而管理操作帐户需要用户帐户的写入权限。

如果你具有多个林,则 gMSA 托管操作帐户必须在所有林中受信任,或为每个林创建一个单独的帐户。 有关详细信息,请参阅 Microsoft Defender for Identity 多林支持

创建和配置特定操作帐户

  1. 创建新的 gMSA 帐户。 有关详细信息,请参阅组托管服务帐户入门

  2. 作为服务登录权限分配给每个域控制器上运行 Defender for Identity 传感器的 gMSA 帐户。

  3. 如下所示向 gMSA 帐户授予所需的权限:

    1. 打开 Active Directory 用户和计算机

    2. 右键单击相关域或 OU,然后选择属性。 例如:

      Screenshot of selecting domain or OU properties.

    3. 转至安全选项卡,然后选择高级。 例如:

      Screenshot of the advanced security settings.

    4. 选择添加>选择主体。 例如:

      Screenshot of selecting a principal.

    5. 确保在对象类型标记了服务帐户。 例如:

      Screenshot oof selecting service accounts as object types.

    6. 输入要选择的对象名称框中,输入 gMSA 帐户的名称,然后选择确定

    7. 应用对象字段中,选择后代用户对象,保留现有设置,然后添加以下示例所示的权限和属性:

      Screenshot of setting permissions and properties.

      所需的权限包括:

      操作 权限 属性
      启用强制重置密码 重置密码 - Read pwdLastSet
      - Write pwdLastSet
      禁用用户 - - Read userAccountControl
      - Write userAccountControl

    8. (可选)在应用对象字段中,选择后代组对象,然后设置以下属性:

      • Read members
      • Write members

    9. 选择“确定”

在 Microsoft Defender 门户中添加 gMSA 帐户

  1. 转至 Microsoft Defender 门户,然后选择设置 ->标识>Microsoft Defender for Identity>管理操作帐户>+新建帐户

    例如:

    Screenshot of the Create new account button.

  2. 输入帐户名称和域,然后选择保存

操作帐户在管理操作帐户页面中列出。

相关内容

有关详细信息,请参阅 Microsoft Defender for Identity 中的修正操作