Sdílet prostřednictvím

Účty adresářové služby pro Microsoft Defender for Identity

  • Článek

Tento článek popisuje, jak Microsoft Defender for Identity používá účty adresářové služby (DSA).

Poznámka

Bez ohledu na nakonfigurované účty adresářové služby bude služba senzoru fungovat pod identitou LocalService a aktualizační služba bude fungovat pod identitou LocalSystem.

V některých scénářích je dsa sice volitelný, ale doporučujeme nakonfigurovat DSA pro Defender for Identity pro zajištění úplného zabezpečení.

Pokud máte například nakonfigurovaný dsa, použije se dsa pro připojení k řadiči domény při spuštění. DsA je také možné použít k dotazování řadiče domény na data o entitách, které se zobrazují v síťovém provozu, monitorovaných událostech a monitorovaných aktivitách Trasování událostí pro Windows.

Správce dsa se vyžaduje pro následující funkce a funkce:

  • Při práci se senzorem nainstalovaným na serveru AD FS / AD CS.

  • Seznamy žádostí o členy pro místní skupiny správců ze zařízení, která se zobrazují v síťovém provozu, událostech a aktivitách Trasování událostí pro Windows, prostřednictvím volání SAM-R provedeného do zařízení. Shromážděná data se používají k výpočtu potenciálních cest laterálního pohybu.

  • Přístup ke kontejneru DeletedObjects za účelem shromažďování informací o odstraněných uživatelích a počítačích

  • Mapování domény a vztahu důvěryhodnosti, ke kterému dochází při spuštění senzoru a znovu každých 10 minut.

  • Dotazování na podrobnosti v jiné doméně prostřednictvím protokolu LDAP při zjišťování aktivit z entit v těchto jiných doménách

Pokud používáte jednoho dsa, musí mít dsa oprávnění ke čtení ke všem doménám v doménových strukturách. V nedůvěryhodném prostředí s více doménovými strukturami se pro každou doménovou strukturu vyžaduje účet DSA.

Jeden senzor v každé doméně je definován jako synchronizátor domény a zodpovídá za sledování změn entit v doméně. Změny můžou například zahrnovat vytvořené objekty, atributy entit sledované službou Defender for Identity atd.

Poznámka

Defender for Identity ve výchozím nastavení podporuje až 30 přihlašovacích údajů. Pokud chcete přidat další přihlašovací údaje, kontaktujte podporu Defenderu for Identity.

Podporované možnosti účtu DSA

Defender for Identity podporuje následující možnosti DSA:

Možnost Popis Konfigurace
Skupinový účet spravované služby gMSA (doporučeno) Poskytuje bezpečnější nasazení a správu hesel. Služba Active Directory spravuje vytváření a obměny hesla účtu stejně jako heslo účtu počítače a vy můžete řídit, jak často se heslo účtu mění. Další informace najdete v tématu Konfigurace účtu adresářové služby pro Defender for Identity pomocí gMSA.
Běžný uživatelský účet Snadné použití při zahájení práce a jednodušší konfigurace oprávnění ke čtení mezi důvěryhodnými doménovými strukturami, ale vyžaduje dodatečné režijní náklady na správu hesel.

Běžný uživatelský účet je méně bezpečný, protože vyžaduje vytváření a správu hesel a může vést k výpadku, pokud vyprší platnost hesla a neaktualizuje se pro uživatele i správce dat.		 Vytvořte ve službě Active Directory nový účet, který bude používat jako správce služby DSA s oprávněními ke čtení všech objektů, včetně oprávnění ke kontejneru DeletedObjects . Další informace najdete v tématu Udělení požadovaných oprávnění DSA.
Účet místní služby Místní účet služby se používá automaticky a ve výchozím nastavení se používá, pokud není nakonfigurovaný žádný správce služby.
Poznámka:
  • Dotazy SAM-R na potenciální cesty laterálního pohybu, které se v tomto scénáři nepodporují.
  • Dotazy ldap pouze v rámci domény, ve které je senzor nainstalovaný. Dotazy na jiné domény ve stejné doménové struktuře nebo mezi doménami selžou.
    		•  Žádné

    Poznámka

    I když se účet místní služby používá se senzorem ve výchozím nastavení a dsa je v některých scénářích volitelný, doporučujeme nakonfigurovat DSA pro Defender for Identity pro úplné zabezpečení.

    Využití položky DSA

    Tato část popisuje, jak se používají položky DSA a jak senzor vybere položku DSA v libovolném scénáři. Pokusy o senzor se liší v závislosti na typu položky DSA:

    Typ Popis
    Účet gMSA Senzor se pokusí načíst heslo účtu gMSA ze služby Active Directory a pak se přihlásí k doméně.
    Běžný uživatelský účet Senzor se pokusí přihlásit k doméně pomocí nakonfigurovaného uživatelského jména a hesla.

    Použije se následující logika:

    1. Senzor vyhledá položku s přesnou shodou názvu domény pro cílovou doménu. Pokud se najde přesná shoda, senzor se pokusí ověřit pomocí přihlašovacích údajů v dané položce.

    2. Pokud neexistuje přesná shoda nebo pokud se ověření nezdařilo, senzor vyhledá v seznamu položku do nadřazené domény pomocí plně kvalifikovaného názvu domény DNS a místo toho se pokusí provést ověření pomocí přihlašovacích údajů v nadřazené položce.

    3. Pokud není k dispozici položka pro nadřazenou doménu nebo pokud se ověření nezdařilo, senzor vyhledá v seznamu položku domény na stejné straně pomocí plně kvalifikovaného názvu domény DNS a místo toho se pokusí provést ověření pomocí přihlašovacích údajů v položce na stejné položce.

    4. Pokud není k dispozici záznam pro doménu na stejné platformě nebo pokud se ověření nezdařilo, senzor znovu zkontroluje seznam a pokusí se znovu ověřit každou položku, dokud nebude úspěšná. Položky dsa gMSA mají vyšší prioritu než běžné položky DSA.

    Ukázková logika s dsa

    Tato část obsahuje příklad, jak senzor zkouší dsa celek, když máte více účtů, včetně účtu gMSA i běžného účtu.

    Použije se následující logika:

    1. Senzor hledá shodu mezi názvem domény DNS cílové domény, například emea.contoso.com a položkou DSA gMSA, například emea.contoso.com.

    2. Senzor hledá shodu mezi názvem domény DNS cílové domény, například emea.contoso.com a běžnou položkou DSA DSA, například emea.contoso.com

    3. Senzor hledá shodu v kořenovém názvu DNS cílové domény, například emea.contoso.com a názvu domény záznamu DSA gMSA, například contoso.com.

    4. Senzor hledá shodu v kořenovém názvu DNS cílové domény, například emea.contoso.com a v názvu domény pro běžnou položku DSA, například contoso.com.

    5. Senzor hledá název cílové domény pro doménu na stejné platformě, například emea.contoso.com a název domény záznamu DSA gMSA, například apac.contoso.com.

    6. Senzor hledá název cílové domény pro doménu na stejné platformě, jako emea.contoso.com je název domény dsa pro běžnou položku, například apac.contoso.com.

    7. Senzor spustí kruhové dotazování všech položek DSA gMSA.

    8. Senzor spouští kruhové dotazování všech pravidelných položek DSA.

    Logika zobrazená v tomto příkladu se implementuje s následující konfigurací:

    • Položky DSA:

      • DSA1.emea.contoso.com
      • DSA2.fabrikam.com

    • Senzory a položka DSA, která se používá jako první:

      Plně kvalifikovaný název domény řadiče domény Použitá položka DSA
      DC01.emea.contoso.com DSA1.emea.contoso.com
      DC02.contoso.com DSA1.emea.contoso.com
      DC03.fabrikam.com DSA2.fabrikam.com
      DC04.contoso.local Cyklická obsluha

    Důležité

    Pokud se senzor při spuštění nemůže úspěšně ověřit prostřednictvím protokolu LDAP k doméně služby Active Directory, nepřejde do stavu spuštěno a vygeneruje se problém se stavem. Další informace najdete v tématu Problémy se stavem služby Defender for Identity.

    Udělení požadovaných oprávnění DSA

    DsA vyžaduje oprávnění jen pro čtení pro všechny objekty ve službě Active Directory, včetně kontejneru Odstraněné objekty.

    Oprávnění jen pro čtení u kontejneru Odstraněné objekty umožňují službě Defender for Identity zjišťovat odstranění uživatelů ze služby Active Directory.

    Následující ukázka kódu vám pomůže udělit požadovaná oprávnění ke čtení kontejneru Odstraněné objekty bez ohledu na to, jestli používáte účet gMSA nebo ne.

    Tip

    Pokud je dsa, kterému chcete udělit oprávnění, účet spravované služby skupiny (gMSA), musíte nejprve vytvořit skupinu zabezpečení, přidat gMSA jako člena a přidat oprávnění k této skupině. Další informace najdete v tématu Konfigurace účtu adresářové služby pro Defender for Identity pomocí gMSA.

    # Declare the identity that you want to add read access to the deleted objects container:
$Identity = 'mdiSvc01'

# If the identity is a gMSA, first to create a group and add the gMSA to it:
$groupName = 'mdiUsr01Group'
$groupDescription = 'Members of this group are allowed to read the objects in the Deleted Objects container in AD'
if(Get-ADServiceAccount -Identity $Identity -ErrorAction SilentlyContinue) {
    $groupParams = @{
        Name           = $groupName
        SamAccountName = $groupName
        DisplayName    = $groupName
        GroupCategory  = 'Security'
        GroupScope     = 'Universal'
        Description    = $groupDescription
    }
    $group = New-ADGroup @groupParams -PassThru
    Add-ADGroupMember -Identity $group -Members ('{0}$' -f $Identity)
    $Identity = $group.Name
}

# Get the deleted objects container's distinguished name:
$distinguishedName = ([adsi]'').distinguishedName.Value
$deletedObjectsDN = 'CN=Deleted Objects,{0}' -f $distinguishedName

# Take ownership on the deleted objects container:
$params = @("$deletedObjectsDN", '/takeOwnership')
C:\Windows\System32\dsacls.exe $params

# Grant the 'List Contents' and 'Read Property' permissions to the user or group:
$params = @("$deletedObjectsDN", '/G', ('{0}\{1}:LCRP' -f ([adsi]'').name.Value, $Identity))
C:\Windows\System32\dsacls.exe $params
  
# To remove the permissions, uncomment the next 2 lines and run them instead of the two prior ones:
# $params = @("$deletedObjectsDN", '/R', ('{0}\{1}' -f ([adsi]'').name.Value, $Identity))
# C:\Windows\System32\dsacls.exe $params

    Další informace najdete v tématu Změna oprávnění u odstraněného kontejneru objektů.

    Testování oprávnění a delegování DSA prostřednictvím PowerShellu

    Pomocí následujícího příkazu PowerShellu ověřte, že váš správce služby DSA nemá příliš mnoho oprávnění, jako jsou například oprávnění výkonného správce:

    Test-MDIDSA [-Identity] <String> [-Detailed] [<CommonParameters>]

    Pokud například chcete zkontrolovat oprávnění pro účet mdiSvc01 a zadat úplné podrobnosti, spusťte příkaz:

    Test-MDIDSA -Identity "mdiSvc01" -Detailed

    Další informace najdete v referenčních informacích k PowerShellu DefenderForIdentity.

    Další krok

    Konfigurovat účet adresářové služby pro Defender for Identity s gMSA »