Sdílet prostřednictvím

Konfigurace účtů akcí Microsoft Defender for Identity

  • Článek

Defender for Identity umožňuje provádět nápravné akce, jejichž cílem je místní Active Directory účty v případě ohrožení identity. K provedení těchto akcí Microsoft Defender for Identity musí mít požadovaná oprávnění.

Senzor Microsoft Defender for Identity ve výchozím nastavení zosobňuje LocalSystem účet řadiče domény a provádí akce, včetně scénářů narušení útoku z Microsoft Defender XDR.

Pokud potřebujete toto chování změnit, nastavte vyhrazenou sadu gMSA a vymezujte potřebná oprávnění. Příklady:

Snímek obrazovky s kartou Spravovat účty akcí

Poznámka

Použití vyhrazeného účtu gMSA jako účtu akce je volitelné. Doporučujeme použít výchozí nastavení účtu LocalSystem .

Osvědčené postupy pro účty akcí

Doporučujeme nepoužívat stejný účet gMSA, který jste nakonfigurovali pro akce spravované službou Defender for Identity na jiných serverech než řadičích domény. Pokud použijete stejný účet a dojde k ohrožení zabezpečení serveru, útočník by mohl načíst heslo k účtu a získat možnost změnit hesla a zakázat účty.

Doporučujeme také nepoužívat stejný účet jako účet adresářové služby a účet Spravovat akci. Důvodem je to, že účet adresářové služby vyžaduje pouze oprávnění jen pro čtení služby Active Directory a účty Spravovat akce vyžadují oprávnění k zápisu uživatelských účtů.

Pokud máte více doménových struktur, musí být váš účet spravovaných akcí gMSA důvěryhodný ve všech vašich doménových strukturách nebo vytvořit samostatný účet pro každou doménovou strukturu. Další informace najdete v tématu podpora Microsoft Defender for Identity více doménových struktur.

Vytvoření a konfigurace konkrétního účtu akce

  1. Vytvořte nový účet gMSA. Další informace najdete v tématu Začínáme se skupinovými účty spravované služby.

  2. Přiřaďte oprávnění Přihlásit se jako služba k účtu gMSA na každém řadiči domény, na kterém běží senzor Defenderu for Identity.

  3. Následujícím způsobem udělte účtu gMSA požadovaná oprávnění:

    1. Otevřete Uživatelé a počítače služby Active Directory.

    2. Klikněte pravým tlačítkem na příslušnou doménu nebo organizační jednotky a vyberte Vlastnosti. Příklady:

      Snímek obrazovky s výběrem vlastností domény nebo organizační jednotky

    3. Přejděte na kartu Zabezpečení a vyberte Upřesnit. Příklady:

      Snímek obrazovky s pokročilým nastavením zabezpečení

    4. Vyberte Přidat>Vyberte objekt zabezpečení. Příklady:

      Snímek obrazovky s výběrem objektu zabezpečení

    5. Ujistěte se, že jsou účty služby označené v typech objektů. Příklady:

      Snímek obrazovky s výběrem účtů služeb jako typů objektů

    6. Do pole Zadejte název objektu k výběru zadejte název účtu gMSA a vyberte OK.

    7. V poli Platí pro vyberte Objekty potomků uživatelů, ponechte existující nastavení a přidejte oprávnění a vlastnosti zobrazené v následujícím příkladu:

      Snímek obrazovky s nastavením oprávnění a vlastností

      Mezi požadovaná oprávnění patří:

      Akce Oprávnění Vlastnosti
      Povolení vynucení resetování hesla Resetujte heslo. - Read pwdLastSet
      - Write pwdLastSet
      Zakázání uživatele - - Read userAccountControl
      - Write userAccountControl

    8. (Volitelné) V poli Platí pro vyberte Objekty následné skupiny a nastavte následující vlastnosti:

      • Read members
      • Write members

    9. Vyberte OK.

Přidání účtu gMSA na portálu Microsoft Defender

  1. Přejděte na portál Microsoft Defender a vyberte Nastavení ->Identity>Microsoft Defender for Identity>Správa účtů> akcí+Vytvořit nový účet.

    Příklady:

    Snímek obrazovky s tlačítkem Vytvořit nový účet

  2. Zadejte název účtu a doménu a vyberte Uložit.

Váš účet akce je uvedený na stránce Spravovat účty akcí .

Související obsah

Další informace najdete v tématu Nápravné akce v Microsoft Defender for Identity.