Konfigurer Microsoft Defender for Identity handlingskonti

Defender for Identity giver dig mulighed for at udføre afhjælpningshandlinger, der er målrettet Active Directory i det lokale miljø konti, hvis en identitet kompromitteres. Hvis du vil udføre disse handlinger, skal Microsoft Defender for Identity have de nødvendige tilladelser til at gøre det.

Som standard repræsenterer Microsoft Defender for Identity-sensoren LocalSystem domænecontrollerens konto og udfører handlingerne, herunder angrebsforstyrrende scenarier fra Microsoft Defender XDR.

Hvis du har brug for at ændre denne funktionsmåde, skal du konfigurere en dedikeret gMSA og tilpasse omfanget af de tilladelser, du har brug for. Det kan f.eks. være:

Bemærk!

Det er valgfrit at bruge en dedikeret gMSA som en handlingskonto. Vi anbefaler, at du bruger standardindstillingerne for LocalSystem kontoen.

Bedste fremgangsmåder for handlingskonti

Vi anbefaler, at du undgår at bruge den samme gMSA-konto, som du har konfigureret til handlinger, der administreres af Defender for Identity, på andre servere end domænecontrollere. Hvis du bruger den samme konto, og serveren er kompromitteret, kan en hacker hente adgangskoden til kontoen og få mulighed for at ændre adgangskoder og deaktivere konti.

Vi anbefaler også, at du undgår at bruge den samme konto som både adresselistekontoen og kontoen Administrer handling. Det skyldes, at katalogtjenestekontoen kun kræver skrivebeskyttede tilladelser til Active Directory, og at kontiene til administration af handlinger skal have skriverettigheder til brugerkonti.

Hvis du har flere skove, skal du have tillid til din gMSA-konto til administrerede handlinger i alle dine skove eller oprette en separat konto for hver skov. Du kan få flere oplysninger under Microsoft Defender for Identity understøttelse af flere områder.

Opret og konfigurer en bestemt handlingskonto

1. Opret en ny gMSA-konto. Du kan finde flere oplysninger under Introduktion til gruppeadministrerede tjenestekonti.

2. Tildel rettigheden Log på som en tjeneste til gMSA-kontoen på hver domænecontroller, der kører Defender for Identity-sensoren.

3. Tildel de nødvendige tilladelser til gMSA-kontoen på følgende måde:

   1. Åbn Active Directory-brugere og -computere.

   2. Højreklik på det relevante domæne eller den relevante organisationsenhed, og vælg Egenskaber. Det kan f.eks. være:

      

   3. Gå til fanen Sikkerhed, og vælg Avanceret. Det kan f.eks. være:

      

   4. Vælg Tilføj>Vælg en hovedkonto. Det kan f.eks. være:

      

   5. Kontrollér, at tjenestekonti er markeret i Objekttyper. Det kan f.eks. være:

      

   6. I feltet Angiv det objektnavn, du vil vælge skal du angive navnet på gMSA-kontoen og vælge OK.

   7. Vælg Underordnede brugerobjekter i feltet Gælder for, behold de eksisterende indstillinger, og tilføj de tilladelser og egenskaber, der vises i følgende eksempel:

      

      De påkrævede tilladelser omfatter:

      Handling	Tilladelser	Egenskaber
      Aktivér gennemtving nulstilling af adgangskode	Nulstil adgangskode	- Read pwdLastSet - Write pwdLastSet
      Sådan deaktiverer du brugeren	-	- Read userAccountControl - Write userAccountControl

   8. (Valgfrit) I feltet Gælder for skal du vælge Underordnede gruppeobjekter og angive følgende egenskaber:

      • Read members
      • Write members

   9. Vælg OK.

Tilføj gMSA-kontoen på Microsoft Defender-portalen

1. Gå til Microsoft Defender-portalen, og vælg Indstillinger –>Identiteter>Microsoft Defender for Identity>Administrer handlingskonti>+Opret ny konto.

   Det kan f.eks. være:

   

2. Angiv kontonavnet og domænet, og vælg Gem.

Din handlingskonto er angivet på siden Administrer handlingskonti .

Relateret indhold

Du kan få flere oplysninger under Afhjælpningshandlinger i Microsoft Defender for Identity.