Microsoft Defender for Identity hakemistopalvelun tilit
Tässä artikkelissa kerrotaan, miten Microsoft Defender for Identity käyttää hakemistopalvelun tilejä.
Huomautus
Määritetyistä hakemistopalvelutileistä riippumatta tunnistinpalvelu toimii LocalService-käyttäjätiedoilla, ja päivitystoimintopalvelu toimii LocalSystem-käyttäjätietojen mukaisesti.
Vaikka DSA on joissakin tilanteissa valinnainen, suosittelemme, että määrität DSA:n Defender for Identitylle täyttä suojausta varten.
Jos sinulla on esimerkiksi DSA määritettynä, DSA:n avulla muodostetaan yhteys toimialueen ohjauskoneeseen käynnistyksen yhteydessä. DSA:n avulla voidaan myös kysellä toimialueen ohjauskoneelta tietoja entiteeteistä, jotka näkyvät verkkoliikenteessä, valvotuissa tapahtumissa ja valvotuissa ETW-toiminnoissa
DSA vaaditaan seuraaviin ominaisuuksiin ja toimintoihin:
Kun käsittelet AD FS/ AD CS -palvelimeen asennettua tunnistinta.
Pyydetään jäsenluetteloita paikallisille järjestelmänvalvojaryhmille laitteista, jotka näkyvät verkkoliikenteessä, tapahtumissa ja ETW-toiminnoissa laitteelle tehdyn SAM-R-kutsun kautta. Kerättyjä tietoja käytetään mahdollisten sivuttaisten siirtopolkujen laskemiseen.
DeletedObjects-säilön avulla kerätään tietoja poistetuista käyttäjistä ja tietokoneista.
Toimialueen ja luottamuksen yhdistäminen, joka tapahtuu tunnistimen käynnistyksen yhteydessä, ja uudelleen 10 minuutin välein.
Lisätietoja on toisessa toimialueessa LDAP:n kautta, kun tunnistettaessa näiden muiden toimialueiden entiteettien toimintoja.
Kun käytät yksittäistä DSA:ta, DSA:lla on oltava lukuoikeudet kaikkiin toimialuepuuryhmien toimialueisiin. Epäluotettavassa, usean metsän ympäristössä kullekin metsälle vaaditaan DSA-tili.
Yksi tunnistin kullakin toimialueella on määritetty toimialueen synkronointiohjelmaksi, ja se on vastuussa toimialueen entiteettien muutosten seurannasta. Esimerkiksi muutokset voivat sisältää luotuja objekteja, Defender for Identityn seuraamia entiteetin määritteitä ja niin edelleen.
Huomautus
Defender for Identity tukee oletusarvoisesti enintään 30 tunnistetietoa. Jos haluat lisätä tunnistetietoja, ota yhteyttä Defenderin käyttäjätietojen tukeen.
Tuetut DSA-tilin asetukset
Defender for Identity tukee seuraavia DSA-asetuksia:
| Vaihtoehto | Kuvaus | Määritykset |
|---|---|---|
| Ryhmän hallinnoima palvelutili gMSA (suositus) | Tarjoaa entistä turvallisemman käyttöönoton ja salasanojen hallinnan. Active Directory hallitsee tilin salasanan luomista ja kiertoa samaan tapaan kuin tietokonetilin salasanaa. Voit myös hallita, kuinka usein tilin salasanaa vaihdetaan. | Lisätietoja on artikkelissa Hakemistopalvelutilin määrittäminen Defenderin käyttäjätieduksille gMSA:n avulla. |
| Tavallinen käyttäjätili | Helppo käyttää aloittaessasi ja helpompi määrittää lukuoikeudet luotettujen puuryhmien välillä, mutta salasanan hallinta vaatii lisäkustannuksia. Tavallinen käyttäjätili on heikompi suojaus, koska se edellyttää salasanojen luomista ja hallintaa, ja se voi johtaa käyttökatkoksiin, jos salasana vanhenee eikä sitä päivitetä sekä käyttäjälle että DSA:lle. |
Luo Active Directoryyn uusi tili, jota käytetään DSA:na ja jolla on lukuoikeudet kaikkiin objekteihin, mukaan lukien DeletedObjects-säilön käyttöoikeudet. Lisätietoja on kohdassa Vaadittujen DSA-käyttöoikeuksien myöntäminen. |
| Paikallinen palvelutili | Paikallista palvelutiliä käytetään oletusarvoisesti, kun DSA:ta ei ole määritetty. Muistiinpano: |
Ei mitään |
Huomautus
Vaikka paikallista palvelutiliä käytetään oletusarvoisesti tunnistimen kanssa ja DSA on joissakin tilanteissa valinnainen, suosittelemme, että määrität DSA for Defender for Identityn täyttä suojausta varten.
DSA-merkinnän käyttö
Tässä osiossa kuvataan, miten DSA-merkintöjä käytetään ja miten tunnistin valitsee DSA-merkinnän missä tahansa skenaariossa. Tunnistimen yritykset vaihtelevat DSA-merkinnän tyypin mukaan:
| Kirjoita | Kuvaus |
|---|---|
| gMSA-tili | Tunnistin yrittää noutaa gMSA-tilin salasanan Active Directorysta ja kirjautua sitten toimialueelle. |
| Tavallinen käyttäjätili | Tunnistin yrittää kirjautua toimialueelle käyttämällä määritettyä käyttäjänimeä ja salasanaa. |
Käytetään seuraavaa logiikkaa:
Tunnistin etsii merkinnän, jolla on tarkka vastaavuus kohdetoimialueen toimialuenimessä. Jos tarkka vastaavuus löydetään, tunnistin yrittää todentaa käyttäen kyseisen merkinnän tunnistetietoja.
Jos tarkkaa vastaavuutta ei ole tai jos todennus epäonnistui, tunnistin etsii luettelosta merkinnän päätoimialueelle DNS FQDN:n avulla ja yrittää sen sijaan todentaa käyttämällä päämerkinnän tunnistetietoja.
Jos päätoimialueelle ei ole merkintää tai jos todennus epäonnistuu, tunnistin etsii luettelosta rinnakkaistoimialuemerkinnän DNS FQDN:n avulla ja yrittää sen sijaan todentaa käyttämällä saman tason merkinnän tunnistetietoja.
Jos rinnakkaistoimialueelle ei ole merkintää tai jos todennus epäonnistui, tunnistin tarkistaa luettelon uudelleen ja yrittää todentaa jokaisen merkinnän uudelleen, kunnes se onnistuu. DSA gMSA -merkinnöillä on suurempi prioriteetti kuin tavallisilla DSA-merkinnöillä.
Mallilogiikka DSA:n avulla
Tässä osiossa on esimerkki siitä, miten tunnistin yrittää DSA:ta kokonaisia, kun sinulla on useita tilejä, mukaan lukien gMSA-tili ja tavallinen tili.
Käytetään seuraavaa logiikkaa:
Tunnistin etsii vastaavuutta kohdetoimialueen DNS-toimialuenimen, kuten
emea.contoso.comja DSA gMSA -merkinnän, kutenemea.contoso.com.Tunnistin etsii vastaavuutta kohdetoimialueen DNS-toimialuenimen, kuten
emea.contoso.comja DSA:n säännöllisen merkinnän DSA:n, välillä.emea.contoso.comTunnistin etsii vastaavuutta kohdetoimialueen DNS-päänimestä, kuten
emea.contoso.comja DSA gMSA -merkintätoimialueen nimeä, kutencontoso.com.Tunnistin etsii vastaavuutta kohdetoimialueen DNS-päänimestä, kuten
emea.contoso.comja DSA:n säännöllistä merkintätoimialuenimeä, kutencontoso.com.Tunnistin etsii saman tason toimialueen kohdetoimialuenimen, kuten
emea.contoso.comja DSA gMSA -merkintätoimialueen nimen, kutenapac.contoso.com.Tunnistin etsii saman tason toimialueen kohdetoimialuenimen, kuten
emea.contoso.comja DSA:n säännöllisen merkintätoimialueen nimen, kutenapac.contoso.com.Tunnistin suorittaa kaikkien DSA gMSA -merkintöjen kiertovuorottimen.
Anturi suorittaa kaikkien DSA:n säännöllisten merkintöjen kiertovuorot.
Tässä esimerkissä näkyvä logiikka otetaan käyttöön seuraavilla määrityksillä:
DSA-merkinnät:
DSA1.emea.contoso.comDSA2.fabrikam.com
Tunnistimet ja DSA-merkintä, jota käytetään ensimmäisenä:
Toimialueen ohjauskoneen FQDN DSA-merkintä käytössä DC01.emea.contoso.comDSA1.emea.contoso.comDC02.contoso.comDSA1.emea.contoso.comDC03.fabrikam.comDSA2.fabrikam.comDC04.contoso.localKiertovuorottelu
Tärkeää
Jos tunnistimen todennus LDAP:n kautta Active Directory -toimialueeseen käynnistyksen yhteydessä ei onnistu, tunnistin ei anna suoritustilaa ja luodaan kunto-ongelma. Lisätietoja on kohdassa Defender for Identityn kunto-ongelmat.
Myönnä vaaditut DSA-käyttöoikeudet
DSA edellyttää vain luku -käyttöoikeuksia kaikkiin Active Directoryn objekteihin, myös Poistettujen objektien säilöön.
Poistettujen objektien säilön vain luku -oikeudet mahdollistavat sen, että Defender for Identity voi tunnistaa käyttäjien poistot Active Directorysta.
Seuraavan koodimallin avulla voit myöntää poistetut objektit - säilöön vaaditut lukuoikeudet riippumatta siitä, käytätkö gMSA-tiliä.
Vihje
Jos DSA, jolle haluat myöntää käyttöoikeudet, on ryhmän hallinnoitu palvelutili (gMSA), sinun on ensin luotava käyttöoikeusryhmä, lisättävä gMSA jäseneksi ja lisättävä käyttöoikeudet kyseiseen ryhmään. Lisätietoja on artikkelissa Hakemistopalvelutilin määrittäminen Defenderin käyttäjätieduksille gMSA:n avulla.
# Declare the identity that you want to add read access to the deleted objects container:
$Identity = 'mdiSvc01'
# If the identity is a gMSA, first to create a group and add the gMSA to it:
$groupName = 'mdiUsr01Group'
$groupDescription = 'Members of this group are allowed to read the objects in the Deleted Objects container in AD'
if(Get-ADServiceAccount -Identity $Identity -ErrorAction SilentlyContinue) {
$groupParams = @{
Name = $groupName
SamAccountName = $groupName
DisplayName = $groupName
GroupCategory = 'Security'
GroupScope = 'Universal'
Description = $groupDescription
}
$group = New-ADGroup @groupParams -PassThru
Add-ADGroupMember -Identity $group -Members ('{0}$' -f $Identity)
$Identity = $group.Name
}
# Get the deleted objects container's distinguished name:
$distinguishedName = ([adsi]'').distinguishedName.Value
$deletedObjectsDN = 'CN=Deleted Objects,{0}' -f $distinguishedName
# Take ownership on the deleted objects container:
$params = @("$deletedObjectsDN", '/takeOwnership')
C:\Windows\System32\dsacls.exe $params
# Grant the 'List Contents' and 'Read Property' permissions to the user or group:
$params = @("$deletedObjectsDN", '/G', ('{0}\{1}:LCRP' -f ([adsi]'').name.Value, $Identity))
C:\Windows\System32\dsacls.exe $params
# To remove the permissions, uncomment the next 2 lines and run them instead of the two prior ones:
# $params = @("$deletedObjectsDN", '/R', ('{0}\{1}' -f ([adsi]'').name.Value, $Identity))
# C:\Windows\System32\dsacls.exe $params
Lisätietoja on kohdassa Poistettujen objektien säilön käyttöoikeuksien muuttaminen.
DSA-käyttöoikeuksien ja -delegoinnien testaaminen PowerShellin kautta
Seuraavan PowerShell-komennon avulla voit varmistaa, että DSA:lla ei ole liikaa käyttöoikeuksia, kuten tehokkaita järjestelmänvalvojan käyttöoikeuksia:
Test-MDIDSA [-Identity] <String> [-Detailed] [<CommonParameters>]
Jos haluat esimerkiksi tarkistaa mdiSvc01-tilin käyttöoikeudet ja antaa täydelliset tiedot, suorita:
Test-MDIDSA -Identity "mdiSvc01" -Detailed
Lisätietoja on DefenderForIdentity PowerShell -viittauksessa.