Jaa

Microsoft Defender for Identity toimintotilien määrittäminen

  • Artikkeli

Defender for Identityn avulla voit tehdä korjaustoimia, joiden kohteena on paikallinen Active Directory tiliä, jos käyttäjätiedot ovat vaarantuneet. Jotta voit suorittaa nämä toiminnot, Microsoft Defender for Identity on oltava tarvittavat käyttöoikeudet.

Oletusarvoisesti Microsoft Defender for Identity tunnistin tekeytyy LocalSystem toimialueen ohjauskoneen tiliksi ja suorittaa toiminnot, mukaan lukien hyökkäykset häiritseviä skenaarioita Microsoft Defender XDR.

Jos haluat muuttaa tätä toimintaa, määritä erillinen gMSA ja käyttöalue, jota tarvitset. Esimerkki:

Näyttökuva Toimintotilien hallinta -välilehdestä.

Huomautus

Erillisen gMSA:n käyttäminen toimintotilinä on valinnaista. Suosittelemme, että käytät tilin oletusasetuksia LocalSystem .

Toimintotilien parhaat käytännöt

Suosittelemme välttämään samaa gMSA-tiliä, jonka määritit Defender for Identityn hallituille toiminnoille muilla palvelimilla kuin toimialueen ohjauskoneilla. Jos käytät samaa tiliä ja palvelin on vaarantunut, hyökkääjä voi noutaa tilin salasanan ja saada mahdollisuuden vaihtaa salasanoja ja poistaa tilit käytöstä.

Suosittelemme myös välttämään samaa tiliä kuin sekä hakemistopalvelutiliä että Toiminnon hallinta -tiliä. Tämä johtuu siitä, että hakemistopalvelutili edellyttää Vain luku -käyttöoikeuksia Active Directoryyn ja Että Toimintotilien hallinta tarvitsee kirjoitusoikeudet käyttäjätileihin.

Jos sinulla on useita metsätiloja, gMSA:n hallinnoimaan toimintotiliin on luotettava kaikissa metsäissäsi tai luotava erillinen tili kullekin puuryhmälle. Lisätietoja on artikkelissa Microsoft Defender for Identity usean toimialuepuuryhmän tuki.

Tietyn toimintotilin luominen ja määrittäminen

  1. Luo uusi gMSA-tili. Lisätietoja on artikkelissa Ryhmän hallinnoidun palvelutilin käytön aloittaminen.

  2. Määritä Kirjautuminen palveluna -oikeus gMSA-tilille jokaisessa toimialueen ohjauskoneessa, joka suorittaa Defender for Identity -tunnistinta.

  3. Myönnä gMSA-tilille tarvittavat käyttöoikeudet seuraavasti:

    1. Avaa Active Directoryn käyttäjät ja tietokoneet.

    2. Napsauta hiiren kakkospainikkeella haluamaasi toimialuetta tai OU:ta ja valitse Ominaisuudet. Esimerkki:

      Näyttökuva toimialueen tai OU-ominaisuuksien valitsemisesta.

    3. Siirry Suojaus-välilehteen ja valitse Lisäasetukset. Esimerkki:

      Näyttökuva suojausasetusten lisäasetuksista.

    4. Valitse Lisää Valitse>päänimi. Esimerkki:

      Näyttökuva pääobjektin valitsemisesta.

    5. Varmista, että palvelutilit on merkitty objektityypeillä. Esimerkki:

      Näyttökuva palvelutilien valitsemisesta objektityypeiksi.

    6. Kirjoita kirjoitettavan objektin nimi -ruutuun gMSA-tilin nimi ja valitse OK.

    7. Valitse Käytetään kohteeseen -kentässä Descendant User -objektit, jätä olemassa olevat asetukset ja lisää seuraavassa esimerkissä näytetyt käyttöoikeudet ja ominaisuudet:

      Näyttökuva käyttöoikeuksien ja ominaisuuksien määrittämisestä.

      Pakollisia käyttöoikeuksia ovat muun muassa seuraavat:

      Toiminta Käyttöoikeudet Ominaisuudet
      Ota käyttöön salasanan pakotettu palautus Salasanan vaihtaminen - Read pwdLastSet
      - Write pwdLastSet
      Käyttäjän poistaminen käytöstä - - Read userAccountControl
      - Write userAccountControl

    8. (Valinnainen) Valitse Käytetään kohteeseen -kentässä Descendant Group -objektit ja määritä seuraavat ominaisuudet:

      • Read members
      • Write members

    9. Valitse OK.

gMSA-tilin lisääminen Microsoft Defender portaaliin

  1. Siirry Microsoft Defender portaaliin ja valitse Asetukset –>Käyttäjätiedot>Microsoft Defender for Identity>Toimintatilien> hallinta+Luo uusi tili.

    Esimerkki:

    Näyttökuva Luo uusi tili -painikkeesta.

  2. Anna tilin nimi ja toimialue ja valitse Tallenna.

Toimintotilisi näkyy Toimintotilien hallinta -sivulla.

Aiheeseen liittyvä sisältö

Lisätietoja on artikkelissa Microsoft Defender for Identity korjaustoiminnot.