Configurare un account del servizio directory per Defender per identità con un account del servizio gestito di gruppo
Questo articolo descrive come creare un account del servizio gestito di gruppo (gMSA) da usare come voce di Defender per identità DSA.
Per altre informazioni, vedere Account del servizio directory per Microsoft Defender per identità.
Nota
Negli ambienti multi-foresta e multidominio, i sensori che devono usare gMSA devono avere gli account computer attendibili dal dominio in cui è stato creato l'account del servizio gestito del gruppo. È consigliabile creare un gruppo universale in ogni dominio, contenente gli account computer di tutti i sensori, in modo che tutti i sensori possano recuperare le password degli account del servizio gestito di gruppo ed eseguire le autenticazioni tra domini. È anche consigliabile creare gli account del servizio gestito con un nome univoco per ogni foresta o dominio.
Prerequisiti: concedere le autorizzazioni per recuperare la password dell'account gMSA
Prima di creare l'account gMSA, valutare come assegnare le autorizzazioni per recuperare la password dell'account.
Quando si usa una voce gMSA, il sensore deve recuperare la password del gMSA da Active Directory. Questa operazione può essere eseguita assegnando a ogni sensore o usando un gruppo.
In una distribuzione a foresta singola a dominio singolo, se non si prevede di installare il sensore in server AD FS/AD CS, è possibile usare il gruppo di sicurezza controller di dominio predefinito.
In una foresta con più domini, quando si usa un singolo account DSA, è consigliabile creare un gruppo universale e aggiungere ognuno dei controller di dominio e dei server AD FS/AD CS al gruppo universale.
Se si aggiunge un account computer al gruppo universale dopo che il computer ha ricevuto il ticket Kerberos, non sarà in grado di recuperare la password del gMSA fino a quando non riceve un nuovo ticket Kerberos.If you add a computer account to the universal group after the computer received its Kerberos ticket, it't be able to retrieve the gMSA's password until it receive a new Kerberos ticket. Il ticket Kerberos include un elenco di gruppi di cui un'entità è membro quando viene emesso il ticket.
In questi scenari, eseguire una delle operazioni seguenti:
Attendere l'emissione del nuovo ticket Kerberos. I ticket Kerberos sono in genere validi per 10 ore.
Riavviare il server. Quando il server viene riavviato, viene richiesto un nuovo ticket Kerberos con la nuova appartenenza al gruppo.
Eliminare i ticket Kerberos esistenti. In questo modo il controller di dominio deve richiedere un nuovo ticket Kerberos.
Per eliminare i ticket, eseguire il comando seguente da un prompt dei comandi dell'amministratore nel controller di dominio:
klist purge -li 0x3e7
Creare l'account gMSA
Questa sezione descrive come creare un gruppo specifico in grado di recuperare la password dell'account, creare un account gMSA e quindi verificare che l'account sia pronto per l'uso.
Nota
Se non sono mai stati usati account gMSA in precedenza, potrebbe essere necessario generare una nuova chiave radice per il Servizio distribuzione chiavi di gruppo Microsoft (KdsSvc) all'interno di Active Directory. Questo passaggio è necessario una sola volta per foresta.
Per generare una nuova chiave radice per l'uso immediato, eseguire il comando seguente:
Add-KdsRootKey -EffectiveImmediately
Aggiornare il codice seguente con i valori delle variabili per l'ambiente. Eseguire quindi i comandi di PowerShell come amministratore:
# Variables:
# Specify the name of the gMSA you want to create:
$gMSA_AccountName = 'mdiSvc01'
# Specify the name of the group you want to create for the gMSA,
# or enter 'Domain Controllers' to use the built-in group when your environment is a single forest, and will contain only domain controller sensors.
$gMSA_HostsGroupName = 'mdiSvc01Group'
# Specify the computer accounts that will become members of the gMSA group and have permission to use the gMSA.
# If you are using the 'Domain Controllers' group in the $gMSA_HostsGroupName variable, then this list is ignored
$gMSA_HostNames = 'DC1', 'DC2', 'DC3', 'DC4', 'DC5', 'DC6', 'ADFS1', 'ADFS2'
# Import the required PowerShell module:
Import-Module ActiveDirectory
# Set the group
if ($gMSA_HostsGroupName -eq 'Domain Controllers') {
$gMSA_HostsGroup = Get-ADGroup -Identity 'Domain Controllers'
} else {
$gMSA_HostsGroup = New-ADGroup -Name $gMSA_HostsGroupName -GroupScope DomainLocal -PassThru
$gMSA_HostNames | ForEach-Object { Get-ADComputer -Identity $_ } |
ForEach-Object { Add-ADGroupMember -Identity $gMSA_HostsGroupName -Members $_ }
}
# Create the gMSA:
New-ADServiceAccount -Name $gMSA_AccountName -DNSHostName "$gMSA_AccountName.$env:USERDNSDOMAIN" `
-PrincipalsAllowedToRetrieveManagedPassword $gMSA_HostsGroup
Concedere le autorizzazioni DSA necessarie
La DSA richiede autorizzazioni di sola lettura per tutti gli oggetti in Active Directory, incluso il contenitore Oggetti eliminati.
Le autorizzazioni di sola lettura nel contenitore Oggetti eliminati consentono a Defender for Identity di rilevare le eliminazioni degli utenti da Active Directory.
Usare l'esempio di codice seguente per concedere le autorizzazioni di lettura necessarie per il contenitore Oggetti eliminati , indipendentemente dal fatto che si usi o meno un account gMSA.
Consiglio
Se l'account del servizio gestito del gruppo a cui si desidera concedere le autorizzazioni è un account del servizio gestito del gruppo, è necessario innanzitutto creare un gruppo di sicurezza, aggiungere l'account del servizio gestito del gruppo come membro e aggiungere le autorizzazioni a tale gruppo. Per altre informazioni, vedere Configurare un account del servizio directory per Defender per identità con un account del servizio gestito di gruppo.
# Declare the identity that you want to add read access to the deleted objects container:
$Identity = 'mdiSvc01'
# If the identity is a gMSA, first to create a group and add the gMSA to it:
$groupName = 'mdiUsr01Group'
$groupDescription = 'Members of this group are allowed to read the objects in the Deleted Objects container in AD'
if(Get-ADServiceAccount -Identity $Identity -ErrorAction SilentlyContinue) {
$groupParams = @{
Name = $groupName
SamAccountName = $groupName
DisplayName = $groupName
GroupCategory = 'Security'
GroupScope = 'Universal'
Description = $groupDescription
}
$group = New-ADGroup @groupParams -PassThru
Add-ADGroupMember -Identity $group -Members ('{0}$' -f $Identity)
$Identity = $group.Name
}
# Get the deleted objects container's distinguished name:
$distinguishedName = ([adsi]'').distinguishedName.Value
$deletedObjectsDN = 'CN=Deleted Objects,{0}' -f $distinguishedName
# Take ownership on the deleted objects container:
$params = @("$deletedObjectsDN", '/takeOwnership')
C:\Windows\System32\dsacls.exe $params
# Grant the 'List Contents' and 'Read Property' permissions to the user or group:
$params = @("$deletedObjectsDN", '/G', ('{0}\{1}:LCRP' -f ([adsi]'').name.Value, $Identity))
C:\Windows\System32\dsacls.exe $params
# To remove the permissions, uncomment the next 2 lines and run them instead of the two prior ones:
# $params = @("$deletedObjectsDN", '/R', ('{0}\{1}' -f ([adsi]'').name.Value, $Identity))
# C:\Windows\System32\dsacls.exe $params
Per altre informazioni, vedere Modifica delle autorizzazioni per un contenitore di oggetti eliminati.
Verificare che l'account gMSA disponga dei diritti necessari
Il servizio sensore Defender per identità, Il sensore azure Advanced Threat Protection, viene eseguito come LocalService ed esegue la rappresentazione dell'account DSA. La rappresentazione avrà esito negativo se i criteri di accesso come servizio sono configurati ma l'autorizzazione non è stata concessa all'account gMSA. In questi casi, verrà visualizzato il problema di integrità seguente: Le credenziali utente dei servizi directory non sono corrette.
Se viene visualizzato questo avviso, è consigliabile verificare se i criteri di accesso come servizio sono configurati. Se è necessario configurare i criteri di accesso come servizio, eseguire questa operazione in un'impostazione di Criteri di gruppo o in un criterio di sicurezza locale.
Per controllare i criteri locali, eseguire
secpol.msce selezionare Criteri locali. In Assegnazione diritti utente passare all'impostazione Dei criteri di accesso come servizio . Ad esempio:
Se il criterio è abilitato, aggiungere l'account gMSA all'elenco di account che possono accedere come servizio.
Per verificare se l'impostazione è configurata in un Criteri di gruppo: eseguire
rsop.msce verificare se è selezionato il criterio Configurazione computer -> Impostazioni di Windows -> Impostazioni di sicurezza -> Criteri locali -> Assegnazione diritti utente -> Accedi come servizio. Ad esempio:
Se l'impostazione è configurata, aggiungere l'account gMSA all'elenco di account che possono accedere come servizio nel Editor gestione Criteri di gruppo.
Nota
Se si usa Criteri di gruppo Management Editor per configurare l'impostazione Accesso come servizio, assicurarsi di aggiungere sia NT Service\All Services che l'account gMSA creato.
Configurare un account del servizio directory in Microsoft Defender XDR
Per connettere i sensori ai domini di Active Directory, è necessario configurare gli account del servizio directory in Microsoft Defender XDR.
In Microsoft Defender XDR passare a Identità delle impostazioni>. Ad esempio:
Selezionare Account del servizio directory. Verranno visualizzati gli account associati ai domini. Ad esempio:
Per aggiungere le credenziali dell'account del servizio directory, selezionare Aggiungi credenziali e immettere il nome account, il dominio e la password dell'account creato in precedenza. È anche possibile scegliere se si tratta di un account del servizio gestito del gruppo (gMSA) e se appartiene a un dominio con etichetta singola. Ad esempio:
Campo Commenti Nome account (obbligatorio) Immettere il nome utente di ACTIVE Directory di sola lettura. Ad esempio: DefenderForIdentityUser.
- È necessario usare un utente di ACTIVE Directory standard o un account gMSA.
- Non usare il formato UPN per il nome utente.
- Quando si usa un gMSA, la stringa utente deve terminare con il$segno. Ad esempio:mdisvc$
NOTA: È consigliabile evitare di usare gli account assegnati a utenti specifici.Password (necessaria per gli account utente standard di ACTIVE Directory) Solo per gli account utente di Active Directory, generare una password complessa per l'utente di sola lettura. Ad esempio: PePR!BZ&}Y54UpC3aB.Account del servizio gestito del gruppo (obbligatorio per gli account gMSA) Solo per gli account gMSA, selezionare Account del servizio gestito del gruppo. Dominio (obbligatorio) Immettere il dominio per l'utente di sola lettura. Ad esempio: contoso.com.
È importante immettere il nome di dominio completo del dominio in cui si trova l'utente. Ad esempio, se l'account dell'utente si trova nel dominio corp.contoso.com, è necessario immetterecorp.contoso.comnoncontoso.com.
Per altre informazioni, vedere Supporto Microsoft per domini con etichetta singola.Seleziona Salva.
(Facoltativo) Se si seleziona un account, verrà aperto un riquadro dei dettagli con le impostazioni per tale account. Ad esempio:
Nota
È possibile usare questa stessa procedura per modificare la password per gli account utente standard di Active Directory. Non è presente alcun set di password per gli account gMSA.
Risoluzione dei problemi
Per altre informazioni, vedere Il sensore non è riuscito a recuperare le credenziali gMSA.