Microsoft Defender for Identity 작업 계정 구성
Defender for Identity를 사용하면 ID가 손상된 경우 온-프레미스 Active Directory 계정을 대상으로 하는 수정 작업을 수행할 수 있습니다. 이러한 작업을 수행하려면 Microsoft Defender for Identity 필요한 권한이 있어야 합니다.
기본적으로 Microsoft Defender for Identity 센서는 도메인 컨트롤러의 계정을 가장 LocalSystem 하고 Microsoft Defender XDR 공격을 방해하는 시나리오를 포함하여 작업을 수행합니다.
이 동작을 변경해야 하는 경우 전용 gMSA를 설정하고 필요한 권한을 scope. 예시:
참고
전용 gMSA를 작업 계정으로 사용하는 것은 선택 사항입니다. 계정에 대한 LocalSystem 기본 설정을 사용하는 것이 좋습니다.
작업 계정에 대한 모범 사례
도메인 컨트롤러 이외의 서버에서 Defender for Identity 관리 작업에 대해 구성한 것과 동일한 gMSA 계정을 사용하지 않는 것이 좋습니다. 동일한 계정을 사용하고 서버가 손상된 경우 공격자는 계정의 암호를 검색하고 암호를 변경하고 계정을 사용하지 않도록 설정하는 기능을 얻을 수 있습니다.
또한 디렉터리 서비스 계정 및 관리 작업 계정과 동일한 계정을 사용하지 않는 것이 좋습니다. 디렉터리 서비스 계정에는 Active Directory에 대한 읽기 전용 권한만 필요하고 작업 관리 계정에는 사용자 계정에 대한 쓰기 권한이 필요하기 때문입니다.
포리스트가 여러 개 있는 경우 gMSA 관리 작업 계정을 모든 포리스트에서 신뢰할 수 있어야 하거나 각 포리스트에 대해 별도의 포리스트를 만들어야 합니다. 자세한 내용은 다중 포리스트 지원 Microsoft Defender for Identity 참조하세요.
특정 작업 계정 만들기 및 구성
새 gMSA 계정을 만듭니다. 자세한 내용은 그룹 관리 서비스 계정 시작을 참조하세요.
Defender for Identity 센서를 실행하는 각 도메인 컨트롤러의 gMSA 계정에 서비스로 로그온 권한을 할당합니다.
다음과 같이 gMSA 계정에 필요한 권한을 부여합니다.
Active Directory 사용자 및 컴퓨터를 엽니다.
관련 도메인 또는 OU를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다. 예시:
보안 탭으로 이동하여 고급을 선택합니다. 예시:
추가>보안 주체 선택을 선택합니다. 예시:
서비스 계정이개체 형식으로 표시되는지 확인합니다. 예시:
선택할 개체 이름 입력 상자에서 gMSA 계정의 이름을 입력하고 확인을 선택합니다.
적용 대상 필드에서 하위 사용자 개체를 선택하고, 기존 설정을 그대로 두고, 다음 예제에 표시된 사용 권한 및 속성을 추가합니다.
필요한 권한은 다음과 같습니다.
작업 권한 속성 암호 강제 재설정 사용 암호 다시 설정 - Read pwdLastSet
-Write pwdLastSet사용자를 사용하지 않도록 설정하려면 - - Read userAccountControl
-Write userAccountControl(선택 사항) 적용 대상 필드에서 하위 그룹 개체 를 선택하고 다음 속성을 설정합니다.
Read membersWrite members
확인을 선택합니다.
Microsoft Defender 포털에서 gMSA 계정 추가
Microsoft Defender 포털로 이동하여 설정 ->ID>Microsoft Defender for Identity>관리 작업 계정+새 계정 만들기를 > 선택합니다.
예시:
계정 이름 및 도메인을 입력하고 저장을 선택합니다.
작업 계정이 작업 계정 관리 페이지에 나열됩니다.