Microsoft Defender for Identity-actieaccounts configureren

Met Defender for Identity kunt u herstelacties uitvoeren die gericht zijn op on-premises Active Directory-accounts in het geval dat een identiteit is aangetast. Als u deze acties wilt uitvoeren, moet Microsoft Defender for Identity over de vereiste machtigingen beschikken om dit te doen.

De Microsoft Defender for Identity-sensor imiteert standaard het LocalSystem account van de domeincontroller en voert de acties uit, waaronder aanvalsonderstorende scenario's van Microsoft Defender XDR.

Als u dit gedrag wilt wijzigen, stelt u een toegewezen gMSA in en bereikt u de machtigingen die u nodig hebt. Bijvoorbeeld:

Notitie

Het gebruik van een toegewezen gMSA als actieaccount is optioneel. U wordt aangeraden de standaardinstellingen voor het LocalSystem account te gebruiken.

Aanbevolen procedures voor actieaccounts

Het is raadzaam om te voorkomen dat u hetzelfde gMSA-account gebruikt dat u hebt geconfigureerd voor door Defender for Identity beheerde acties op andere servers dan domeincontrollers. Als u hetzelfde account gebruikt en de server is aangetast, kan een aanvaller het wachtwoord voor het account ophalen en de mogelijkheid krijgen om wachtwoorden te wijzigen en accounts uit te schakelen.

We raden u ook aan om te voorkomen dat u hetzelfde account gebruikt als zowel het directoryserviceaccount als het actie-account beheren. Dit komt doordat voor het Directory Service-account alleen-lezenmachtigingen voor Active Directory zijn vereist en de actie-accounts beheren schrijfmachtigingen nodig hebben voor gebruikersaccounts.

Als u meerdere forests hebt, moet uw door gMSA beheerde actie-account worden vertrouwd in al uw forests of een afzonderlijk forest maken. Zie ondersteuning voor meerdere forests in Microsoft Defender for Identity voor meer informatie.

Een specifiek actieaccount maken en configureren

1. Maak een nieuw gMSA-account. Zie Aan de slag met door groepen beheerde serviceaccounts voor meer informatie.

2. Wijs het recht voor aanmelden als een service toe aan het gMSA-account op elke domeincontroller waarop de Defender for Identity-sensor wordt uitgevoerd.

3. Verdeel de vereiste machtigingen aan het gMSA-account als volgt:

   1. Open Active Directory: gebruikers en computers.

   2. Klik met de rechtermuisknop op het relevante domein of de relevante organisatie-eenheid en selecteer Eigenschappen. Voorbeeld:

      

   3. Ga naar het tabblad Beveiliging en selecteer Geavanceerd. Voorbeeld:

      

   4. Selecteer Een principal toevoegen>. Voorbeeld:

      

   5. Zorg ervoor dat serviceaccounts zijn gemarkeerd in objecttypen. Voorbeeld:

      

   6. Voer in het vak Voer de objectnaam in die u wilt selecteren , voer de naam van het gMSA-account in en selecteer OK.

   7. Selecteer in het veld Van toepassing op onderliggende gebruikersobjecten, laat de bestaande instellingen staan en voeg de machtigingen en eigenschappen toe die worden weergegeven in het volgende voorbeeld:

      

      Vereiste machtigingen zijn onder andere:

      Actie	Bevoegdheden	Eigenschappen
      Wachtwoord opnieuw instellen afdwingen inschakelen	Wachtwoord opnieuw instellen	- Read pwdLastSet - Write pwdLastSet
      Gebruiker uitschakelen	-	- Read userAccountControl - Write userAccountControl

   8. (Optioneel) Selecteer in het veld Van toepassing op objecten van onderliggende groepen en stel de volgende eigenschappen in:

      • Read members
      • Write members

   9. Selecteer OK.

Het gMSA-account toevoegen in de Microsoft Defender-portal

1. Ga naar de Microsoft Defender-portal en selecteer Instellingen ->Identities>Microsoft Defender for Identity>Manage action accounts>+Create new account.

   Voorbeeld:

   

2. Voer de accountnaam en het domein in en selecteer Opslaan.

Uw actieaccount wordt weergegeven op de pagina Actieaccounts beheren.

Gerelateerde inhoud

Zie Herstelacties in Microsoft Defender for Identity voor meer informatie.