Microsoft Defender for Identity-actieaccounts configureren

Met Defender for Identity kunt u herstelacties uitvoeren die gericht zijn op on-premises Active Directory-accounts in het geval dat een identiteit is gecompromitteerd. Als u deze acties wilt uitvoeren, moet Microsoft Defender for Identity over de vereiste machtigingen beschikken om dit te doen.

De Microsoft Defender for Identity sensor imiteert standaard het LocalSystem account van de domeincontroller en voert de acties uit, inclusief scenario's die aanvallen verstoren vanaf Microsoft Defender XDR.

Als u dit gedrag wilt wijzigen, stelt u een toegewezen gMSA in en bereikt u de machtigingen die u nodig hebt. Bijvoorbeeld:

Opmerking

Het gebruik van een toegewezen gMSA als een actieaccount is optioneel. U wordt aangeraden de standaardinstellingen voor het LocalSystem account te gebruiken.

Aanbevolen procedures voor actieaccounts

U wordt aangeraden hetzelfde gMSA-account te gebruiken dat u hebt geconfigureerd voor door Defender for Identity beheerde acties op andere servers dan domeincontrollers. Als u hetzelfde account gebruikt en de server is gecompromitteerd, kan een aanvaller het wachtwoord voor het account ophalen en de mogelijkheid krijgen om wachtwoorden te wijzigen en accounts uit te schakelen.

We raden u ook aan om te voorkomen dat u hetzelfde account gebruikt als zowel het Directory Service-account als het account Actie beheren. Dit komt doordat voor het Directory Service-account alleen-lezenmachtigingen voor Active Directory zijn vereist en voor de beheeractieaccounts schrijfmachtigingen nodig zijn voor gebruikersaccounts.

Als u meerdere forests hebt, moet uw door gMSA beheerde actieaccount worden vertrouwd in al uw forests of een afzonderlijk forest maken voor elk forest. Zie Microsoft Defender for Identity ondersteuning voor meerdere forests voor meer informatie.

Een specifiek actieaccount maken en configureren

1. Maak een nieuw gMSA-account. Zie Aan de slag met door groep beheerde serviceaccounts voor meer informatie.

2. Wijs het recht Aanmelden als een service toe aan het gMSA-account op elke domeincontroller waarop de Defender for Identity-sensor wordt uitgevoerd.

3. Verdeel de vereiste machtigingen als volgt aan het gMSA-account:

   1. Open Active Directory: gebruikers en computers.

   2. Klik met de rechtermuisknop op het relevante domein of de relevante organisatie-eenheid en selecteer Eigenschappen. Bijvoorbeeld:

      

   3. Ga naar het tabblad Beveiliging en selecteer Geavanceerd. Bijvoorbeeld:

      

   4. Selecteer Toevoegen>Selecteer een principal. Bijvoorbeeld:

      

   5. Zorg ervoor dat Serviceaccounts zijn gemarkeerd in Objecttypen. Bijvoorbeeld:

      

   6. Voer in het vak Voer de objectnaam in om te selecteren de naam van het gMSA-account in en selecteer OK.

   7. Selecteer in het veld Van toepassing opde optie Onderliggende gebruikersobjecten, laat de bestaande instellingen staan en voeg de machtigingen en eigenschappen toe die in het volgende voorbeeld worden weergegeven:

      

      Vereiste machtigingen zijn onder andere:

      Actie	Machtigingen	Eigenschappen
      Wachtwoord opnieuw instellen geforceerd inschakelen	Wachtwoord opnieuw instellen	- Read pwdLastSet - Write pwdLastSet
      Gebruiker uitschakelen	-	- Read userAccountControl - Write userAccountControl

   8. (Optioneel) Selecteer in het veld Van toepassing opde optie Onderliggende groepsobjecten en stel de volgende eigenschappen in:

      • Read members
      • Write members

   9. Selecteer OK.

Het gMSA-account toevoegen in de Microsoft Defender-portal

1. Ga naar de Microsoft Defender-portal en selecteer Instellingen ->Identiteiten>Microsoft Defender for Identity>Actieaccounts>beheren+Nieuw account maken.

   Bijvoorbeeld:

   

2. Voer de accountnaam en het domein in en selecteer Opslaan.

Uw actie-account wordt weergegeven op de pagina Actieaccounts beheren .

Verwante onderwerpen

Zie Herstelacties in Microsoft Defender for Identity voor meer informatie.