Udostępnij za pośrednictwem

Konta usługi katalogowej dla Microsoft Defender for Identity

  • Artykuł

W tym artykule opisano sposób, w jaki Microsoft Defender for Identity korzysta z kont usług katalogowych (DSA).

Uwaga

Niezależnie od skonfigurowanych kont usługi katalogowej usługa czujnika będzie działać w ramach tożsamości LocalService, a usługa aktualizująca będzie działać w ramach tożsamości LocalSystem.

Chociaż usługa DSA jest opcjonalna w niektórych scenariuszach, zalecamy skonfigurowanie usługi DSA dla usługi Defender for Identity w celu uzyskania pełnego pokrycia zabezpieczeń.

Jeśli na przykład skonfigurowano usługę DSA, usługa DSA jest używana do nawiązywania połączenia z kontrolerem domeny podczas uruchamiania. Usługa DSA może również służyć do wykonywania zapytań względem kontrolera domeny w poszukiwaniu danych dotyczących jednostek widocznych w ruchu sieciowym, monitorowanych zdarzeń i monitorowanych działań ETW

Usługa DSA jest wymagana dla następujących funkcji i funkcji:

  • Podczas pracy z czujnikiem zainstalowanym na serwerze usług AD FS/AD CS.

  • Żądanie list członków dla lokalnych grup administratorów z urządzeń widocznych w ruchu sieciowym, zdarzeniach i działaniach ETW za pośrednictwem wywołania SAM-R wykonanego na urządzeniu. Zebrane dane służą do obliczania potencjalnych ścieżek ruchu bocznego.

  • Uzyskiwanie dostępu do kontenera DeletedObjects w celu zbierania informacji o usuniętych użytkownikach i komputerach.

  • Mapowanie domeny i zaufania, które występuje podczas uruchamiania czujnika i ponownie co 10 minut.

  • Wykonywanie zapytań o inną domenę za pośrednictwem protokołu LDAP w celu uzyskiwania szczegółowych informacji podczas wykrywania działań z jednostek w tych innych domenach.

W przypadku korzystania z jednej usługi DSA usługa DSA musi mieć uprawnienia do odczytu do wszystkich domen w lasach. W niezaufanym środowisku z wieloma lasami konto DSA jest wymagane dla każdego lasu.

Jeden czujnik w każdej domenie jest zdefiniowany jako synchronizator domeny i jest odpowiedzialny za śledzenie zmian w jednostkach w domenie. Na przykład zmiany mogą obejmować utworzone obiekty, atrybuty jednostki śledzone przez usługę Defender for Identity itd.

Uwaga

Domyślnie usługa Defender for Identity obsługuje maksymalnie 30 poświadczeń. Aby dodać więcej poświadczeń, skontaktuj się z pomocą techniczną usługi Defender for Identity.

Obsługiwane opcje konta DSA

Usługa Defender for Identity obsługuje następujące opcje DSA:

Opcja Opis Konfiguracja
Konto usługi zarządzane przez grupę gMSA (zalecane) Zapewnia bezpieczniejsze wdrażanie i zarządzanie hasłami. Usługa Active Directory zarządza tworzeniem i rotacją hasła konta, podobnie jak hasło konta komputera, i można kontrolować częstotliwość zmieniania hasła konta. Aby uzyskać więcej informacji, zobacz Configure a Directory Service Account for Defender for Identity with a gMSA (Konfigurowanie konta usługi katalogowej dla usługi Defender for Identity przy użyciu funkcji gMSA).
Zwykłe konto użytkownika Łatwe w użyciu podczas rozpoczynania pracy i prostsze w konfigurowaniu uprawnień do odczytu między zaufanymi lasami, ale wymaga dodatkowego obciążenia związanego z zarządzaniem hasłami.

Zwykłe konto użytkownika jest mniej bezpieczne, ponieważ wymaga tworzenia haseł i zarządzania nimi, i może prowadzić do przestoju, jeśli hasło wygaśnie i nie zostanie zaktualizowane zarówno dla użytkownika, jak i DSA.		 Utwórz nowe konto w usłudze Active Directory, które będzie używane jako usługa DSA z uprawnieniami odczytu do wszystkich obiektów, w tym uprawnieniami do kontenera DeletedObjects . Aby uzyskać więcej informacji, zobacz Udzielanie wymaganych uprawnień DSA.
Konto usługi lokalnej Konto usługi lokalnej jest używane po wyjętej wersji i domyślnie używane, gdy nie skonfigurowano funkcji DSA.
Uwaga:
  • Zapytania SAM-R dotyczące potencjalnych ścieżek przenoszenia bocznego nie są obsługiwane w tym scenariuszu.
  • Zapytania LDAP są wykonywane tylko w domenie, w ramach których jest zainstalowany czujnik. Zapytania do innych domen w tym samym lesie lub między lasami zakończy się niepowodzeniem.
    		•  Brak

    Uwaga

    Chociaż konto usługi lokalnej jest domyślnie używane z czujnikiem, a funkcja DSA jest opcjonalna w niektórych scenariuszach, zalecamy skonfigurowanie usługi DSA dla usługi Defender for Identity w celu uzyskania pełnego pokrycia zabezpieczeń.

    Użycie wpisu DSA

    W tej sekcji opisano sposób użycia wpisów DSA oraz sposób wybierania przez czujnik wpisu DSA w dowolnym scenariuszu. Próby czujnika różnią się w zależności od typu wpisu DSA:

    Wpisać Opis
    Konto gMSA Czujnik próbuje pobrać hasło konta gMSA z usługi Active Directory, a następnie zaloguje się do domeny.
    Zwykłe konto użytkownika Czujnik próbuje zalogować się do domeny przy użyciu skonfigurowanej nazwy użytkownika i hasła.

    Stosowana jest następująca logika:

    1. Czujnik szuka wpisu z dokładnym dopasowaniem nazwy domeny dla domeny docelowej. Jeśli zostanie znalezione dokładne dopasowanie, czujnik podejmie próbę uwierzytelnienia przy użyciu poświadczeń w tym wpisie.

    2. Jeśli nie ma dokładnego dopasowania lub uwierzytelnianie nie powiodło się, czujnik wyszukuje na liście wpis w domenie nadrzędnej przy użyciu nazwy FQDN DNS i zamiast tego próbuje uwierzytelnić się przy użyciu poświadczeń we wpisie nadrzędnym.

    3. Jeśli nie ma wpisu dla domeny nadrzędnej lub jeśli uwierzytelnianie nie powiodło się, czujnik wyszukuje na liście wpis domeny równorzędnej przy użyciu nazwy FQDN DNS i próbuje uwierzytelnić się przy użyciu poświadczeń we wpisie równorzędnym.

    4. Jeśli nie ma wpisu dla domeny równorzędnej lub uwierzytelnianie nie powiodło się, czujnik ponownie przejrze listę i spróbuje uwierzytelnić się ponownie przy użyciu każdego wpisu, dopóki się nie powiedzie. Wpisy DSA gMSA mają wyższy priorytet niż zwykłe wpisy DSA.

    Przykładowa logika z usługą DSA

    W tej sekcji przedstawiono przykład sposobu, w jaki czujnik próbuje wykonać operacje DSA w całości, gdy masz wiele kont, w tym zarówno konto gMSA, jak i zwykłe konto.

    Stosowana jest następująca logika:

    1. Czujnik szuka dopasowania między nazwą domeny DNS domeny docelowej, na przykład emea.contoso.com i wpisem DSA gMSA, takim jak emea.contoso.com.

    2. Czujnik wyszuka dopasowania między nazwą domeny DNS domeny docelowej, taką jak emea.contoso.com i regularnym wpisem DSA DSA, na przykład emea.contoso.com

    3. Czujnik szuka dopasowania w głównej nazwie DNS domeny docelowej, takiej jak emea.contoso.com nazwa domeny wpisu DSA gMSA, na przykład contoso.com.

    4. Czujnik wyszuka dopasowania w głównej nazwie DNS domeny docelowej, takiej jak emea.contoso.com nazwa domeny regularnego wpisu DSA, na przykład contoso.com.

    5. Czujnik szuka nazwy domeny docelowej dla domeny równorzędnej, takiej jak emea.contoso.com i nazwy domeny wpisu DSA gMSA, takiej jak apac.contoso.com.

    6. Czujnik szuka nazwy domeny docelowej dla domeny równorzędnej, takiej jak emea.contoso.com i nazwy domeny regularnego wpisu DSA, takiej jak apac.contoso.com.

    7. Czujnik uruchamia działanie okrężne wszystkich wpisów DSA gMSA.

    8. Czujnik uruchamia działanie okrężne wszystkich regularnych wpisów DSA.

    Logika pokazana w tym przykładzie jest implementowana z następującą konfiguracją:

    • Wpisy DSA:

      • DSA1.emea.contoso.com
      • DSA2.fabrikam.com

    • Czujniki i wpis DSA, który jest używany jako pierwszy:

      Nazwa FQDN kontrolera domeny Użyto wpisu DSA
      DC01.emea.contoso.com DSA1.emea.contoso.com
      DC02.contoso.com DSA1.emea.contoso.com
      DC03.fabrikam.com DSA2.fabrikam.com
      DC04.contoso.local Okrężnego

    Ważna

    Jeśli czujnik nie może pomyślnie uwierzytelnić się za pośrednictwem protokołu LDAP w domenie usługi Active Directory podczas uruchamiania, czujnik nie wprowadzi stanu działania i zostanie wygenerowany problem z kondycją. Aby uzyskać więcej informacji, zobacz Problemy z kondycją usługi Defender for Identity.

    Udzielanie wymaganych uprawnień DSA

    Usługa DSA wymaga uprawnień tylko do odczytu dla wszystkich obiektów w usłudze Active Directory, w tym kontenera Usuniętych obiektów.

    Uprawnienia tylko do odczytu w kontenerze Usunięte obiekty umożliwiają usłudze Defender for Identity wykrywanie usuwania użytkowników z usługi Active Directory.

    Skorzystaj z poniższego przykładu kodu, aby ułatwić udzielenie wymaganych uprawnień do odczytu w kontenerze Usunięte obiekty , niezależnie od tego, czy używasz konta gMSA.

    Porada

    Jeśli DSA, do których chcesz udzielić uprawnień, to konto usługi zarządzane przez grupę (gMSA), musisz najpierw utworzyć grupę zabezpieczeń, dodać grupę gMSA jako element członkowski i dodać uprawnienia do tej grupy. Aby uzyskać więcej informacji, zobacz Configure a Directory Service Account for Defender for Identity with a gMSA (Konfigurowanie konta usługi katalogowej dla usługi Defender for Identity przy użyciu funkcji gMSA).

    # Declare the identity that you want to add read access to the deleted objects container:
$Identity = 'mdiSvc01'

# If the identity is a gMSA, first to create a group and add the gMSA to it:
$groupName = 'mdiUsr01Group'
$groupDescription = 'Members of this group are allowed to read the objects in the Deleted Objects container in AD'
if(Get-ADServiceAccount -Identity $Identity -ErrorAction SilentlyContinue) {
    $groupParams = @{
        Name           = $groupName
        SamAccountName = $groupName
        DisplayName    = $groupName
        GroupCategory  = 'Security'
        GroupScope     = 'Universal'
        Description    = $groupDescription
    }
    $group = New-ADGroup @groupParams -PassThru
    Add-ADGroupMember -Identity $group -Members ('{0}$' -f $Identity)
    $Identity = $group.Name
}

# Get the deleted objects container's distinguished name:
$distinguishedName = ([adsi]'').distinguishedName.Value
$deletedObjectsDN = 'CN=Deleted Objects,{0}' -f $distinguishedName

# Take ownership on the deleted objects container:
$params = @("$deletedObjectsDN", '/takeOwnership')
C:\Windows\System32\dsacls.exe $params

# Grant the 'List Contents' and 'Read Property' permissions to the user or group:
$params = @("$deletedObjectsDN", '/G', ('{0}\{1}:LCRP' -f ([adsi]'').name.Value, $Identity))
C:\Windows\System32\dsacls.exe $params
  
# To remove the permissions, uncomment the next 2 lines and run them instead of the two prior ones:
# $params = @("$deletedObjectsDN", '/R', ('{0}\{1}' -f ([adsi]'').name.Value, $Identity))
# C:\Windows\System32\dsacls.exe $params

    Aby uzyskać więcej informacji, zobacz Zmienianie uprawnień w usuniętym kontenerze obiektów.

    Testowanie uprawnień i delegowania DSA za pomocą programu PowerShell

    Użyj następującego polecenia programu PowerShell, aby sprawdzić, czy usługa DSA nie ma zbyt wielu uprawnień, takich jak zaawansowane uprawnienia administratora:

    Test-MDIDSA [-Identity] <String> [-Detailed] [<CommonParameters>]

    Aby na przykład sprawdzić uprawnienia dla konta mdiSvc01 i podać pełne szczegóły, uruchom polecenie:

    Test-MDIDSA -Identity "mdiSvc01" -Detailed

    Aby uzyskać więcej informacji, zobacz dokumentację programu PowerShell DefenderForIdentity.

    Następny krok

    Konfigurowanie konta usługi katalogowej dla usługi Defender for Identity przy użyciu narzędzia gMSA »