Konfigurowanie kont akcji Microsoft Defender for Identity

Usługa Defender for Identity umożliwia wykonywanie akcji korygowania przeznaczonych dla kont lokalna usługa Active Directory w przypadku naruszenia zabezpieczeń tożsamości. Aby wykonać te akcje, Microsoft Defender for Identity musi mieć do tego wymagane uprawnienia.

Domyślnie czujnik Microsoft Defender for Identity personifikuje LocalSystem konto kontrolera domeny i wykonuje akcje, w tym scenariusze zakłócania ataków z Microsoft Defender XDR.

Jeśli chcesz zmienić to zachowanie, skonfiguruj dedykowaną usługę gMSA i oszukuj wymagane uprawnienia. Przykład:

Uwaga

Używanie dedykowanego konta gMSA jako konta akcji jest opcjonalne. Zalecamy użycie ustawień domyślnych dla LocalSystem konta.

Najlepsze rozwiązania dotyczące kont akcji

Zalecamy unikanie używania tego samego konta gMSA skonfigurowanego dla akcji zarządzanych przez usługę Defender for Identity na serwerach innych niż kontrolery domeny. Jeśli używasz tego samego konta, a serwer zostanie naruszona, osoba atakująca może pobrać hasło dla konta i uzyskać możliwość zmiany haseł i wyłączenia kont.

Zalecamy również unikanie korzystania z tego samego konta co konto usługi katalogowej i konto akcji zarządzania. Dzieje się tak, ponieważ konto usługi katalogowej wymaga tylko uprawnień tylko do odczytu do usługi Active Directory, a konta Zarządzaj akcją wymagają uprawnień do zapisu na kontach użytkowników.

Jeśli masz wiele lasów, konto akcji zarządzanej gMSA musi być zaufane we wszystkich lasach lub utworzyć osobne konto dla każdego lasu. Aby uzyskać więcej informacji, zobacz Microsoft Defender for Identity obsługę wielu lasów.

Tworzenie i konfigurowanie określonego konta akcji

1. Utwórz nowe konto gMSA. Aby uzyskać więcej informacji, zobacz Wprowadzenie do kont usług zarządzanych przez grupę.

2. Przypisz prawo Logowanie jako usługa do konta gMSA na każdym kontrolerze domeny z uruchomionym czujnikiem usługi Defender for Identity.

3. Przyznaj wymagane uprawnienia do konta gMSA w następujący sposób:

   1. Otwórz Użytkownicy i komputery usługi Active Directory.

   2. Kliknij prawym przyciskiem myszy odpowiednią domenę lub jednostkę organizacyjną i wybierz pozycję Właściwości. Przykład:

      

   3. Przejdź do karty Zabezpieczenia i wybierz pozycję Zaawansowane. Przykład:

      

   4. Wybierz pozycję Dodaj>Wybierz podmiot zabezpieczeń. Przykład:

      

   5. Upewnij się , że konta usług są oznaczone w typach obiektów. Przykład:

      

   6. W polu Wprowadź nazwę obiektu do zaznaczenia wprowadź nazwę konta gMSA i wybierz przycisk OK.

   7. W polu Dotyczy wybierz pozycję Obiekty użytkownika potomnego, pozostaw istniejące ustawienia i dodaj uprawnienia i właściwości pokazane w następującym przykładzie:

      

      Wymagane uprawnienia obejmują:

      Akcja	Uprawnienia	Właściwości
      Włączanie wymuszania resetowania hasła	Resetuj hasło	- Read pwdLastSet - Write pwdLastSet
      Aby wyłączyć użytkownika	-	- Read userAccountControl - Write userAccountControl

   8. (Opcjonalnie) W polu Dotyczy wybierz pozycję Obiekty grupy potomnych i ustaw następujące właściwości:

      • Read members
      • Write members

   9. Wybierz przycisk OK.

Dodawanie konta gMSA w portalu Microsoft Defender

1. Przejdź do portalu Microsoft Defender i wybierz pozycję Ustawienia ->Tożsamości>Microsoft Defender for Identity>Zarządzanie kontami> akcji+Utwórz nowe konto.

   Przykład:

   

2. Wprowadź nazwę konta i domenę, a następnie wybierz pozycję Zapisz.

Twoje konto akcji znajduje się na stronie Zarządzanie kontami akcji .

Zawartość pokrewna

Aby uzyskać więcej informacji, zobacz Akcje korygowania w Microsoft Defender for Identity.