Учетные записи службы каталогов для Microsoft Defender для удостоверений
В этой статье описывается, как Microsoft Defender для удостоверений использует учетные записи службы каталогов (DSA).
Примечание.
Независимо от настроенных учетных записей службы каталогов служба датчика будет работать с удостоверением LocalService, а служба обновления — с удостоверением LocalSystem.
Хотя DSA является необязательным в некоторых сценариях, рекомендуется настроить DSA для Defender для удостоверений для полного покрытия безопасности.
Например, при настройке DSA dsa dsa используется для подключения к контроллеру домена при запуске. DSA также можно использовать для запроса у контроллера домена данных о сущностях, видимых в сетевом трафике, отслеживаемых событиях и отслеживаемых действиях трассировки событий Windows.
DSA требуется для следующих функций и функций:
При работе с датчиком, установленным на сервере AD FS или AD CS.
Запрос списков участников для локальных групп администраторов с устройств, видимых в сетевом трафике, событиях и действиях трассировки событий Windows через вызов SAM-R , выполненный на устройство. Собранные данные используются для вычисления потенциальных путей бокового смещения.
Доступ к контейнеру DeletedObjects для сбора сведений об удаленных пользователях и компьютерах.
Сопоставление доменов и доверия, которое происходит при запуске датчика и снова каждые 10 минут.
Запрос к другому домену через LDAP для получения дополнительных сведений при обнаружении действий из сущностей в этих других доменах.
Если вы используете один dsa, DSA должно иметь разрешения на чтение для всех доменов в лесах. В ненадежной среде с несколькими лесами для каждого леса требуется учетная запись DSA.
Один датчик в каждом домене определяется как синхронизатор домена и отвечает за отслеживание изменений сущностей в домене. Например, изменения могут включать созданные объекты, атрибуты сущностей, отслеживаемые Defender для удостоверений, и т. д.
Примечание.
По умолчанию Defender для удостоверений поддерживает до 30 учетных данных. Чтобы добавить дополнительные учетные данные, обратитесь в службу поддержки Defender для удостоверений.
Поддерживаемые параметры учетной записи DSA
Defender для удостоверений поддерживает следующие параметры DSA:
| Вариант | Описание | Конфигурация |
|---|---|---|
| Групповая управляемая учетная запись службы gMSA (рекомендуется) | Обеспечивает более безопасное развертывание и управление паролями. Active Directory управляет созданием и сменой пароля учетной записи, как и пароль учетной записи компьютера, и вы можете контролировать частоту изменения пароля учетной записи. | Дополнительные сведения см. в разделе Настройка учетной записи службы каталогов для Defender для удостоверений с помощью gMSA. |
| Обычная учетная запись пользователя | Простота использования при начале работы и упрощение настройки разрешений на чтение между доверенными лесами, но требует дополнительных затрат на управление паролями. Обычная учетная запись пользователя менее безопасна, так как она требует создания паролей и управления ими и может привести к простою, если срок действия пароля истекает и не обновляется как для пользователя, так и для DSA. |
Создайте новую учетную запись в Active Directory для использования в качестве DSA с разрешениями на чтение для всех объектов, включая разрешения для контейнера DeletedObjects . Дополнительные сведения см. в разделе Предоставление необходимых разрешений DSA. |
| Учетная запись локальной службы | Учетная запись локальной службы используется по умолчанию, если dsa не настроена. Примечание. |
Нет |
Примечание.
Хотя учетная запись локальной службы используется с датчиком по умолчанию, а DSA является необязательным в некоторых сценариях, рекомендуется настроить DSA для Defender для удостоверений для полного покрытия безопасности.
Использование записи DSA
В этом разделе описывается, как используются записи DSA и как датчик выбирает запись DSA в любом сценарии. Попытки датчика различаются в зависимости от типа записи DSA:
| Тип | Описание |
|---|---|
| Учетная запись gMSA | Датчик пытается получить пароль учетной записи gMSA из Active Directory, а затем входит в домен. |
| Обычная учетная запись пользователя | Датчик пытается войти в домен, используя настроенные имя пользователя и пароль. |
Применяется следующая логика:
Датчик ищет запись с точным совпадением доменного имени для целевого домена. Если найдено точное совпадение, датчик пытается пройти проверку подлинности, используя учетные данные в этой записи.
Если точное совпадение отсутствует или проверка подлинности завершилась ошибкой, датчик ищет в списке запись в родительском домене с помощью полного доменного имени DNS и пытается выполнить проверку подлинности с использованием учетных данных в родительской записи.
Если для родительского домена нет записи или проверка подлинности завершилась ошибкой, датчик выполняет поиск в списке записи одноуровневого домена, используя полное доменное имя DNS и пытается пройти проверку подлинности, используя учетные данные в записи одноуровневого уровня.
Если нет записи для одноуровневого домена или если проверка подлинности завершилась ошибкой, датчик снова проверяет список и пытается выполнить проверку подлинности с каждой записью, пока она не будет выполнена успешно. Записи gMSA DSA имеют более высокий приоритет, чем обычные записи DSA.
Пример логики с DSA
В этом разделе приведен пример того, как датчик пытается использовать DSA в целом при наличии нескольких учетных записей, включая учетную запись gMSA и обычную учетную запись.
Применяется следующая логика:
Датчик ищет совпадение между dns-доменным именем целевого домена, например
emea.contoso.com, и записью DSA gMSA, напримерemea.contoso.com.Датчик ищет совпадение между доменным именем DNS целевого домена, например
emea.contoso.com, и DSA обычной записи DSA, напримерemea.contoso.comДатчик ищет совпадение в корневом DNS-имени целевого домена, например
emea.contoso.com, и домене входа DSA gMSA, напримерcontoso.com.Датчик ищет совпадение в корневом DNS-имени целевого домена, например
emea.contoso.comи обычном доменном имени dsa, напримерcontoso.com.Датчик ищет целевое доменное имя для одноуровневого домена, например
emea.contoso.com, и доменное имя входа DSA gMSA, напримерapac.contoso.com.Датчик ищет целевое доменное имя для одноуровневого домена, например
emea.contoso.com, и имя домена для обычного входа DSA, напримерapac.contoso.com.Датчик выполняет циклический перебор всех записей DSA gMSA.
Датчик выполняет циклический перебор всех регулярных записей DSA.
Логика, показанная в этом примере, реализуется со следующей конфигурацией:
Записи DSA:
DSA1.emea.contoso.comDSA2.fabrikam.com
Датчики и запись DSA, которая используется в первую очередь:
Полное доменное имя контроллера домена Используемая запись DSA DC01.emea.contoso.comDSA1.emea.contoso.comDC02.contoso.comDSA1.emea.contoso.comDC03.fabrikam.comDSA2.fabrikam.comDC04.contoso.localЦиклический перебор
Важно!
Если датчик не может успешно пройти проверку подлинности через LDAP в домене Active Directory при запуске, датчик не перейдет в состояние выполнения и возникает проблема работоспособности. Дополнительные сведения см. в статье Проблемы работоспособности Defender для удостоверений.
Предоставление необходимых разрешений DSA
DSA требуются разрешения только на чтение для всех объектов в Active Directory, включая контейнер удаленных объектов.
Разрешения только для чтения в контейнере Удаленные объекты позволяют Defender для удостоверений обнаруживать удаление пользователей из Active Directory.
Используйте следующий пример кода, чтобы предоставить необходимые разрешения на чтение в контейнере Удаленные объекты независимо от того, используете ли вы учетную запись gMSA.
Совет
Если DSA, которому требуется предоставить разрешения, является учетной записью групповой управляемой службы (gMSA), сначала необходимо создать группу безопасности, добавить gMSA в качестве участника и добавить разрешения в эту группу. Дополнительные сведения см. в разделе Настройка учетной записи службы каталогов для Defender для удостоверений с помощью gMSA.
# Declare the identity that you want to add read access to the deleted objects container:
$Identity = 'mdiSvc01'
# If the identity is a gMSA, first to create a group and add the gMSA to it:
$groupName = 'mdiUsr01Group'
$groupDescription = 'Members of this group are allowed to read the objects in the Deleted Objects container in AD'
if(Get-ADServiceAccount -Identity $Identity -ErrorAction SilentlyContinue) {
$groupParams = @{
Name = $groupName
SamAccountName = $groupName
DisplayName = $groupName
GroupCategory = 'Security'
GroupScope = 'Universal'
Description = $groupDescription
}
$group = New-ADGroup @groupParams -PassThru
Add-ADGroupMember -Identity $group -Members ('{0}$' -f $Identity)
$Identity = $group.Name
}
# Get the deleted objects container's distinguished name:
$distinguishedName = ([adsi]'').distinguishedName.Value
$deletedObjectsDN = 'CN=Deleted Objects,{0}' -f $distinguishedName
# Take ownership on the deleted objects container:
$params = @("$deletedObjectsDN", '/takeOwnership')
C:\Windows\System32\dsacls.exe $params
# Grant the 'List Contents' and 'Read Property' permissions to the user or group:
$params = @("$deletedObjectsDN", '/G', ('{0}\{1}:LCRP' -f ([adsi]'').name.Value, $Identity))
C:\Windows\System32\dsacls.exe $params
# To remove the permissions, uncomment the next 2 lines and run them instead of the two prior ones:
# $params = @("$deletedObjectsDN", '/R', ('{0}\{1}' -f ([adsi]'').name.Value, $Identity))
# C:\Windows\System32\dsacls.exe $params
Дополнительные сведения см. в разделе Изменение разрешений для контейнера удаленных объектов.
Тестирование разрешений и делегирований DSA с помощью PowerShell
Используйте следующую команду PowerShell, чтобы убедиться, что у dsa не слишком много разрешений, таких как мощные разрешения администратора:
Test-MDIDSA [-Identity] <String> [-Detailed] [<CommonParameters>]
Например, чтобы проверка разрешения для учетной записи mdiSvc01 и предоставить полные сведения, выполните следующую команду:
Test-MDIDSA -Identity "mdiSvc01" -Detailed
Дополнительные сведения см. в справочнике по PowerShell для DefenderForIdentity.