Настройка учетных записей действий Microsoft Defender для удостоверений

Defender для удостоверений позволяет выполнять действия по исправлению, предназначенные для локальная служба Active Directory учетных записей в случае компрометации удостоверения. Для выполнения этих действий Microsoft Defender для удостоверений должны иметь необходимые разрешения.

По умолчанию датчик Microsoft Defender для удостоверений олицетворяет LocalSystem учетную запись контроллера домена и выполняет действия, включая сценарии нарушения атаки из Microsoft Defender XDR.

Если необходимо изменить это поведение, настройте выделенный gMSA и область необходимые разрешения. Например:

Примечание.

Использование выделенной учетной записи gMSA в качестве учетной записи действия является необязательным. Рекомендуется использовать параметры по умолчанию для учетной LocalSystem записи.

Рекомендации по учетным записям действий

Рекомендуется избегать использования той же учетной записи gMSA, которую вы настроили для управляемых действий Defender для удостоверений на серверах, отличных от контроллеров домена. Если вы используете ту же учетную запись и сервер скомпрометирован, злоумышленник может получить пароль для учетной записи и получить возможность изменять пароли и отключать учетные записи.

Кроме того, рекомендуется избегать использования той же учетной записи, что и учетная запись службы каталогов, и учетная запись "Управление действием". Это связано с тем, что учетной записи службы каталогов требуются только разрешения только для чтения в Active Directory, а учетным записям управления действиями требуются разрешения на запись в учетных записях пользователей.

Если у вас несколько лесов, учетная запись управляемого действия gMSA должна быть доверенной во всех лесах или создать отдельную учетную запись для каждого леса. Дополнительные сведения см. в Microsoft Defender для удостоверений поддержке нескольких лесов.

Создание и настройка учетной записи определенного действия

1. Создайте учетную запись gMSA. Дополнительные сведения см. в статье Начало работы с групповыми управляемыми учетными записями служб.

2. Назначьте право входа в качестве службы учетной записи gMSA на каждом контроллере домена, на котором запущен датчик Defender для удостоверений.

3. Предоставьте необходимые разрешения учетной записи gMSA следующим образом:

   1. Откройте Пользователи и компьютеры Active Directory.

   2. Щелкните правой кнопкой мыши соответствующий домен или подразделение и выберите Свойства. Например:

      

   3. Перейдите на вкладку Безопасность и выберите Дополнительно. Например:

      

   4. Выберите Добавить>Выберите субъект. Например:

      

   5. Убедитесь, что учетные записи служб помечены в поле Типы объектов. Например:

      

   6. В поле Введите имя объекта для выбора введите имя учетной записи gMSA и нажмите кнопку ОК.

   7. В поле Применимо к выберите Объекты потомков пользователя, оставьте существующие параметры и добавьте разрешения и свойства, показанные в следующем примере:

      

      Необходимые разрешения:

      Действие	Разрешения	Свойства
      Включение принудительного сброса пароля	Сброс пароля	- Read pwdLastSet - Write pwdLastSet
      Отключение пользователя	-	- Read userAccountControl - Write userAccountControl

   8. (Необязательно) В поле Применимо к выберите Объекты группы потомков и задайте следующие свойства:

      • Read members
      • Write members

   9. Нажмите OK.

Добавление учетной записи gMSA на портале Microsoft Defender

1. Перейдите на портал Microsoft Defender и выберите Параметры ->Удостоверения>Microsoft Defender для удостоверений>Управление учетными записями> действий+Создать учетную запись.

   Например:

   

2. Введите имя учетной записи и домен и нажмите кнопку Сохранить.

Учетная запись действия указана на странице Управление учетными записями действий .

Связанные материалы

Дополнительные сведения см. в разделе Действия по исправлению в Microsoft Defender для удостоверений.