Dela via


Konfigurera Microsoft Defender för identitetsåtgärdskonton

Med Defender for Identity kan du vidta åtgärder för att åtgärda lokal Active Directory konton i händelse av att en identitet komprometteras. För att kunna vidta dessa åtgärder måste Microsoft Defender för identitet ha de behörigheter som krävs för att göra det.

Som standard personifierar Microsoft Defender for Identity-sensorn domänkontrollantens LocalSystem konto och utför åtgärderna, inklusive scenarier som stör attacker från Microsoft Defender XDR.

Om du behöver ändra det här beteendet konfigurerar du en dedikerad gMSA och omfånget för de behörigheter som du behöver. Till exempel:

Screenshot of the Manage action accounts tab.

Kommentar

Det är valfritt att använda en dedikerad gMSA som ett åtgärdskonto. Vi rekommenderar att du använder standardinställningarna för LocalSystem kontot.

Metodtips för åtgärdskonton

Vi rekommenderar att du undviker att använda samma gMSA-konto som du har konfigurerat för Defender för identitetshanterade åtgärder på andra servrar än domänkontrollanter. Om du använder samma konto och servern komprometteras kan en angripare hämta lösenordet för kontot och få möjlighet att ändra lösenord och inaktivera konton.

Vi rekommenderar också att du undviker att använda samma konto som både katalogtjänstkontot och hantera åtgärdskontot. Det beror på att Katalogtjänstkontot endast kräver skrivskyddade behörigheter till Active Directory och att konton för hantera åtgärd behöver skrivbehörighet för användarkonton.

Om du har flera skogar måste ditt gMSA-hanterade åtgärdskonto vara betrott i alla dina skogar eller skapa en separat för varje skog. Mer information finns i Stöd för flera skogar i Microsoft Defender for Identity.

Skapa och konfigurera ett specifikt åtgärdskonto

  1. Skapa ett nytt gMSA-konto. Mer information finns i Komma igång med grupphanterade tjänstkonton.

  2. Tilldela inloggningen som en tjänst till gMSA-kontot på varje domänkontrollant som kör Defender for Identity-sensorn.

  3. Bevilja nödvändiga behörigheter till gMSA-kontot på följande sätt:

    1. Öppna Active Directory-användare och datorer.

    2. Högerklicka på relevant domän eller organisationsenhet och välj Egenskaper. Till exempel:

      Screenshot of selecting domain or OU properties.

    3. Gå till fliken Säkerhet och välj Avancerat. Till exempel:

      Screenshot of the advanced security settings.

    4. Välj Lägg till>Välj ett huvudnamn. Till exempel:

      Screenshot of selecting a principal.

    5. Kontrollera att tjänstkonton har markerats i Objekttyper. Till exempel:

      Screenshot oof selecting service accounts as object types.

    6. I rutan Ange det objektnamn som ska väljas anger du namnet på gMSA-kontot och väljer OK.

    7. I fältet Gäller för väljer du Underordnade användarobjekt, lämnar de befintliga inställningarna och lägger till de behörigheter och egenskaper som visas i följande exempel:

      Screenshot of setting permissions and properties.

      De behörigheter som krävs är:

      Åtgärd Behörigheter Egenskaper
      Aktivera framtvinga lösenordsåterställning Återställa lösenord - Read pwdLastSet
      - Write pwdLastSet
      Inaktivera användare - - Read userAccountControl
      - Write userAccountControl
    8. (Valfritt) I fältet Gäller för väljer du Underordnade gruppobjekt och anger följande egenskaper:

      • Read members
      • Write members
    9. Välj OK.

Lägg till gMSA-kontot i Microsoft Defender-portalen

  1. Gå till Microsoft Defender-portalen och välj Inställningar ->Identities>Microsoft Defender for Identity Manage action accounts+Create new account (Microsoft Defender for Identity>Manage action accounts>+Create new account).

    Till exempel:

    Screenshot of the Create new account button.

  2. Ange kontonamnet och domänen och välj Spara.

Ditt åtgärdskonto visas på sidan Hantera åtgärdskonton .

Mer information finns i Reparationsåtgärder i Microsoft Defender för identitet.