Konfigurera Microsoft Defender för identitetsåtgärdskonton
Med Defender for Identity kan du vidta åtgärder för att åtgärda lokal Active Directory konton i händelse av att en identitet komprometteras. För att kunna vidta dessa åtgärder måste Microsoft Defender för identitet ha de behörigheter som krävs för att göra det.
Som standard personifierar Microsoft Defender for Identity-sensorn domänkontrollantens LocalSystem
konto och utför åtgärderna, inklusive scenarier som stör attacker från Microsoft Defender XDR.
Om du behöver ändra det här beteendet konfigurerar du en dedikerad gMSA och omfånget för de behörigheter som du behöver. Till exempel:
Kommentar
Det är valfritt att använda en dedikerad gMSA som ett åtgärdskonto. Vi rekommenderar att du använder standardinställningarna för LocalSystem
kontot.
Metodtips för åtgärdskonton
Vi rekommenderar att du undviker att använda samma gMSA-konto som du har konfigurerat för Defender för identitetshanterade åtgärder på andra servrar än domänkontrollanter. Om du använder samma konto och servern komprometteras kan en angripare hämta lösenordet för kontot och få möjlighet att ändra lösenord och inaktivera konton.
Vi rekommenderar också att du undviker att använda samma konto som både katalogtjänstkontot och hantera åtgärdskontot. Det beror på att Katalogtjänstkontot endast kräver skrivskyddade behörigheter till Active Directory och att konton för hantera åtgärd behöver skrivbehörighet för användarkonton.
Om du har flera skogar måste ditt gMSA-hanterade åtgärdskonto vara betrott i alla dina skogar eller skapa en separat för varje skog. Mer information finns i Stöd för flera skogar i Microsoft Defender for Identity.
Skapa och konfigurera ett specifikt åtgärdskonto
Skapa ett nytt gMSA-konto. Mer information finns i Komma igång med grupphanterade tjänstkonton.
Tilldela inloggningen som en tjänst till gMSA-kontot på varje domänkontrollant som kör Defender for Identity-sensorn.
Bevilja nödvändiga behörigheter till gMSA-kontot på följande sätt:
Öppna Active Directory-användare och datorer.
Högerklicka på relevant domän eller organisationsenhet och välj Egenskaper. Till exempel:
Gå till fliken Säkerhet och välj Avancerat. Till exempel:
Välj Lägg till>Välj ett huvudnamn. Till exempel:
Kontrollera att tjänstkonton har markerats i Objekttyper. Till exempel:
I rutan Ange det objektnamn som ska väljas anger du namnet på gMSA-kontot och väljer OK.
I fältet Gäller för väljer du Underordnade användarobjekt, lämnar de befintliga inställningarna och lägger till de behörigheter och egenskaper som visas i följande exempel:
De behörigheter som krävs är:
Åtgärd Behörigheter Egenskaper Aktivera framtvinga lösenordsåterställning Återställa lösenord - Read pwdLastSet
-Write pwdLastSet
Inaktivera användare - - Read userAccountControl
-Write userAccountControl
(Valfritt) I fältet Gäller för väljer du Underordnade gruppobjekt och anger följande egenskaper:
Read members
Write members
Välj OK.
Lägg till gMSA-kontot i Microsoft Defender-portalen
Gå till Microsoft Defender-portalen och välj Inställningar ->Identities>Microsoft Defender for Identity Manage action accounts+Create new account (Microsoft Defender for Identity>Manage action accounts>+Create new account).
Till exempel:
Ange kontonamnet och domänen och välj Spara.
Ditt åtgärdskonto visas på sidan Hantera åtgärdskonton .
Relaterat innehåll
Mer information finns i Reparationsåtgärder i Microsoft Defender för identitet.