مشاركة عبر

حسابات خدمة الدليل Microsoft Defender for Identity

  • مقالة

توضح هذه المقالة كيفية استخدام Microsoft Defender for Identity لحسابات خدمة الدليل (DSAs).

ملاحظة

بغض النظر عن حسابات خدمة الدليل التي تم تكوينها، ستعمل خدمة الاستشعار ضمن هوية LocalService، وستعمل خدمة المحدث ضمن هوية LocalSystem.

في حين أن DSA اختياري في بعض السيناريوهات، نوصي بتكوين DSA ل Defender for Identity لتغطية الأمان الكاملة.

على سبيل المثال، عندما يكون لديك DSA تم تكوينه، يتم استخدام DSA للاتصال بوحدة التحكم بالمجال عند بدء التشغيل. يمكن أيضا استخدام DSA للاستعلام عن وحدة تحكم المجال للبيانات على الكيانات التي تظهر في حركة مرور الشبكة والأحداث المراقبة وأنشطة ETW المراقبة

مطلوب DSA للميزات والوظائف التالية:

  • عند العمل مع أداة استشعار مثبتة على خادم AD FS / AD CS.

  • طلب قوائم الأعضاء لمجموعات المسؤولين المحليين من الأجهزة التي تظهر في حركة مرور الشبكة والأحداث وأنشطة ETW عبر استدعاء SAM-R الذي تم إجراؤه على الجهاز. يتم استخدام البيانات المجمعة لحساب مسارات الحركة الجانبية المحتملة.

  • الوصول إلى حاوية DeletedObjects لجمع معلومات حول المستخدمين وأجهزة الكمبيوتر المحذوفة.

  • تعيين المجال والثقة، والذي يحدث عند بدء تشغيل أداة الاستشعار، ومرة أخرى كل 10 دقائق.

  • الاستعلام عن مجال آخر عبر LDAP للحصول على التفاصيل، عند الكشف عن الأنشطة من الكيانات في تلك المجالات الأخرى.

عند استخدام DSA واحد، يجب أن يكون لدى DSA أذونات قراءة لجميع المجالات في الغابات. في بيئة متعددة الغابات غير موثوق بها، يلزم حساب DSA لكل غابة.

يتم تعريف مستشعر واحد في كل مجال على أنه مزامن المجال، وهو مسؤول عن تعقب التغييرات على الكيانات في المجال. على سبيل المثال، قد تتضمن التغييرات العناصر التي تم إنشاؤها، وسمات الكيان التي تم تعقبها بواسطة Defender for Identity، وما إلى ذلك.

ملاحظة

بشكل افتراضي، يدعم Defender for Identity ما يصل إلى 30 بيانات اعتماد. لإضافة المزيد من بيانات الاعتماد، اتصل بدعم Defender for Identity.

خيارات حساب DSA المدعومة

يدعم Defender for Identity خيارات DSA التالية:

خيار الوصف التكوين
حساب الخدمة المدارة للمجموعة gMSA (مستحسن) يوفر توزيعا أكثر أمانا وإدارة كلمات المرور. يدير Active Directory إنشاء كلمة مرور الحساب وتدارتها، تماما مثل كلمة مرور حساب الكمبيوتر، ويمكنك التحكم في عدد مرات تغيير كلمة مرور الحساب. لمزيد من المعلومات، راجع تكوين حساب خدمة الدليل ل Defender for Identity باستخدام gMSA.
حساب مستخدم عادي سهل الاستخدام عند البدء، وأبسط لتكوين أذونات القراءة بين الغابات الموثوق بها، ولكنه يتطلب نفقات إضافية لإدارة كلمة المرور.

حساب المستخدم العادي أقل أمانا، لأنه يتطلب منك إنشاء كلمات المرور وإدارتها، ويمكن أن يؤدي إلى وقت تعطل إذا انتهت صلاحية كلمة المرور ولم يتم تحديثها لكل من المستخدم وDSA.		 أنشئ حسابا جديدا في Active Directory لاستخدامه ك DSA مع أذونات القراءة لجميع الكائنات، بما في ذلك الأذونات إلى حاوية DeletedObjects . لمزيد من المعلومات، راجع منح أذونات DSA المطلوبة.
حساب الخدمة المحلية يتم استخدام حساب الخدمة المحلية خارج الصندوق ويستخدم افتراضيا عندما لا يكون هناك DSA مكون.
ملاحظه:
  • استعلامات SAM-R لمسارات الحركة الجانبية المحتملة غير مدعومة في هذا السيناريو.
  • يتم تثبيت استعلامات LDAP فقط داخل المجال المستشعر. ستفشل الاستعلامات إلى مجالات أخرى في نفس الغابة أو عبر الغابة.
    		•  بلا

    ملاحظة

    بينما يتم استخدام حساب الخدمة المحلية مع أداة الاستشعار بشكل افتراضي، وDSA اختياري في بعض السيناريوهات، نوصي بتكوين DSA ل Defender for Identity لتغطية أمنية كاملة.

    استخدام إدخال DSA

    يصف هذا القسم كيفية استخدام إدخالات DSA، وكيف يحدد المستشعر إدخال DSA في أي سيناريو معين. تختلف محاولات المستشعر، اعتمادا على نوع إدخال DSA:

    نوع الوصف
    حساب gMSA يحاول المستشعر استرداد كلمة مرور حساب gMSA من Active Directory، ثم يسجل الدخول إلى المجال.
    حساب مستخدم عادي يحاول المستشعر تسجيل الدخول إلى المجال باستخدام اسم المستخدم وكلمة المرور المكونين.

    يتم تطبيق المنطق التالي:

    1. يبحث المستشعر عن إدخال مع تطابق تام لاسم المجال للمجال الهدف. إذا تم العثور على تطابق تام، يحاول المستشعر المصادقة باستخدام بيانات الاعتماد في هذا الإدخال.

    2. إذا لم يكن هناك تطابق تام، أو إذا فشلت المصادقة، يبحث المستشعر في القائمة عن إدخال إلى المجال الأصل باستخدام DNS FQDN، ويحاول المصادقة باستخدام بيانات الاعتماد في الإدخال الأصل بدلا من ذلك.

    3. إذا لم يكن هناك إدخال للمجال الأصل، أو إذا فشلت المصادقة، يبحث المستشعر في القائمة عن إدخال مجال تابع، باستخدام DNS FQDN، ويحاول المصادقة باستخدام بيانات الاعتماد في إدخال التابع بدلا من ذلك.

    4. إذا لم يكن هناك إدخال للمجال التابع، أو إذا فشلت المصادقة، يقوم المستشعر بمراجعة القائمة مرة أخرى ويحاول المصادقة مرة أخرى مع كل إدخال حتى ينجح. تحتوي إدخالات DSA gMSA على أولوية أعلى من إدخالات DSA العادية.

    نموذج منطق مع DSA

    يوفر هذا القسم مثالا على كيفية محاولة المستشعر لكامل DSA عندما يكون لديك حسابات متعددة، بما في ذلك كل من حساب gMSA وحساب عادي.

    يتم تطبيق المنطق التالي:

    1. يبحث المستشعر عن تطابق بين اسم مجال DNS للمجال الهدف، مثل emea.contoso.com وإدخال DSA gMSA، مثل emea.contoso.com.

    2. يبحث المستشعر عن تطابق بين اسم مجال DNS للمجال الهدف، مثل emea.contoso.com و DSA الإدخال العادي DSA، مثل emea.contoso.com

    3. يبحث المستشعر عن تطابق في اسم DNS الجذر للمجال الهدف، مثل emea.contoso.com واسم مجال إدخال DSA gMSA، مثل contoso.com.

    4. يبحث المستشعر عن تطابق في اسم DNS الجذر للمجال الهدف، مثل emea.contoso.com واسم مجال الإدخال العادي DSA، مثل contoso.com.

    5. يبحث المستشعر عن اسم المجال الهدف لمجال تابع، مثل emea.contoso.com واسم مجال إدخال DSA gMSA، مثل apac.contoso.com.

    6. يبحث المستشعر عن اسم المجال الهدف لمجال تابع، مثل emea.contoso.com واسم مجال الإدخال العادي ل DSA، مثل apac.contoso.com.

    7. يقوم المستشعر بتشغيل الترتيب الدوري لجميع إدخالات DSA gMSA.

    8. يقوم المستشعر بتشغيل الترتيب الدوري لجميع إدخالات DSA العادية.

    يتم تنفيذ المنطق الموضح في هذا المثال بالتكوين التالي:

    • إدخالات DSA:

      • DSA1.emea.contoso.com
      • DSA2.fabrikam.com

    • أدوات الاستشعار وإدخال DSA المستخدم أولا:

      FQDN لوحدة تحكم المجال إدخال DSA المستخدم
      DC01.emea.contoso.com DSA1.emea.contoso.com
      DC02.contoso.com DSA1.emea.contoso.com
      DC03.fabrikam.com DSA2.fabrikam.com
      DC04.contoso.local الترتيب الدوري

    هام

    إذا لم يتمكن المستشعر من المصادقة بنجاح عبر LDAP إلى مجال Active Directory عند بدء التشغيل، فلن يدخل المستشعر في حالة تشغيل ويتم إنشاء مشكلة صحية. لمزيد من المعلومات، راجع مشكلات حماية Defender for Identity.

    منح أذونات DSA المطلوبة

    يتطلب DSA أذونات للقراءة فقط على جميع العناصر في Active Directory، بما في ذلك حاوية الكائنات المحذوفة.

    تسمح أذونات القراءة فقط في حاوية العناصر المحذوفة ل Defender for Identity بالكشف عن عمليات حذف المستخدم من Active Directory الخاص بك.

    استخدم نموذج التعليمات البرمجية التالي لمساعدتك في منح أذونات القراءة المطلوبة على حاوية الكائنات المحذوفة ، سواء كنت تستخدم حساب gMSA أم لا.

    تلميح

    إذا كان DSA الذي تريد منح الأذونات له هو حساب خدمة مدارة للمجموعة (gMSA)، فيجب عليك أولا إنشاء مجموعة أمان، وإضافة gMSA كعضو، وإضافة الأذونات إلى تلك المجموعة. لمزيد من المعلومات، راجع تكوين حساب خدمة الدليل ل Defender for Identity باستخدام gMSA.

    # Declare the identity that you want to add read access to the deleted objects container:
$Identity = 'mdiSvc01'

# If the identity is a gMSA, first to create a group and add the gMSA to it:
$groupName = 'mdiUsr01Group'
$groupDescription = 'Members of this group are allowed to read the objects in the Deleted Objects container in AD'
if(Get-ADServiceAccount -Identity $Identity -ErrorAction SilentlyContinue) {
    $groupParams = @{
        Name           = $groupName
        SamAccountName = $groupName
        DisplayName    = $groupName
        GroupCategory  = 'Security'
        GroupScope     = 'Universal'
        Description    = $groupDescription
    }
    $group = New-ADGroup @groupParams -PassThru
    Add-ADGroupMember -Identity $group -Members ('{0}$' -f $Identity)
    $Identity = $group.Name
}

# Get the deleted objects container's distinguished name:
$distinguishedName = ([adsi]'').distinguishedName.Value
$deletedObjectsDN = 'CN=Deleted Objects,{0}' -f $distinguishedName

# Take ownership on the deleted objects container:
$params = @("$deletedObjectsDN", '/takeOwnership')
C:\Windows\System32\dsacls.exe $params

# Grant the 'List Contents' and 'Read Property' permissions to the user or group:
$params = @("$deletedObjectsDN", '/G', ('{0}\{1}:LCRP' -f ([adsi]'').name.Value, $Identity))
C:\Windows\System32\dsacls.exe $params
  
# To remove the permissions, uncomment the next 2 lines and run them instead of the two prior ones:
# $params = @("$deletedObjectsDN", '/R', ('{0}\{1}' -f ([adsi]'').name.Value, $Identity))
# C:\Windows\System32\dsacls.exe $params

    لمزيد من المعلومات، راجع تغيير الأذونات على حاوية كائن محذوفة.

    اختبار أذونات وتفويضات DSA عبر PowerShell

    استخدم أمر PowerShell التالي للتحقق من أن DSA ليس لديه العديد من الأذونات، مثل أذونات المسؤول القوية:

    Test-MDIDSA [-Identity] <String> [-Detailed] [<CommonParameters>]

    على سبيل المثال، للتحقق من أذونات حساب mdiSvc01 وتوفير التفاصيل الكاملة، قم بتشغيل:

    Test-MDIDSA -Identity "mdiSvc01" -Detailed

    لمزيد من المعلومات، راجع مرجع DefenderForIdentity PowerShell.

    الخطوة التالية

    تكوين حساب خدمة الدليل ل Defender for Identity باستخدام gMSA »