مشاركة عبر

تكوين حسابات إجراءات Microsoft Defender for Identity

  • مقالة

يسمح لك Defender for Identity باتخاذ إجراءات معالجة تستهدف حسابات Active Directory محلي في حالة اختراق الهوية. لاتخاذ هذه الإجراءات، يحتاج Microsoft Defender for Identity إلى الحصول على الأذونات المطلوبة للقيام بذلك.

بشكل افتراضي، ينتحل LocalSystem مستشعر Microsoft Defender for Identity شخصية حساب وحدة التحكم بالمجال وينفذ الإجراءات، بما في ذلك سيناريوهات تعطيل الهجوم من Microsoft Defender XDR.

إذا كنت بحاجة إلى تغيير هذا السلوك، فقم بإعداد gMSA مخصص ونطاق الأذونات التي تحتاجها. على سبيل المثال:

لقطة شاشة لعلامة التبويب إدارة حسابات الإجراءات.

ملاحظة

استخدام gMSA مخصص كحساب إجراء اختياري. نوصي باستخدام الإعدادات الافتراضية LocalSystem للحساب.

أفضل الممارسات لحسابات الإجراءات

نوصي بتجنب استخدام نفس حساب gMSA الذي قمت بتكوينه للإجراءات المدارة ل Defender for Identity على خوادم أخرى غير وحدات التحكم بالمجال. إذا كنت تستخدم نفس الحساب وتم اختراق الخادم، يمكن للمهاجم استرداد كلمة المرور للحساب واكتساب القدرة على تغيير كلمات المرور وتعطيل الحسابات.

نوصي أيضا بتجنب استخدام نفس الحساب مثل كل من حساب خدمة الدليل وحساب إدارة الإجراء. وذلك لأن حساب خدمة الدليل يتطلب أذونات للقراءة فقط إلى Active Directory، وتحتاج حسابات إدارة الإجراءات إلى أذونات كتابة على حسابات المستخدمين.

إذا كان لديك غابات متعددة، يجب أن يكون حساب الإجراء المدار من gMSA موثوقا به في جميع الغابات الخاصة بك، أو إنشاء غابة منفصلة لكل غابة. لمزيد من المعلومات، راجع Microsoft Defender for Identity دعم متعدد الغابات.

إنشاء حساب إجراء معين وتكوينه

  1. إنشاء حساب gMSA جديد. لمزيد من المعلومات، راجع بدء استخدام حسابات الخدمة المدارة للمجموعة.

  2. قم بتعيين حق تسجيل الدخول كخدمة إلى حساب gMSA على كل وحدة تحكم بالمجال تقوم بتشغيل مستشعر Defender for Identity.

  3. امنح الأذونات المطلوبة لحساب gMSA كما يلي:

    1. افتح Active Directory Users and Computers.

    2. انقر بزر الماوس الأيمن فوق المجال ذي الصلة أو الوحدة التنظيمية وحدد خصائص. على سبيل المثال:

      لقطة شاشة لتحديد خصائص المجال أو الوحدة التنظيمية.

    3. انتقل إلى علامة التبويب الأمان وحدد خيارات متقدمة. على سبيل المثال:

      لقطة شاشة لإعدادات الأمان المتقدمة.

    4. حدد Add>Select a principal. على سبيل المثال:

      لقطة شاشة لتحديد كيان.

    5. تأكد من وضع علامة على حسابات الخدمة في أنواع العناصر. على سبيل المثال:

      لقطة شاشة لتحديد حسابات الخدمة لأنواع العناصر.

    6. في المربع Enter the object name to select ، أدخل اسم حساب gMSA وحدد OK.

    7. في الحقل ينطبق على ، حدد عناصر المستخدم التابع، واترك الإعدادات الموجودة، وأضف الأذونات والخصائص الموضحة في المثال التالي:

      لقطة شاشة لإعداد الأذونات والخصائص.

      تتضمن الأذونات المطلوبة ما يلي:

      فعل الأذونات الخصائص
      تمكين فرض إعادة تعيين كلمة المرور إعادة تعيين كلمة المرور - Read pwdLastSet
      - Write pwdLastSet
      لتعطيل المستخدم - - Read userAccountControl
      - Write userAccountControl

    8. (اختياري) في الحقل ينطبق على ، حدد عناصر المجموعة التابعة وقم بتعيين الخصائص التالية:

      • Read members
      • Write members

    9. حدد موافق.

إضافة حساب gMSA في مدخل Microsoft Defender

  1. انتقل إلى مدخل Microsoft Defender وحدد الإعدادات ->الهويات>Microsoft Defender for Identity>إدارة حسابات> الإجراءات+إنشاء حساب جديد.

    على سبيل المثال:

    لقطة شاشة لزر إنشاء حساب جديد.

  2. أدخل اسم الحساب والمجال وحدد حفظ.

يتم سرد حساب الإجراء الخاص بك في صفحة إدارة حسابات الإجراءات .

المحتويات ذات الصلة

لمزيد من المعلومات، راجع إجراءات المعالجة في Microsoft Defender for Identity.