Címtárszolgáltatás-fiókok a Microsoft Defender for Identity
Ez a cikk azt ismerteti, hogy Microsoft Defender for Identity hogyan használja a címtárszolgáltatás-fiókokat (DSA-kat).
Megjegyzés:
A konfigurált címtárszolgáltatás-fiókoktól függetlenül az érzékelőszolgáltatás a LocalService identitás alatt, a frissítő szolgáltatás pedig a LocalSystem identitás alatt fog működni.
Bár a DSA bizonyos esetekben nem kötelező, javasoljuk, hogy konfiguráljon egy DSA-t a Defender for Identityhez a teljes biztonsági lefedettség érdekében.
Ha például konfigurált egy DSA-t, a rendszer a DSA használatával csatlakozik a tartományvezérlőhöz indításkor. A DSA használatával a tartományvezérlő lekérdezheti a hálózati forgalomban, a figyelt eseményekben és a figyelt ETW-tevékenységekben látott entitások adatait.
A következő funkciókhoz és funkciókhoz DSA szükséges:
Ha egy AD FS-/AD CS-kiszolgálón telepített érzékelővel dolgozik.
Taglisták kérése a helyi rendszergazdai csoportokhoz a hálózati forgalomban, eseményekben és ETW-tevékenységekben látható eszközökről az eszközre irányuló SAM-R-híváson keresztül. Az összegyűjtött adatok a lehetséges oldalirányú mozgási útvonalak kiszámítására szolgálnak.
Hozzáférés a DeletedObjects tárolóhoz, hogy adatokat gyűjtsön a törölt felhasználókról és számítógépekről.
Tartomány- és megbízhatósági leképezés, amely az érzékelő indításakor, majd ismét 10 percenként történik.
Egy másik tartomány LDAP-on keresztüli lekérdezése részletekért, amikor észleli a tevékenységeket a többi tartomány entitásaiból.
Ha egyetlen DSA-t használ, a DSA-nak olvasási engedéllyel kell rendelkeznie az erdők összes tartományához. Nem megbízható, többerdős környezetben minden erdőhöz DSA-fiókra van szükség.
Minden tartományban egy érzékelő van definiálva a tartományszinkronizálóként, és felelős a tartományban lévő entitások változásainak nyomon követéséért. A módosítások közé tartozhatnak például a létrehozott objektumok, a Defender for Identity által nyomon követett entitásattribútumok stb.
Megjegyzés:
Alapértelmezés szerint a Defender for Identity legfeljebb 30 hitelesítő adatot támogat. További hitelesítő adatok hozzáadásához lépjen kapcsolatba a Defender for Identity ügyfélszolgálatával.
Támogatott DSA-fiókbeállítások
A Defender for Identity a következő DSA-lehetőségeket támogatja:
| Választási lehetőség | Leírás | Konfiguráció |
|---|---|---|
| Csoportosan felügyelt szolgáltatásfiók gMSA (ajánlott) | Biztonságosabb üzembe helyezést és jelszókezelést biztosít. Az Active Directory a számítógépfiók jelszavához hasonlóan kezeli a fiók jelszavának létrehozását és rotálását, és szabályozhatja a fiók jelszavának módosításának gyakoriságát. | További információ: Címtárszolgáltatás-fiók konfigurálása a Defender for Identityhez gMSA-val. |
| Normál felhasználói fiók | Az első lépések során könnyen használható, és egyszerűbben konfigurálhatja az olvasási engedélyeket a megbízható erdők között, de további többletterhelést igényel a jelszókezeléshez. A normál felhasználói fiókok kevésbé biztonságosak, mivel jelszavakat kell létrehozniuk és kezelniük, és állásidőt okozhatnak, ha a jelszó lejár, és nem frissül mind a felhasználó, mind a DSA számára. |
Hozzon létre egy új fiókot az Active Directoryban dSA-ként, amely olvasási engedélyekkel rendelkezik az összes objektumhoz, beleértve a DeletedObjects tároló engedélyeit is. További információ: Szükséges DSA-engedélyek megadása. |
| Helyi szolgáltatásfiók | A helyi szolgáltatásfiókot a rendszer a dobozon kívül használja, és alapértelmezés szerint akkor használja, ha nincs konfigurálva DSA. Jegyzet: |
Egyikre sem. |
Megjegyzés:
Bár a helyi szolgáltatásfiókot alapértelmezés szerint az érzékelővel együtt használják, és bizonyos esetekben a DSA nem kötelező, javasoljuk, hogy konfiguráljon egy DSA-t a Defender for Identityhez a teljes biztonsági lefedettség érdekében.
DSA-bejegyzés használata
Ez a szakasz ismerteti a DSA-bejegyzések használatát, valamint azt, hogy az érzékelő hogyan választ ki egy DSA-bejegyzést egy adott forgatókönyvben. Az érzékelőkísérletek a DSA-bejegyzés típusától függően eltérnek:
| Típus | Leírás |
|---|---|
| gMSA-fiók | Az érzékelő megpróbálja lekérni a gMSA-fiók jelszavát az Active Directoryból, majd bejelentkezik a tartományba. |
| Normál felhasználói fiók | Az érzékelő a konfigurált felhasználónévvel és jelszóval próbál bejelentkezni a tartományba. |
A rendszer a következő logikát alkalmazza:
Az érzékelő egy olyan bejegyzést keres, amely pontosan megegyezik a céltartomány tartománynevével. Ha pontos egyezést talál, az érzékelő a bejegyzésben szereplő hitelesítő adatokkal kísérli meg a hitelesítést.
Ha nincs pontos egyezés, vagy ha a hitelesítés sikertelen volt, az érzékelő a DNS teljes tartománynevével keres egy bejegyzést a szülőtartományban, és ehelyett a szülőbejegyzés hitelesítő adataival kísérli meg a hitelesítést.
Ha nincs bejegyzés a szülőtartományhoz, vagy ha a hitelesítés sikertelen volt, az érzékelő megkeresi a listában egy testvértartomány-bejegyzést a DNS teljes tartománynevével, és ehelyett a testvérbejegyzés hitelesítő adataival kísérli meg a hitelesítést.
Ha nem található bejegyzés a testvértartományhoz, vagy ha a hitelesítés sikertelen volt, az érzékelő újra áttekinti a listát, és újra megkísérli a hitelesítést minden bejegyzéssel, amíg az sikeres nem lesz. A DSA gMSA-bejegyzések prioritása magasabb, mint a normál DSA-bejegyzések.
Mintalogika DSA-val
Ez a szakasz egy példát mutat be arra, hogy az érzékelő hogyan próbálja meg a DSA-t teljes egészében, ha több fiókkal rendelkezik, beleértve a gMSA-fiókot és a normál fiókot is.
A rendszer a következő logikát alkalmazza:
Az érzékelő egyezést keres a céltartomány DNS-tartományneve( például
emea.contoso.comés a DSA gMSA-bejegyzés, példáulemea.contoso.com) között.Az érzékelő egyezést keres a céltartomány DNS-tartományneve, például
emea.contoso.coma és a DSA normál bejegyzésű DSA között, példáulemea.contoso.comAz érzékelő egyezést keres a céltartomány gyökér DNS-nevében, például
emea.contoso.comés a DSA gMSA bejegyzés tartománynevében, példáulcontoso.com: .Az érzékelő egyezést keres a céltartomány gyökér DNS-nevében, például
emea.contoso.comés a DSA normál bejegyzési tartománynevében, példáulcontoso.com: .Az érzékelő megkeresi egy testvértartomány céltartománynevét, például
emea.contoso.comés a DSA gMSA bejegyzés tartománynevét, példáulapac.contoso.com: .Az érzékelő megkeresi egy testvértartomány céltartománynevét, például
emea.contoso.coma és a DSA normál bejegyzési tartománynevét, példáulapac.contoso.com: .Az érzékelő az összes DSA gMSA-bejegyzés ciklikus időszeletelését futtatja.
Az érzékelő az összes DSA-bejegyzés ciklikus időszeletelését futtatja.
Az ebben a példában bemutatott logika a következő konfigurációval van implementálva:
DSA-bejegyzések:
DSA1.emea.contoso.comDSA2.fabrikam.com
Érzékelők és az elsőként használt DSA-bejegyzés:
Tartományvezérlő teljes tartományneve Használt DSA-bejegyzés DC01.emea.contoso.comDSA1.emea.contoso.comDC02.contoso.comDSA1.emea.contoso.comDC03.fabrikam.comDSA2.fabrikam.comDC04.contoso.localCiklikus időszeletelés
Fontos
Ha egy érzékelő indításkor nem tud sikeresen hitelesítést végezni az LDAP-n keresztül az Active Directory-tartományba, az érzékelő nem lép be futó állapotba, és állapotbeli probléma jön létre. További információ: A Defender for Identity állapotproblémái.
A szükséges DSA-engedélyek megadása
A DSA csak olvasási engedélyeket igényel az Active Directory összes objektumához, beleértve a Törölt objektumok tárolót is.
A Törölt objektumok tároló írásvédett engedélyei lehetővé teszik a Defender for Identity számára, hogy észlelje az Active Directoryból származó felhasználói törléseket.
Az alábbi kódmintával biztosíthatja a szükséges olvasási engedélyeket a Törölt objektumok tárolóhoz, függetlenül attól, hogy gMSA-fiókot használ-e.
Tipp
Ha az a DSA, amelyhez engedélyeket kíván adni, csoport által felügyelt szolgáltatásfiók (gMSA), először létre kell hoznia egy biztonsági csoportot, hozzá kell adnia a gMSA-t tagként, majd hozzá kell adnia az engedélyeket a csoporthoz. További információ: Címtárszolgáltatás-fiók konfigurálása a Defender for Identityhez gMSA-val.
# Declare the identity that you want to add read access to the deleted objects container:
$Identity = 'mdiSvc01'
# If the identity is a gMSA, first to create a group and add the gMSA to it:
$groupName = 'mdiUsr01Group'
$groupDescription = 'Members of this group are allowed to read the objects in the Deleted Objects container in AD'
if(Get-ADServiceAccount -Identity $Identity -ErrorAction SilentlyContinue) {
$groupParams = @{
Name = $groupName
SamAccountName = $groupName
DisplayName = $groupName
GroupCategory = 'Security'
GroupScope = 'Universal'
Description = $groupDescription
}
$group = New-ADGroup @groupParams -PassThru
Add-ADGroupMember -Identity $group -Members ('{0}$' -f $Identity)
$Identity = $group.Name
}
# Get the deleted objects container's distinguished name:
$distinguishedName = ([adsi]'').distinguishedName.Value
$deletedObjectsDN = 'CN=Deleted Objects,{0}' -f $distinguishedName
# Take ownership on the deleted objects container:
$params = @("$deletedObjectsDN", '/takeOwnership')
C:\Windows\System32\dsacls.exe $params
# Grant the 'List Contents' and 'Read Property' permissions to the user or group:
$params = @("$deletedObjectsDN", '/G', ('{0}\{1}:LCRP' -f ([adsi]'').name.Value, $Identity))
C:\Windows\System32\dsacls.exe $params
# To remove the permissions, uncomment the next 2 lines and run them instead of the two prior ones:
# $params = @("$deletedObjectsDN", '/R', ('{0}\{1}' -f ([adsi]'').name.Value, $Identity))
# C:\Windows\System32\dsacls.exe $params
További információ: Törölt objektumtároló engedélyeinek módosítása.
DSA-engedélyek és -delegálások tesztelése a PowerShell-lel
Az alábbi PowerShell-paranccsal ellenőrizze, hogy a DSA nem rendelkezik-e túl sok engedéllyel, például hatékony rendszergazdai engedélyekkel:
Test-MDIDSA [-Identity] <String> [-Detailed] [<CommonParameters>]
Ha például ellenőrizni szeretné az mdiSvc01-fiók engedélyeit, és részletes adatokat szeretne megadni, futtassa a következőt:
Test-MDIDSA -Identity "mdiSvc01" -Detailed
További információ: DefenderForIdentity PowerShell-referencia.