Microsoft Defender for Identity műveleti fiókok konfigurálása

A Defender for Identity lehetővé teszi a helyi Active Directory-fiókokat célzó szervizelési műveletek végrehajtását, ha egy identitás biztonsága sérül. A műveletek végrehajtásához Microsoft Defender for Identity rendelkeznie kell a szükséges engedélyekkel.

Alapértelmezés szerint a Microsoft Defender for Identity érzékelő megszemélyesíti a LocalSystem tartományvezérlő fiókját, és végrehajtja a műveleteket, beleértve a Microsoft Defender XDR támadási zavarait is.

Ha módosítania kell ezt a viselkedést, állítson be egy dedikált gMSA-t, és határozza meg a szükséges engedélyek hatókörét. Például:

Ajánlott eljárások a műveleti fiókokhoz

Javasoljuk, hogy ne használja ugyanazt a gMSA-fiókot, amelyet a Defender for Identity felügyelt műveleteihez konfigurált a tartományvezérlők kivételével a kiszolgálókon. Ha ugyanazt a fiókot használja, és a kiszolgáló biztonsága sérül, a támadó lekérheti a fiók jelszavát, és módosíthatja a jelszavakat, és letilthatja a fiókokat.

Azt is javasoljuk, hogy ne használja ugyanazt a fiókot, mint a Címtárszolgáltatás-fiók és a Művelet kezelése fiókot. Ennek az az oka, hogy a Címtárszolgáltatás-fiók csak olvasási engedélyeket igényel az Active Directoryhoz, a Műveletkezelés fiókoknak pedig írási engedélyekre van szükségük a felhasználói fiókokhoz.

Ha több erdővel rendelkezik, a gMSA által felügyelt műveleti fióknak megbízhatónak kell lennie az összes erdőben, vagy minden erdőhöz külön-külön kell létrehoznia egyet. További információ: Microsoft Defender for Identity többerdős támogatás.

Adott műveleti fiók létrehozása és konfigurálása

1. Hozzon létre egy új gMSA-fiókot. További információ: A csoportosan felügyelt szolgáltatásfiókok használatának első lépései.

2. Rendelje hozzá a Bejelentkezés szolgáltatásként jogosultságot a gMSA-fiókhoz minden olyan tartományvezérlőn, amely a Defender for Identity érzékelőt futtatja.

3. Adja meg a szükséges engedélyeket a gMSA-fióknak az alábbiak szerint:

   1. Nyissa meg Active Directory - felhasználók és számítógépek.

   2. Kattintson a jobb gombbal a megfelelő tartományra vagy szervezeti egységre, és válassza a Tulajdonságok parancsot. Például:

      

   3. Lépjen a Biztonság lapra, és válassza a Speciális lehetőséget. Például:

      

   4. Válassza az Add Select>a principal (Résztvevő kiválasztása) lehetőséget. Például:

      

   5. Győződjön meg arról, hogy a szolgáltatásfiókokobjektumtípusokban vannak megjelölve. Például:

      

   6. Az Adja meg a kijelölendő objektum nevét mezőbe írja be a gMSA-fiók nevét, majd kattintson az OK gombra.

   7. Az Érvényesség mezőben válassza a Leszármazott felhasználó objektumok lehetőséget, hagyja meg a meglévő beállításokat, és adja hozzá az alábbi példában látható engedélyeket és tulajdonságokat:

      

      A szükséges engedélyek a következők:

      Művelet	Engedélyek	Tulajdonságok
      Új jelszó kérésének kényszerítésének engedélyezése	Jelszó alaphelyzetbe állítása	- Read pwdLastSet - Write pwdLastSet
      A felhasználó letiltása	-	- Read userAccountControl - Write userAccountControl

   8. (Nem kötelező) Az Érvényesség mezőben válassza a Leszármazottcsoport-objektumok lehetőséget, és adja meg a következő tulajdonságokat:

      • Read members
      • Write members

   9. Kattintson az OK gombra.

A gMSA-fiók hozzáadása a Microsoft Defender portálon

1. Lépjen a Microsoft Defender portálra, és válassza a Beállítások ->Identitások>Microsoft Defender for Identity>Műveleti fiókok>kezelése+Új fiók létrehozása lehetőséget.

   Például:

   

2. Adja meg a fiók nevét és tartományát, majd válassza a Mentés lehetőséget.

A műveleti fiók megjelenik a Műveletfiókok kezelése lapon.

Kapcsolódó tartalom

További információ: Szervizelési műveletek a Microsoft Defender for Identity-ban.