Megosztás a következőn keresztül:


Microsoft Defender for Identity műveleti fiókok konfigurálása

A Defender for Identity lehetővé teszi a helyi Active Directory-fiókokat célzó szervizelési műveletek végrehajtását, ha egy identitás biztonsága sérül. A műveletek végrehajtásához Microsoft Defender for Identity rendelkeznie kell a szükséges engedélyekkel.

Alapértelmezés szerint a Microsoft Defender for Identity érzékelő megszemélyesíti a LocalSystem tartományvezérlő fiókját, és végrehajtja a műveleteket, beleértve a Microsoft Defender XDR támadási zavarait is.

Ha módosítania kell ezt a viselkedést, állítson be egy dedikált gMSA-t, és határozza meg a szükséges engedélyek hatókörét. Például:

Képernyőkép a Műveletfiókok kezelése lapról.

Megjegyzés:

A dedikált gMSA használata műveletfiókként nem kötelező. Javasoljuk, hogy a fiók alapértelmezett beállításait LocalSystem használja.

Ajánlott eljárások a műveleti fiókokhoz

Javasoljuk, hogy ne használja ugyanazt a gMSA-fiókot, amelyet a Defender for Identity felügyelt műveleteihez konfigurált a tartományvezérlők kivételével a kiszolgálókon. Ha ugyanazt a fiókot használja, és a kiszolgáló biztonsága sérül, a támadó lekérheti a fiók jelszavát, és módosíthatja a jelszavakat, és letilthatja a fiókokat.

Azt is javasoljuk, hogy ne használja ugyanazt a fiókot, mint a Címtárszolgáltatás-fiók és a Művelet kezelése fiókot. Ennek az az oka, hogy a Címtárszolgáltatás-fiók csak olvasási engedélyeket igényel az Active Directoryhoz, a Műveletkezelés fiókoknak pedig írási engedélyekre van szükségük a felhasználói fiókokhoz.

Ha több erdővel rendelkezik, a gMSA által felügyelt műveleti fióknak megbízhatónak kell lennie az összes erdőben, vagy minden erdőhöz külön-külön kell létrehoznia egyet. További információ: Microsoft Defender for Identity többerdős támogatás.

Adott műveleti fiók létrehozása és konfigurálása

  1. Hozzon létre egy új gMSA-fiókot. További információ: A csoportosan felügyelt szolgáltatásfiókok használatának első lépései.

  2. Rendelje hozzá a Bejelentkezés szolgáltatásként jogosultságot a gMSA-fiókhoz minden olyan tartományvezérlőn, amely a Defender for Identity érzékelőt futtatja.

  3. Adja meg a szükséges engedélyeket a gMSA-fióknak az alábbiak szerint:

    1. Nyissa meg Active Directory - felhasználók és számítógépek.

    2. Kattintson a jobb gombbal a megfelelő tartományra vagy szervezeti egységre, és válassza a Tulajdonságok parancsot. Például:

      Képernyőkép a tartomány- vagy szervezeti egység tulajdonságainak kiválasztásáról.

    3. Lépjen a Biztonság lapra, és válassza a Speciális lehetőséget. Például:

      A speciális biztonsági beállítások képernyőképe.

    4. Válassza az Add Select>a principal (Résztvevő kiválasztása) lehetőséget. Például:

      Rendszerbiztonsági tag kiválasztásának képernyőképe.

    5. Győződjön meg arról, hogy a szolgáltatásfiókokobjektumtípusokban vannak megjelölve. Például:

      Képernyőkép a szolgáltatásfiókok objektumtípusként való kiválasztásáról.

    6. Az Adja meg a kijelölendő objektum nevét mezőbe írja be a gMSA-fiók nevét, majd kattintson az OK gombra.

    7. Az Érvényesség mezőben válassza a Leszármazott felhasználó objektumok lehetőséget, hagyja meg a meglévő beállításokat, és adja hozzá az alábbi példában látható engedélyeket és tulajdonságokat:

      Képernyőkép az engedélyek és tulajdonságok beállításáról.

      A szükséges engedélyek a következők:

      Művelet Engedélyek Tulajdonságok
      Új jelszó kérésének kényszerítésének engedélyezése Jelszó alaphelyzetbe állítása - Read pwdLastSet
      - Write pwdLastSet
      A felhasználó letiltása - - Read userAccountControl
      - Write userAccountControl
    8. (Nem kötelező) Az Érvényesség mezőben válassza a Leszármazottcsoport-objektumok lehetőséget, és adja meg a következő tulajdonságokat:

      • Read members
      • Write members
    9. Kattintson az OK gombra.

A gMSA-fiók hozzáadása a Microsoft Defender portálon

  1. Lépjen a Microsoft Defender portálra, és válassza a Beállítások ->Identitások>Microsoft Defender for Identity>Műveleti fiókok>kezelése+Új fiók létrehozása lehetőséget.

    Például:

    Képernyőkép az Új fiók létrehozása gombról.

  2. Adja meg a fiók nevét és tartományát, majd válassza a Mentés lehetőséget.

A műveleti fiók megjelenik a Műveletfiókok kezelése lapon.

További információ: Szervizelési műveletek a Microsoft Defender for Identity-ban.