Microsoft Defender for Identity műveleti fiókok konfigurálása
A Defender for Identity lehetővé teszi a helyi Active Directory-fiókokat célzó szervizelési műveletek végrehajtását, ha egy identitás biztonsága sérül. A műveletek végrehajtásához Microsoft Defender for Identity rendelkeznie kell a szükséges engedélyekkel.
Alapértelmezés szerint a Microsoft Defender for Identity érzékelő megszemélyesíti a LocalSystem
tartományvezérlő fiókját, és végrehajtja a műveleteket, beleértve a Microsoft Defender XDR támadási zavarait is.
Ha módosítania kell ezt a viselkedést, állítson be egy dedikált gMSA-t, és határozza meg a szükséges engedélyek hatókörét. Például:
Megjegyzés:
A dedikált gMSA használata műveletfiókként nem kötelező. Javasoljuk, hogy a fiók alapértelmezett beállításait LocalSystem
használja.
Ajánlott eljárások a műveleti fiókokhoz
Javasoljuk, hogy ne használja ugyanazt a gMSA-fiókot, amelyet a Defender for Identity felügyelt műveleteihez konfigurált a tartományvezérlők kivételével a kiszolgálókon. Ha ugyanazt a fiókot használja, és a kiszolgáló biztonsága sérül, a támadó lekérheti a fiók jelszavát, és módosíthatja a jelszavakat, és letilthatja a fiókokat.
Azt is javasoljuk, hogy ne használja ugyanazt a fiókot, mint a Címtárszolgáltatás-fiók és a Művelet kezelése fiókot. Ennek az az oka, hogy a Címtárszolgáltatás-fiók csak olvasási engedélyeket igényel az Active Directoryhoz, a Műveletkezelés fiókoknak pedig írási engedélyekre van szükségük a felhasználói fiókokhoz.
Ha több erdővel rendelkezik, a gMSA által felügyelt műveleti fióknak megbízhatónak kell lennie az összes erdőben, vagy minden erdőhöz külön-külön kell létrehoznia egyet. További információ: Microsoft Defender for Identity többerdős támogatás.
Adott műveleti fiók létrehozása és konfigurálása
Hozzon létre egy új gMSA-fiókot. További információ: A csoportosan felügyelt szolgáltatásfiókok használatának első lépései.
Rendelje hozzá a Bejelentkezés szolgáltatásként jogosultságot a gMSA-fiókhoz minden olyan tartományvezérlőn, amely a Defender for Identity érzékelőt futtatja.
Adja meg a szükséges engedélyeket a gMSA-fióknak az alábbiak szerint:
Nyissa meg Active Directory - felhasználók és számítógépek.
Kattintson a jobb gombbal a megfelelő tartományra vagy szervezeti egységre, és válassza a Tulajdonságok parancsot. Például:
Lépjen a Biztonság lapra, és válassza a Speciális lehetőséget. Például:
Válassza az Add Select>a principal (Résztvevő kiválasztása) lehetőséget. Például:
Győződjön meg arról, hogy a szolgáltatásfiókokobjektumtípusokban vannak megjelölve. Például:
Az Adja meg a kijelölendő objektum nevét mezőbe írja be a gMSA-fiók nevét, majd kattintson az OK gombra.
Az Érvényesség mezőben válassza a Leszármazott felhasználó objektumok lehetőséget, hagyja meg a meglévő beállításokat, és adja hozzá az alábbi példában látható engedélyeket és tulajdonságokat:
A szükséges engedélyek a következők:
Művelet Engedélyek Tulajdonságok Új jelszó kérésének kényszerítésének engedélyezése Jelszó alaphelyzetbe állítása - Read pwdLastSet
-Write pwdLastSet
A felhasználó letiltása - - Read userAccountControl
-Write userAccountControl
(Nem kötelező) Az Érvényesség mezőben válassza a Leszármazottcsoport-objektumok lehetőséget, és adja meg a következő tulajdonságokat:
Read members
Write members
Kattintson az OK gombra.
A gMSA-fiók hozzáadása a Microsoft Defender portálon
Lépjen a Microsoft Defender portálra, és válassza a Beállítások ->Identitások>Microsoft Defender for Identity>Műveleti fiókok>kezelése+Új fiók létrehozása lehetőséget.
Például:
Adja meg a fiók nevét és tartományát, majd válassza a Mentés lehetőséget.
A műveleti fiók megjelenik a Műveletfiókok kezelése lapon.
Kapcsolódó tartalom
További információ: Szervizelési műveletek a Microsoft Defender for Identity-ban.