Поделиться через

Настройка учетной записи службы каталогов gMSA для Defender для удостоверений

В этой статье описывается создание групповой управляемой учетной записи службы (gMSA) для использования в качестве Microsoft Defender для записи учетной записи службы каталогов удостоверений.

Предварительные условия

  • Убедитесь, что у вас есть разрешения на создание gMSA и групп безопасности в Active Directory.

  • Назначьте разрешения, позволяющие датчику получать пароль gMSA.

  • Выберите способ настройки получения пароля:

    • Назначьте учетную запись gMSA непосредственно каждому датчику.

    • Используйте группу, содержащую все датчики, которым необходимо использовать учетную запись gMSA.

  • Выберите соответствующую группу в зависимости от развертывания:

    • Развертывание с одним лесом с одним доменом. Используйте встроенную группу безопасности контроллеров домена, если вы не устанавливаете датчики на серверах службы федерации Active Directory (AD FS) (AD FS) или служб сертификатов Active Directory (AD CS).

    • Лес с несколькими доменами. Если используется одна учетная запись службы каталогов (DSA), рекомендуется создать универсальную группу и добавить каждый из контроллеров домена, а также серверы AD FS или AD CS в универсальную группу.

  • В средах с несколькими лесами или несколькими доменами убедитесь, что домен, в котором создается gMSA, доверяет учетным записям компьютеров датчиков.

  • Создайте универсальную группу в каждом домене, включающую все учетные записи компьютеров датчиков, чтобы все датчики могли получать пароли gMSA и выполнять междоменные проверки подлинности.

Создание учетной записи gMSA

  1. Если вы никогда раньше не использовали учетную запись gMSA, может потребоваться создать новый корневой ключ для служба группового распространения ключей (Майкрософт) (KdsSvc) в Active Directory. Этот шаг требуется только один раз для каждого леса. Чтобы создать новый корневой ключ для немедленного использования, выполните следующую команду:

    Add-KdsRootKey -EffectiveImmediately

  2. Выполните команды PowerShell от имени администратора. Этот скрипт:

    • Создайте учетную запись gMSA.
    • Создайте группу для учетной записи gMSA.
    • Добавьте в группу указанные учетные записи компьютеров.

  3. Перед выполнением скрипта:

    • Обновите значения переменных в соответствии с вашей средой.
    • Обязательно присвойте каждому gMSA уникальное имя для каждого леса или домена.
# Variables:
# Specify the name of the gMSA you want to create:
$gMSA_AccountName = 'mdiSvc01'
# Specify the name of the group you want to create for the gMSA,
# or enter 'Domain Controllers' to use the built-in group when your environment is a single forest, and will contain only domain controller sensors.
$gMSA_HostsGroupName = 'mdiSvc01Group'
# Specify the computer accounts that will become members of the gMSA group and have permission to use the gMSA. 
# If you are using the 'Domain Controllers' group in the $gMSA_HostsGroupName variable, then this list is ignored
$gMSA_HostNames = 'DC1', 'DC2', 'DC3', 'DC4', 'DC5', 'DC6', 'ADFS1', 'ADFS2'

# Import the required PowerShell module:
Import-Module ActiveDirectory

# Set the group
if ($gMSA_HostsGroupName -eq 'Domain Controllers') {
    $gMSA_HostsGroup = Get-ADGroup -Identity 'Domain Controllers'
} else {
    $gMSA_HostsGroup = New-ADGroup -Name $gMSA_HostsGroupName -GroupScope DomainLocal -PassThru
    $gMSA_HostNames | ForEach-Object { Get-ADComputer -Identity $_ } |
        ForEach-Object { Add-ADGroupMember -Identity $gMSA_HostsGroupName -Members $_ }
}

# Create the gMSA:
New-ADServiceAccount -Name $gMSA_AccountName -DNSHostName "$gMSA_AccountName.$env:USERDNSDOMAIN" `
 -PrincipalsAllowedToRetrieveManagedPassword $gMSA_HostsGroup

Обновление билетов Kerberos после изменения членства в группе

Билет Kerberos содержит список групп, в которые входит сущность при его выдаче. Если вы добавите учетную запись компьютера в универсальную группу после того, как она уже получила билет Kerberos, она не сможет получить пароль gMSA, пока не получит новый билет.

Чтобы обновить билет Kerberos, можно:

  • Дождитесь выдачи нового билета Kerberos. Билеты Kerberos обычно действительны в течение 10 часов.

  • Перезагрузите сервер , чтобы запросить новый билет Kerberos с новым членством в группе.

  • Очистите существующие билеты Kerberos , чтобы заставить контроллер домена запросить новый билет Kerberos. Выполните следующую команду, чтобы очистить билеты из командной строки администратора на контроллере домена: klist purge -li 0x3e7

Предоставление необходимых разрешений учетной записи службы каталогов

DSA требуются разрешения только на чтение для всех объектов в Active Directory, включая контейнер удаленных объектов.

Разрешения только для чтения в контейнере Удаленные объекты позволяют Defender для удостоверений обнаруживать удаление пользователей из Active Directory.

Используйте следующий пример кода, чтобы предоставить необходимые разрешения на чтение в контейнере Удаленные объекты независимо от того, используете ли вы учетную запись gMSA.

Совет

Если DSA, которому требуется предоставить разрешения, является учетной записью групповой управляемой службы (gMSA), сначала необходимо создать группу безопасности, добавить gMSA в качестве участника и добавить разрешения в эту группу. Дополнительные сведения см. в разделе Настройка учетной записи службы каталогов для Defender для удостоверений с помощью gMSA.

# Declare the identity that you want to add read access to the deleted objects container:
$Identity = 'mdiSvc01'

# If the identity is a gMSA, first to create a group and add the gMSA to it:
$groupName = 'mdiUsr01Group'
$groupDescription = 'Members of this group are allowed to read the objects in the Deleted Objects container in AD'
if(Get-ADServiceAccount -Identity $Identity -ErrorAction SilentlyContinue) {
    $groupParams = @{
        Name           = $groupName
        SamAccountName = $groupName
        DisplayName    = $groupName
        GroupCategory  = 'Security'
        GroupScope     = 'Universal'
        Description    = $groupDescription
    }
    $group = New-ADGroup @groupParams -PassThru
    Add-ADGroupMember -Identity $group -Members ('{0}$' -f $Identity)
    $Identity = $group.Name
}

# Get the deleted objects container's distinguished name:
$distinguishedName = ([adsi]'').distinguishedName.Value
$deletedObjectsDN = 'CN=Deleted Objects,{0}' -f $distinguishedName

# Take ownership on the deleted objects container:
$params = @("$deletedObjectsDN", '/takeOwnership')
C:\Windows\System32\dsacls.exe $params

# Grant the 'List Contents' and 'Read Property' permissions to the user or group:
$params = @("$deletedObjectsDN", '/G', ('{0}\{1}:LCRP' -f ([adsi]'').name.Value, $Identity))
C:\Windows\System32\dsacls.exe $params
  
# To remove the permissions, uncomment the next 2 lines and run them instead of the two prior ones:
# $params = @("$deletedObjectsDN", '/R', ('{0}\{1}' -f ([adsi]'').name.Value, $Identity))
# C:\Windows\System32\dsacls.exe $params

Дополнительные сведения см. в разделе Изменение разрешений для контейнера удаленных объектов.

Убедитесь, что учетная запись gMSA имеет необходимые права.

Служба датчика Defender для удостоверений, датчик Расширенной защиты от угроз Azure, выполняется как LocalService , которая олицетворяет учетную запись DSA. Если политика входа в качестве службы настроена , но разрешение не было предоставлено учетной записи gMSA, олицетворение завершается ошибкой. В этом случае вы увидите следующую проблему работоспособности: учетные данные пользователей служб каталогов неверны.

Если вы видите это оповещение, проверка, чтобы узнать, настроена ли политика входа в качестве службы в параметре групповая политика или в локальной политике безопасности.

Проверка локальной политики безопасности

  1. Запустите secpol.msc

  2. Выборназначения прав пользователяв локальных политиках>

  3. Откройте параметр политики Вход в качестве службы .

    Снимок экрана: свойство входа в качестве службы.

  4. После включения политики добавьте учетную запись gMSA в список учетных записей, которые могут входить в систему как услуга.

Проверьте параметр групповая политика

  1. Запустите rsop.msc

  2. Перейдите в раздел Конфигурация компьютера —> Параметры Windows —> Параметры безопасности —> Локальные политики —> Назначение прав пользователя —> Вход как услуга.

    Снимок экрана: политика входа в качестве службы в Редактор управления групповая политика.

  3. После настройки параметра добавьте учетную запись gMSA в список учетных записей, которые могут выполнять вход в качестве службы в Редактор управления групповая политика.

Примечание.

Если вы используете Редактор управления групповая политика для настройки параметра Вход в качестве службы, обязательно добавьте nt Service\All Services и созданную учетную запись gMSA.

Настройка учетной записи службы каталогов в Microsoft Defender XDR

Чтобы подключить датчики к доменам Active Directory, настройте учетные записи службы каталогов в Microsoft Defender XDR.

  1. В Microsoft Defender XDR перейдите в раздел Параметры > Удостоверения.

    Снимок экрана: страница параметров и способ доступа к странице Defender для удостоверений.

  2. Выберите Учетные записи службы каталогов, чтобы узнать, какие учетные записи связаны с доменами.

    Снимок экрана: страница учетных записей службы каталогов на портале Defender.

  3. Выберите Добавить учетные данные.

  4. Введите следующие сведения:

    • Имя учетной записи
    • Домен
    • Password

  5. Вы можете выбрать, является ли это учетной записью групповой управляемой службы (gMSA) или относится ли она к домену с одной меткой.

    Снимок экрана: панель добавленных учетных данных.

    Поле Comments
    Имя учетной записи (обязательно) Введите имя пользователя AD, доступное только для чтения. Например: DefenderForIdentityUser.

    — Необходимо использовать стандартного пользователя AD или учетную запись gMSA.
    - Не используйте формат имени участника-пользователя для имени пользователя.
    — При использовании gMSA строка пользователя должна заканчиваться $ знаком . Пример: mdisvc$

    ЗАМЕТКА: Рекомендуется избегать использования учетных записей, назначенных определенным пользователям.
    Пароль (требуется для стандартных учетных записей пользователей AD) Только для учетных записей пользователей AD создайте надежный пароль для пользователя, доступного только для чтения. Пример: PePR!BZ&}Y54UpC3aB.
    Групповая управляемая учетная запись службы (требуется для учетных записей gMSA) Только для учетных записей gMSA выберите Группировать управляемую учетную запись службы.
    Домен (обязательно) Введите домен пользователя, доступного только для чтения. Например, contoso.com.

    Важно ввести полное полное доменное имя домена, в котором находится пользователь. Например, если учетная запись пользователя находится в домене corp.contoso.com, необходимо ввести corp.contoso.com не contoso.com.

    Дополнительные сведения см. в разделе Поддержка майкрософт доменов с одной меткой.

  6. Выберите Сохранить.

  7. (Необязательно) Выберите учетную запись, чтобы открыть область сведений и просмотреть ее параметры.

    Снимок экрана: область сведений об учетной записи.

Примечание.

Вы можете использовать ту же процедуру, чтобы изменить пароль для стандартных учетных записей пользователей Active Directory. Учетные записи gMSA не требуют паролей.

Устранение неполадок

Дополнительные сведения см. в разделе Датчик не удалось получить учетные данные gMSA.

Следующее действие

Настройка SAM-R для включения обнаружения пути бокового перемещения в Microsoft Defender для удостоверений »

  • Last updated on