Настроить учетные записи действий Microsoft Defender для удостоверений

Defender for Identity позволяет выполнять меры по устранению последствий, направленные на локальные учетные записи Active Directory, если учетная запись скомпрометирована. Чтобы выполнить эти действия, Microsoft Defender для удостоверений должен иметь необходимые разрешения. Это отдельно от учетной записи службы каталогов, которая используется для чтения данных AD.

Это важно

Эта конфигурация относится только к датчику Microsoft Defender for Identity версии 2.x на контроллерах домена. Действия по исправлению не выполняются датчиками на серверах AD FS, AD CS или Microsoft Entra Connect, которые не являются контроллерами домена. Датчик версии 3.x всегда использует локальную учетную запись контроллера домена для действий по исправлению. Если все ваши датчики используют версию v3.x, настройка учетной записи для действий не требуется.

По умолчанию сенсор Microsoft Defender для удостоверений работает от имени учетной записи LocalSystem контроллера домена и выполняет действия, включая сценарии прерывания атак в Microsoft Defender.

Если необходимо изменить поведение по умолчанию при использовании учетной записи контроллера LocalSystem домена для действий по исправлению, настройте выделенную gMSA и задайте необходимые разрешения. Например, вы можете:

Предупреждение

Датчик версии 3.x не использует учетные записи действий gMSA. Она всегда использует локальную учетную запись контроллера домена для действий по исправлению.

Если какой-либо из ваших датчиков имеет версию 3.x, выберите автоматически использовать локальную системную учётную запись датчика. Датчики версии 3.x используют учетную запись локальной системы независимо от конфигурации gMSA. Датчики версии 3.x не используют учетные записи gMSA, настроенные для датчиков версии 2.x.

Дополнительные сведения см. в разделе "Требования к учетной записи службы Sensor версии 3.x".

Снимок экрана: вкладка

Примечание.

Использование выделенной учетной записи gMSA в качестве учетной записи действия является необязательным. Рекомендуется использовать параметры по умолчанию для учетной LocalSystem записи.

Рекомендации по учетным записям действий

Мы рекомендуем не использовать ту же учетную запись gMSA, которую вы настроили для управляемых операций Defender for Identity, на серверах, отличных от контроллеров домена. Если вы используете ту же учетную запись и сервер скомпрометирован, злоумышленник может получить пароль для учетной записи и получить возможность изменять пароли и отключать учетные записи.

Кроме того, рекомендуется избегать использования той же учетной записи, что и учетная запись службы каталогов, и учетная запись "Управление действием". Это связано с тем, что учетной записи службы каталогов требуются только разрешения только для чтения в Active Directory, а учетным записям управления действиями требуются разрешения на запись в учетных записях пользователей.

Если у вас несколько лесов, ваша учетная запись gMSA для управляемых действий должна пользоваться доверием в каждом из ваших лесов, либо необходимо создать отдельную учетную запись для каждого леса. Дополнительные сведения см. в статье Поддержка нескольких лесов в Microsoft Defender для удостоверений.

Создание и настройка учетной записи определенного действия

  1. Создайте учетную запись gMSA. Дополнительные сведения см. в статье Начало работы с групповыми управляемыми учетными записями служб.

  2. Назначьте учетной записи gMSA право Вход в качестве службы на каждом контроллере домена, на котором запущен датчик Defender для удостоверений личности.

  3. Предоставьте необходимые разрешения учетной записи gMSA следующим образом:

    1. Откройте Пользователи и компьютеры Active Directory.

    2. Щелкните правой кнопкой мыши соответствующий домен или подразделение и выберите Свойства. Например, вы можете:

      Снимок экрана: диалоговое окно

    3. Перейдите на вкладку Безопасность и выберите Дополнительно. Например, вы можете:

      Снимок экрана: диалоговое окно

    4. Выберите Добавить>Выберите субъект. Например, вы можете:

      Снимок экрана с выбором субъекта безопасности в диалоговом окне ввода разрешений.

    5. Убедитесь, что учетные записи служб помечены в поле Типы объектов. Например, вы можете:

      Снимок экрана: диалоговое окно «Типы объектов» с выбранными учетными записями служб для включения поиска учетной записи gMSA.

    6. В поле Введите имя объекта для выбора введите имя учетной записи gMSA и нажмите кнопку ОК.

    7. В поле Применимо к выберите Объекты потомков пользователя, оставьте существующие параметры и добавьте разрешения и свойства, показанные в следующем примере:

      Снимок экрана диалогового окна

      Необходимые разрешения:

      Действие Разрешения Свойства
      Включение принудительного сброса пароля Сброс пароля - Read pwdLastSet
      - Write pwdLastSet
      Отключение пользователя - - Read userAccountControl
      - Write userAccountControl
    8. (Необязательно) В поле Применимо к выберите Объекты группы потомков и задайте следующие свойства:

      • Read members
      • Write members
    9. Нажмите OK.

Добавление учетной записи gMSA на портале Microsoft Defender

Используйте портал Microsoft Defender для добавления учетной записи действия gMSA:

  1. Перейдите на портал Microsoft Defender и выберите Параметры ->Идентификаторы>Microsoft Defender для идентификаторов>Управление учетными записями действий>+Создать новую учетную запись.

    Например, вы можете:

    Снимок экрана: страница

  2. Введите имя учетной записи и домен и нажмите кнопку Сохранить.

Ваша учетная запись для действия отображается на странице Управление учетными записями действий.

Дополнительные сведения см. в разделе Действия по исправлению в Microsoft Defender для удостоверений.