Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Defender for Identity позволяет выполнять меры по устранению последствий, направленные на локальные учетные записи Active Directory, если учетная запись скомпрометирована. Чтобы выполнить эти действия, Microsoft Defender для удостоверений должен иметь необходимые разрешения. Это отдельно от учетной записи службы каталогов, которая используется для чтения данных AD.
Это важно
Эта конфигурация относится только к датчику Microsoft Defender for Identity версии 2.x на контроллерах домена. Действия по исправлению не выполняются датчиками на серверах AD FS, AD CS или Microsoft Entra Connect, которые не являются контроллерами домена. Датчик версии 3.x всегда использует локальную учетную запись контроллера домена для действий по исправлению. Если все ваши датчики используют версию v3.x, настройка учетной записи для действий не требуется.
По умолчанию сенсор Microsoft Defender для удостоверений работает от имени учетной записи LocalSystem контроллера домена и выполняет действия, включая сценарии прерывания атак в Microsoft Defender.
Если необходимо изменить поведение по умолчанию при использовании учетной записи контроллера LocalSystem домена для действий по исправлению, настройте выделенную gMSA и задайте необходимые разрешения. Например, вы можете:
Предупреждение
Датчик версии 3.x не использует учетные записи действий gMSA. Она всегда использует локальную учетную запись контроллера домена для действий по исправлению.
Если какой-либо из ваших датчиков имеет версию 3.x, выберите автоматически использовать локальную системную учётную запись датчика. Датчики версии 3.x используют учетную запись локальной системы независимо от конфигурации gMSA. Датчики версии 3.x не используют учетные записи gMSA, настроенные для датчиков версии 2.x.
Дополнительные сведения см. в разделе "Требования к учетной записи службы Sensor версии 3.x".
Примечание.
Использование выделенной учетной записи gMSA в качестве учетной записи действия является необязательным. Рекомендуется использовать параметры по умолчанию для учетной LocalSystem записи.
Рекомендации по учетным записям действий
Мы рекомендуем не использовать ту же учетную запись gMSA, которую вы настроили для управляемых операций Defender for Identity, на серверах, отличных от контроллеров домена. Если вы используете ту же учетную запись и сервер скомпрометирован, злоумышленник может получить пароль для учетной записи и получить возможность изменять пароли и отключать учетные записи.
Кроме того, рекомендуется избегать использования той же учетной записи, что и учетная запись службы каталогов, и учетная запись "Управление действием". Это связано с тем, что учетной записи службы каталогов требуются только разрешения только для чтения в Active Directory, а учетным записям управления действиями требуются разрешения на запись в учетных записях пользователей.
Если у вас несколько лесов, ваша учетная запись gMSA для управляемых действий должна пользоваться доверием в каждом из ваших лесов, либо необходимо создать отдельную учетную запись для каждого леса. Дополнительные сведения см. в статье Поддержка нескольких лесов в Microsoft Defender для удостоверений.
Создание и настройка учетной записи определенного действия
Создайте учетную запись gMSA. Дополнительные сведения см. в статье Начало работы с групповыми управляемыми учетными записями служб.
Назначьте учетной записи gMSA право Вход в качестве службы на каждом контроллере домена, на котором запущен датчик Defender для удостоверений личности.
Предоставьте необходимые разрешения учетной записи gMSA следующим образом:
Откройте Пользователи и компьютеры Active Directory.
Щелкните правой кнопкой мыши соответствующий домен или подразделение и выберите Свойства. Например, вы можете:
Перейдите на вкладку Безопасность и выберите Дополнительно. Например, вы можете:
Выберите Добавить>Выберите субъект. Например, вы можете:
Убедитесь, что учетные записи служб помечены в поле Типы объектов. Например, вы можете:
В поле Введите имя объекта для выбора введите имя учетной записи gMSA и нажмите кнопку ОК.
В поле Применимо к выберите Объекты потомков пользователя, оставьте существующие параметры и добавьте разрешения и свойства, показанные в следующем примере:
Необходимые разрешения:
Действие Разрешения Свойства Включение принудительного сброса пароля Сброс пароля - Read pwdLastSet
-Write pwdLastSetОтключение пользователя - - Read userAccountControl
-Write userAccountControl(Необязательно) В поле Применимо к выберите Объекты группы потомков и задайте следующие свойства:
Read membersWrite members
Нажмите OK.
Добавление учетной записи gMSA на портале Microsoft Defender
Используйте портал Microsoft Defender для добавления учетной записи действия gMSA:
Перейдите на портал Microsoft Defender и выберите Параметры ->Идентификаторы>Microsoft Defender для идентификаторов>Управление учетными записями действий>+Создать новую учетную запись.
Например, вы можете:
Введите имя учетной записи и домен и нажмите кнопку Сохранить.
Ваша учетная запись для действия отображается на странице Управление учетными записями действий.
Связанные материалы
Дополнительные сведения см. в разделе Действия по исправлению в Microsoft Defender для удостоверений.