Empfehlungen für Microsoft Defender for Identity Verzeichnisdienstkonto

  • Artikel
  • 9 Minuten Lesedauer

Erfahren Sie, wie Sie ein Verzeichnisdienstkonto (DSA) erstellen und konfigurieren, um mit Microsoft Defender for Identity zu arbeiten.

Einführung

Das Verzeichnisdienstkonto (DSA) in Defender for Identity wird vom Sensor verwendet, um die folgenden Funktionen auszuführen:

  • Beim Start verbindet der Sensor den DSA-DSA-Kontoanmeldeinformationen mit dem DSA-Konto.

  • Der Sensor fragt den Domänencontroller nach Informationen zu Entitäten, die im Netzwerkdatenverkehr angezeigt werden, überwachte Ereignisse und überwachte ETW-Aktivitäten ab.

  • Ein Sensor in jeder Domäne wird als "Domänensynchronisierung" festgelegt und ist verantwortlich für die Nachverfolgung von Änderungen an den Entitäten in der Domäne, wie Objekte erstellt, Entitätsattribute, die von Defender for Identity nachverfolgt werden.

  • Wenn der Sensor Aktivitäten von Entitäten in anderen Domänen anzeigt, wird diese Domäne über LDAP nach Informationen zur Entität abfragen.

  • Defender for Identity fordert die Liste der Mitglieder der lokalen Administratorgruppe von Geräten an, die in Netzwerkdatenverkehr, Ereignissen und ETW-Aktivitäten angezeigt werden. Dies erfolgt durch Das Erstellen eines SAM-R-Anrufs an das Gerät. Diese Informationen werden verwendet, um potenzielle Lateralbewegungspfade zu berechnen.

Hinweis

Standardmäßig unterstützt Defender for Identity bis zu 30 Anmeldeinformationen. Wenn Sie weitere Anmeldeinformationen hinzufügen möchten, wenden Sie sich an den Defender for Identity-Support.

Für die DSA erforderliche Berechtigungen

Die DSA erfordert Leseberechtigungen für alle Objekte in Active Directory, einschließlich des Containers gelöschter Objekte.

Hinweis

Empfehlung für gelöschte Objekte: Die DSA sollte schreibgeschützte Berechtigungen im Container "Gelöschte Objekte" haben. Mithilfe von Leseberechtigungen für diesen Container kann Defender for Identity Löschungen von Benutzern über Ihr Active Directory erkennen. Informationen zum Konfigurieren des schreibgeschützten Zugriffs auf den Container mit gelöschten Objekten finden Sie im Abschnitt Ändern von Berechtigungen für einen Container mit gelöschten Objekten im Artikel Anzeigen und Festlegen von Berechtigungen für ein Verzeichnisobjekt.

Typen von DSA-Konten

Es gibt zwei Arten von DSA, die verwendet werden können:

  • Group Managed Service Account (gMSA) – empfohlen

  • Reguläres Benutzerkonto in Active Directory

DSA-Typ Vorteile Nachteile
gMSA
  • Sicherere Bereitstellung, da Active Directory die Erstellung und Drehung des Kennworts des Kontos wie das Kennwort eines Computerkontos verwaltet.
  • Sie können steuern, wie oft das Kennwort des Kontos geändert wird.
    		•
  • Erfordert zusätzliche Setupschritte.
    		•
    Reguläres Benutzerkonto
  • Unterstützt alle Betriebssystemversionen, die der Sensor unterstützt.
  • Einfach zu erstellen und mit der Arbeit zu beginnen.
  • Einfach zu konfigurierende Leseberechtigungen zwischen vertrauenswürdigen Gesamtstrukturen.
    		•
  • Weniger sicher, da es die Erstellung und Verwaltung von Kennwörtern erfordert.
  • Kann zu Ausfallzeiten führen, wenn das Kennwort abläuft und das Kennwort nicht aktualisiert wird (sowohl bei der Benutzer- als auch bei der DSA-Konfiguration).
    		•

    Anzahl der DSA-Einträge

    Wie viele DSA-Einträge sind erforderlich?

    Mindestens einen DSA-Eintrag ist von Defender for Identity erforderlich. Es sollte über Leseberechtigungen für alle Domänen in den Gesamtstrukturen verfügen.

    In einer nicht vertrauenswürdigen Gesamtstrukturumgebung ist für jede Gesamtstruktur ein DSA-Konto erforderlich.

    Wie wählt der Sensor die zu verwendende DSA-Entität aus?

    Wenn der Sensor gestartet wird, wird eine Liste der in Defender for Identity konfigurierten DSA-Einträge abgerufen.

    Ein DSA-Eintrag ist konfiguriert.

    Der Sensor versucht, den während des Startvorgangs konfigurierten DSA-Eintrag als Reaktion auf eine neue Domäne zu verwenden, die den Domänencontroller kontaktiert, jedes Mal, wenn eine SAM-R-Abfrage vorgenommen wird, oder wenn eine solche Verbindung neu erstellt werden muss.

    • Reguläres Konto: Der Sensor versucht, sich mit dem Benutzernamen und dem kennwort konfigurierten Domänencontroller bei dem Domänencontroller anzumelden.

    • gMSA-Konto: – der Sensor versucht, das Kennwort für das gMSA-Konto aus Active Directory (AD) abzurufen. Nach dem Abrufen des Kennworts versucht der Sensor, sich bei der Domäne anzumelden.

    Zwei oder mehrere DSA-Einträge werden konfiguriert.

    Wenn zwei oder mehr DSA-Einträge vorhanden sind, versucht der Sensor die DSA-Einträge in der folgenden Reihenfolge:

    1. Übereinstimmung zwischen dem DNS-Domänennamen der Zieldomäne (z. B. emea.contoso.com) und der Domäne des DSA gMSA-Eintrags (z. B. emea.contoso.com).
    2. Übereinstimmung zwischen dem DNS-Domänennamen der Zieldomäne (z. B. emea.contoso.com) und der Domäne des regulären DSA-Eintrags (z. B. emea.contoso.com).
    3. Übereinstimmung im Stamm-DNS-Name der Zieldomäne (z. B. emea.contoso.com) und dem Domänennamen des DSA gMSA-Eintrags (z. B. contoso.com)
    4. Entsprechen Sie im Stamm-DNS-Namen der Zieldomäne (z. B. emea.contoso.com) und dem Domänennamen des regulären DSA-Eintrags (z. B. contoso.com)
    5. Suchen Sie nach einer "geschwisterten Domäne" – Zieldomänenname (z. B. emea.contoso.com) und DSA gMSA-Eintragsdomänenname (z. B. apac.contoso.com).
    6. Suchen Sie nach einer "geschwisterten Domäne" – Zieldomänennamen (z. B. emea.contoso.com) und DSA-Regulärer Eintragsdomänenname (z. B. apac.contoso.com).
    7. Runder Robin alle anderen DSA gMSA-Einträge
    8. Runder Robin aller anderen DSA-regulären Einträge

    • Der Sensor sucht nach einem DSA-Eintrag mit einer genauen Übereinstimmung des Domänennamens der Zieldomäne. Wenn eine genaue Übereinstimmung gefunden wird, versucht der Sensor, sich mit den DSA-Eintragseinstellungen bei der Domäne anzumelden.

    • Wenn keine genaue Übereinstimmung des Domänennamens vorliegt oder der genaue Übereinstimmungseintrag nicht authentifiziert wurde, durchläuft der Sensor die Liste über Round Robin.

    Wenn dies beispielsweise die DSA-Einträge sind, die konfiguriert sind:

    • DSA1.northamerica.contoso.com
    • DSA2.EMEA.contoso.com
    • DSA3.fabrikam.com

    Dann sind dies die Sensoren und die DSA-Eingabe wird zuerst verwendet:

    Vollqualifizierter Domänenname des Domänencontrollers (FQDN) DSA-Eintrag, der verwendet wird
    DC01.contoso.com Roundrobin
    DC02.Fabrikam.com DSA3.fabrikam.com
    DC03.EMEA.contoso.com DSA2.emea.contoso.com
    DC04.contoso.com Roundrobin

    Hinweis

    • In einer Domänenstruktur wird empfohlen, dass das DSA-Konto in der Domäne mit der größten Anzahl von Domänencontrollern erstellt wird.
    • In mehrstrukturübergreifenden Domänenumgebungen sollten Sie einen DSA-Eintrag für jede Domäne in der Umgebung erstellen, um fehlgeschlagene Authentifizierungen aufgrund der Round Robin-Methode zu vermeiden.

    Wichtig

    Wenn ein Sensor nicht erfolgreich über LDAP auf die Active Directory-Domäne authentifiziert werden kann, wenn sie eine der konfigurierten DSA-Konten verwendet, wird der Sensor keinen Ausgeführten Zustand eingeben und eine Integritätswarnung erstellt. Weitere Informationen finden Sie unter Defender for Identity-Integritätswarnungen.

    So erstellen Sie ein gMSA-Konto für die Verwendung mit Defender for Identity

    Die folgenden Schritte können folgen, um ein gMSA-Konto zu erstellen, das als DSA-Eintrag für Defender for Identity verwendet werden soll. Dies bietet keine vollständigen Anleitungen für gMSA-Konten. Weitere Informationen finden Sie unter "Erste Schritte" mit Gruppen verwalteten Dienstkonten.

    Hinweis

    • In einer Umgebung mit mehreren Gesamtstrukturen wird empfohlen, die gMSAs mit einem eindeutigen Namen für jede Gesamtstruktur oder Domäne zu erstellen.

    Gewähren der Berechtigungen zum Abrufen des Kennworts des gMSA-Kontos

    Bevor Sie das gMSA-Konto erstellen, sollten Sie überlegen, wie Sie Berechtigungen zum Abrufen des Kennworts des Kontos zuweisen.

    Wenn Sie einen gMSA-Eintrag verwenden, muss der Sensor das Kennwort des gMSA aus Active Directory abrufen. Dies kann entweder durch Zuweisen jeder der Sensoren oder mithilfe einer Gruppe erfolgen.

    • Wenn Sie den Sensor nicht auf allen AD FS-Servern installieren möchten, können Sie in einer einzelnen Gesamtstruktur die integrierte Domänencontroller-Sicherheitsgruppe verwenden.

    • In einer Gesamtstruktur mit mehreren Domänen, wenn Sie ein einzelnes DSA-Konto verwenden, empfiehlt es sich, eine universelle Gruppe zu erstellen und jede der Domänencontroller (und AD FS-Server) zur universellen Gruppe hinzuzufügen.

      Hinweis

      Wenn Sie der universellen Gruppe ein Computerkonto hinzufügen, nachdem der Computer das Kerberos-Ticket empfangen hat, kann das Kennwort des gMSA nicht abgerufen werden, bis es ein neues Kerberos-Ticket anfordert. Das Kerberos-Ticket verfügt über eine Liste von Gruppen, die eine Entität mitglied ist, wenn das Ticket ausgestellt wird. In diesem Fall können Sie Folgendes ausführen:

      • Warten Sie, bis ein neues Kerberos-Ticket ausgestellt wird. (Kerberos-Tickets sind normalerweise für 10 Stunden gültig)
      • Starten Sie den Server neu, wenn der Server neu gestartet wird, wird ein neues Kerberos-Ticket mit der neuen Gruppenmitgliedschaft angefordert.
      • Löschen Sie die vorhandenen Kerberos-Tickets. Dadurch wird der Domänencontroller erzwingen, ein neues Kerberos-Ticket anzufordern. Führen Sie aus einer Administratorbefehlsaufforderung auf dem Domänencontroller den folgenden Befehl aus: klist purge -li 0x3e7

    Erstellen eines gMSA-Kontos

    In den folgenden Schritten erstellen Sie eine bestimmte Gruppe, die das Kennwort des Kontos abrufen kann, ein gMSA-Konto erstellen und dann testen, dass das Konto zur Verwendung bereit ist.

    Führen Sie die folgenden PowerShell-Befehle als Administrator aus:

    # Set the variables:
$gMSA_AccountName = 'mdiSvc01'
$gMSA_HostsGroupName = 'mdiSvc01Group'
$gMSA_HostNames = 'DC1', 'DC2', 'DC3', 'DC4', 'DC5', 'DC6', 'ADFS1', 'ADFS2'

# Install the required PowerShell module:
Install-Module ActiveDirectory

# Create the group and add the members
$gMSA_HostsGroup = New-ADGroup -Name $gMSA_HostsGroupName -GroupScope Global -PassThru
$gMSA_HostNames | ForEach-Object { Get-ADComputer -Identity $_ } |
    ForEach-Object { Add-ADGroupMember -Identity $gMSA_HostsGroupName -Members $_ }

# Create the gMSA:
New-ADServiceAccount -Name $gMSA_AccountName -DNSHostName "$gMSA_AccountName.$env:USERDNSDOMAIN" `
-PrincipalsAllowedToRetrieveManagedPassword $gMSA_HostsGroup.Name

    Installieren des gMSA-Kontos

    Um das gMSA-Konto zu installieren, führen Sie lokal (als Administrator) auf jedem der Server aus, dem folgenden Befehl:

    # Install the required PowerShell module:
Install-Module ActiveDirectory

# Install the gMSA account
Install-ADServiceAccount -Identity 'mdiSvc01'

    Überprüfen, ob der Domänencontroller das Kennwort des gMSA abrufen kann

    Um zu überprüfen, ob der Server über die erforderlichen Berechtigungen zum Abrufen des GMSA-Kennworts verfügt, führen Sie den folgenden PowerShell-Befehl aus:

    Test-ADServiceAccount -Identity 'mdiSvc01'

    Wenn es über die Berechtigungen verfügt, gibt der Befehl eine True-Nachricht zurück.

    Hinweis

    Wenn Sie beim Ausführen von Test-ADServiceAccount eine Fehlermeldung erhalten, starten Sie den Server neu, oder führen klist purge -li 0x3e7 Sie es aus, und versuchen Sie es erneut.

    Überprüfen Sie, ob das gMSA-Konto über die erforderlichen Rechte verfügt (falls erforderlich)

    Der Sensor (Azure Advanced Threat Protection Sensor) wird als LocalService ausgeführt und führt die Identität des DSA-Kontos aus. Die Identitätswechsel schlägt fehl, wenn die Anmeldung als Dienstrichtlinie konfiguriert ist, aber die Berechtigung nicht dem gMSA-Konto gewährt wurde, und Sie erhalten eine Integritätswarnung: Verzeichnisdienste-Benutzeranmeldeinformationen sind falsch.

    Wenn Sie die Warnung erhalten, sollten Sie überprüfen, ob die Anmeldung als Dienstrichtlinie konfiguriert ist.

    Die Anmeldung als Dienstrichtlinie kann entweder in einer Gruppenrichtlinie Einstellung oder in einer lokalen Sicherheitsrichtlinie konfiguriert werden.

    • Um die lokale Richtlinie zu überprüfen, führen Sie secpol.msc aus, und wählen Sie lokale Richtlinien aus. Wechseln Sie unter "Benutzerrechtezuweisung" zur Einstellung "Anmelden als Dienstrichtlinieneinstellung ". Wenn die Richtlinie aktiviert ist, fügen Sie das gMSA-Konto zur Liste der Konten hinzu, die sich als Dienst anmelden können.

    • Um zu überprüfen, ob die Einstellung in Gruppenrichtlinie festgelegt ist, führen Sie rsop.msc aus, und sehen Sie, ob die Einstellung "Computerkonfiguration -Windows-Einstellungen -Sicherheitseinstellungen> ->>Lokale Richtlinien> -Benutzerrechtezuweisung> -Anmeldung als Dienst" festgelegt ist. Wenn die Einstellung konfiguriert ist, fügen Sie dem gMSA-Konto die Liste der Konten hinzu, die sich als Dienst im Gruppenrichtlinie Verwaltungs-Editor anmelden können.

    Melden Sie sich als Dienst in GPMC an.

    Melden Sie sich als Diensteigenschaften an.

    Konfigurieren des Verzeichnisdienstkontos in Microsoft 365 Defender

    Um Ihre Sensoren mit Ihren Active Directory-Domänen zu verbinden, müssen Sie Verzeichnisdienstkonten in Microsoft 365 Defender konfigurieren.

    1. Wechseln Sie in Microsoft 365 Defender zu "Einstellungen" und dann "Identitäten".

      Wechseln Sie zu

    2. Wählen Sie Verzeichnisdienstkonten aus. Sie werden sehen, welche Konten mit welchen Domänen verknüpft sind.

      Verzeichnisdienstkonten.

    3. Wenn Sie ein Konto auswählen, wird ein Bereich mit den Einstellungen für dieses Konto geöffnet.

      Kontoeinstellungen.

    4. Wenn Sie Verzeichnisdienst-Anmeldeinformationen hinzufügen möchten, wählen Sie "Anmeldeinformationen hinzufügen" aus, und füllen Sie den Kontonamen, die Domäne und das Kennwort des zuvor erstellten Kontos ein. Sie können auch auswählen, ob es sich um ein Gruppen verwaltetes Dienstkonto (gMSA) handelt und ob es zu einer Einzelnen Bezeichnungsdomäne gehört.

      Hinzufügen von Anmeldeinformationen.

      Feld Kommentare
      Kontoname (erforderlich) Geben Sie den Namen des AD-Benutzers mit Leseberechtigung ein. Beispiel: DefenderForIdentityUser. Sie müssen ein AD-Standardbenutzerkonto oder ein gruppenverwaltetes Dienstkonto verwenden. Verwenden Sie nicht das UPN-Format für Ihren Benutzernamen. Bei Verwendung eines gMSA-Kontos sollte die Benutzerzeichenfolge mit dem Zeichen „$“ enden. Beispiel: mdisvc$
      HINWEIS: Sie sollten die Verwendung von Konten vermeiden, die bestimmten Benutzern zugewiesen sind.
      Kennwort (erforderlich für standard AD-Benutzerkonten) Geben Sie für AD-Benutzerkonten nur das Kennwort für den schreibgeschützten Benutzer ein. Beispiel: Pencil1.
      Gruppen verwaltetes Dienstkonto (erforderlich für gMSA-Konten) Wählen Sie nur für gMSA-Konten gruppen verwaltetes Dienstkonto aus.
      Domäne (erforderlich) Geben Sie die Domäne für den schreibgeschützten Benutzer ein. Beispiel: contoso.com. Es ist wichtig, dass Sie den vollqualifizierten Domänennamen (FQDN) der Domäne eingeben, in der sich das Benutzerkonto befindet. Wenn sich das Konto des Benutzers beispielsweise in domäne corp.contoso.com befindet, müssen Sie nicht contoso.com eingeben corp.contoso.com . Informationen zu Einzelbezeichnungsdomänen finden Sie unter Microsoft-Support für Single Label Domains.

    5. Wählen Sie Speichern aus.

    Hinweis

    Sie können dieses Verfahren verwenden, um das Kennwort für standardmäßige Active Directory-Benutzerkonten zu ändern. Für gMSA-Konten ist kein Kennwort festgelegt.

    Problembehandlung

    Nächste Schritte

    « Konfigurieren von Rollengruppen für die Windows-Ereignissammlung»