A Címtárszolgáltatás-fiókra vonatkozó javaslatok Microsoft Defender for Identity
Megtudhatja, hogyan hozhat létre címtárszolgáltatás-fiókot (DSA), és hogyan konfigurálhatja úgy, hogy működjön Microsoft Defender for Identity.
Bevezetés
A Defender for Identity címtárszolgáltatás-fiókját (DSA) az érzékelő a következő funkciók végrehajtására használja:
Indításkor az érzékelő LDAP használatával csatlakozik a tartományvezérlőhöz a DSA-fiók hitelesítő adataival.
Az érzékelő lekérdezi a tartományvezérlőt a hálózati forgalomban látható entitásokról, a figyelt eseményekről és a figyelt ETW-tevékenységekről.
Minden tartományban egy érzékelő lesz "tartományszinkronizálóként" beállítva, és felelős a tartományban lévő entitások változásainak nyomon követéséért, például a létrehozott objektumokért, a Defender for Identity által nyomon követett entitásattribútumokért stb.
Ha az érzékelő más tartományokban lévő entitásokból származó tevékenységeket lát, az LDAP-n keresztül lekérdezi az adott tartományt az entitással kapcsolatos információkért.
A Defender for Identity a helyi rendszergazdai csoport tagjainak listáját kéri le a hálózati forgalomban, eseményekben és ETW-tevékenységekben látható eszközökről. Ez egy SAM-R hívással történik az eszköz felé. Ez az információ a lehetséges oldalirányú mozgási útvonalak kiszámítására szolgál.
Megjegyzés
Alapértelmezés szerint a Defender for Identity legfeljebb 30 hitelesítő adatot támogat. Ha további hitelesítő adatokat szeretne hozzáadni, forduljon a Defender for Identity támogatási szolgálatához.
A DSA-hoz szükséges engedélyek
A DSA olvasási engedélyeket igényel az Active Directory összes objektumához, beleértve a Törölt objektumok tárolót is.
Megjegyzés
A Törölt objektumok tárolóra vonatkozó javaslat: A DSA-nak írásvédett engedélyekkel kell rendelkeznie a Törölt objektumok tárolóhoz. A tároló írásvédett engedélyei lehetővé teszik, hogy a Defender for Identity észlelje az Active Directoryból származó felhasználói törléseket. Az írásvédett engedélyek a Törölt objektumok tárolón való konfigurálásáról a Nézet vagy Az engedélyek beállítása címtárobjektum-cikktörölt objektumtárolókra vonatkozó szakaszában talál további információt.
DSA-fiókok típusai
Kétféle DSA használható:
Csoportosan felügyelt szolgáltatásfiók (gMSA) – ajánlott
Normál felhasználói fiók az Active Directoryban
| A DSA típusa | Előnyök | Hátrányok |
|---|---|---|
| gMSA | ||
| Normál felhasználói fiók |
DSA-bejegyzések száma
Hány DSA-bejegyzésre van szükség?
A Defender for Identity legalább egy DSA-bejegyzést igényel. Olvasási engedéllyel kell rendelkeznie az erdők összes tartományához.
Nem megbízható többerdős környezetben minden erdőhöz DSA-fiókra lesz szükség.
Hogyan választja ki az érzékelő a használni kívánt DSA-entitást?
Az érzékelő indításakor megjelenik a Defender for Identityben konfigurált DSA-bejegyzések listája.
Egy DSA-bejegyzés van konfigurálva
Az érzékelő az indítás során konfigurált DSA-bejegyzést próbálja meg használni a tartományvezérlővel kapcsolatba lépő új tartományra adott válaszként, minden sam-R lekérdezés alkalmával, vagy amikor újra létre kell hozni egy ilyen kapcsolatot.
Normál fiók: az érzékelő a konfigurált felhasználónévvel és jelszóval próbál bejelentkezni a tartományvezérlőre.
gMSA-fiók: – az érzékelő megpróbálja lekérni a gMSA-fiók jelszavát az Active Directoryból (AD). A jelszó lekérése után az érzékelő megpróbál bejelentkezni a tartományba.
Két vagy több DSA-bejegyzés van konfigurálva
Két vagy több DSA-bejegyzés esetén az érzékelő az alábbi sorrendben próbálja ki a DSA-bejegyzéseket:
- A céltartomány DNS-tartományneve (például emea.contoso.com) és a DSA gMSA-bejegyzés tartománya (például emea.contoso.com) közötti egyezés.
- A céltartomány DNS-tartományneve (például emea.contoso.com) és a DSA normál bejegyzés tartománya (például emea.contoso.com) közötti egyezés.
- Egyezzen a céltartomány gyökér DNS-nevével (például emea.contoso.com) és a DSA gMSA-bejegyzés tartománynevével (például contoso.com)
- Egyezzen a céltartomány gyökér DNS-nevével (például emea.contoso.com) és a DSA normál bejegyzés tartománynevével (például contoso.com)
- Keressen egy "testvértartományt" – céltartománynevet (például emea.contoso.com) és DSA gMSA bejegyzés tartománynevet (például apac.contoso.com).
- Keressen egy "testvértartományt" – a céltartománynevet (például emea.contoso.com) és a DSA normál bejegyzési tartománynevét (például apac.contoso.com).
- Az összes többi DSA gMSA-bejegyzés ciklikus időszeletelése
- Az összes többi DSA-reguláris bejegyzés ciklikus időszeletelése
Az érzékelő olyan DSA-bejegyzést keres, amely pontosan megegyezik a céltartomány tartománynevével. Ha pontos egyezést talál, az érzékelő megpróbál bejelentkezni a tartományba a DSA belépési beállításaival.
Ha nincs pontos egyezés a tartománynévvel, vagy a pontos egyezés-bejegyzés hitelesítése nem sikerült, az érzékelő ciklikus időszeleteléssel lépi át a listát.
Ha például ezek a konfigurált DSA-bejegyzések:
- DSA1.northamerica.contoso.com
- DSA2.EMEA.contoso.com
- DSA3.fabrikam.com
Ezután ezek az érzékelők, és először melyik DSA-bejegyzést fogja használni:
| Tartományvezérlő teljes tartománynév | A használni kívánt DSA-bejegyzés |
|---|---|
| DC01.contoso.com | Ciklikus időszeletelés |
| DC02.Fabrikam.com | DSA3.fabrikam.com |
| DC03.EMEA.contoso.com | DSA2.emea.contoso.com |
| DC04.contoso.com | Ciklikus időszeletelés |
Megjegyzés
- Többtartományos erdőben ajánlott létrehozni a DSA-fiókot a legnagyobb számú tartományvezérlővel rendelkező tartományban.
- Többerdős többtartományos környezetekben érdemes lehet DSA-bejegyzést létrehozni a környezet minden tartományához, hogy a ciklikus időszeleteléses módszer miatt ne lehessen sikertelen hitelesítéseket rögzíteni.
Fontos
Ha egy érzékelő nem tud sikeresen hitelesítést végezni az LDAP-n keresztül az Active Directory-tartományba indításkor valamelyik konfigurált DSA-fiók használatával, az érzékelő nem fog futó állapotba lépni, és állapotriasztás jön létre. További információ: Defender for Identity health riasztások.
GMSA-fiók létrehozása a Defender for Identity használatához
Az alábbi lépéseket követve létrehozhat egy gMSA-fiókot, amelyet a Defender for Identity DSA-bejegyzéseként használhat. Ez nem nyújt teljes körű útmutatást a gMSA-fiókokhoz. További információkért tekintse át a csoportosan felügyelt szolgáltatásfiókok használatának első lépéseit.
Megjegyzés
- Többerdős környezetben javasoljuk, hogy hozza létre a gMSA-kat egyedi névvel az egyes erdőkhöz vagy tartományokhoz.
Engedélyek megadása a gMSA-fiók jelszavának lekéréséhez
A gMSA-fiók létrehozása előtt gondolja át, hogyan rendelhet engedélyeket a fiók jelszavának lekéréséhez.
GMSA-bejegyzés használatakor az érzékelőnek le kell kérnie a gMSA jelszavát az Active Directoryból. Ezt úgy teheti meg, hogy hozzárendeli az egyes érzékelőket, vagy egy csoport használatával.
Egyerdős, egytartományos üzembe helyezés esetén, ha nem tervezi az érzékelő telepítését egyetlen AD FS-kiszolgálóra sem, használhatja a beépített tartományvezérlők biztonsági csoportot.
Több tartománnyal rendelkező erdőben ajánlott egyetlen DSA-fiók használata esetén létrehozni egy univerzális csoportot, és hozzáadni az összes tartományvezérlőt (és AD FS-kiszolgálót) az univerzális csoporthoz.
Megjegyzés
Ha hozzáad egy számítógépfiókot az univerzális csoporthoz, miután a számítógép megkapta a Kerberos-jegyet, nem fogja tudni lekérni a gMSA jelszavát, amíg új Kerberos-jegyet nem kér. A Kerberos-jegy azon csoportok listáját tartalmazza, amelyeknek egy entitás tagja a jegy kiállításakor. Ebben az esetben a következőt teheti:
- Várja meg az új Kerberos-jegy kiadását. (A Kerberos-jegyek általában 10 órán át érvényesek)
- Indítsa újra a kiszolgálót, és a kiszolgáló újraindítása után új Kerberos-jegyet kér a rendszer az új csoporttagsághoz.
- Törölje a meglévő Kerberos-jegyeket. Ez arra kényszeríti a tartományvezérlőt, hogy új Kerberos-jegyet kérjen. Futtassa a következő parancsot a tartományvezérlőn található rendszergazdai parancssorból:
klist purge -li 0x3e7
GMSA-fiók létrehozása
A következő lépésekben létrehoz egy adott csoportot, amely le tudja kérni a fiók jelszavát, létrehoz egy gMSA-fiókot, majd teszteli, hogy a fiók készen áll-e a használatra.
Futtassa a következő PowerShell-parancsokat rendszergazdaként:
# Set the variables:
$gMSA_AccountName = 'mdiSvc01'
$gMSA_HostsGroupName = 'mdiSvc01Group'
$gMSA_HostNames = 'DC1', 'DC2', 'DC3', 'DC4', 'DC5', 'DC6', 'ADFS1', 'ADFS2'
# Install the required PowerShell module:
Install-Module ActiveDirectory
# Create the group and add the members
$gMSA_HostsGroup = New-ADGroup -Name $gMSA_HostsGroupName -GroupScope Global -PassThru
$gMSA_HostNames | ForEach-Object { Get-ADComputer -Identity $_ } |
ForEach-Object { Add-ADGroupMember -Identity $gMSA_HostsGroupName -Members $_ }
# Create the gMSA:
New-ADServiceAccount -Name $gMSA_AccountName -DNSHostName "$gMSA_AccountName.$env:USERDNSDOMAIN" `
-PrincipalsAllowedToRetrieveManagedPassword $gMSA_HostsGroup.Name
A gMSA-fiók telepítése
A gMSA-fiók telepítéséhez futtassa helyileg (rendszergazdaként) az egyes kiszolgálókon a következő parancsot:
# Install the required PowerShell module:
Install-Module ActiveDirectory
# Install the gMSA account
Install-ADServiceAccount -Identity 'mdiSvc01'
Annak ellenőrzése, hogy a tartományvezérlő le tudja-e kérni a gMSA jelszavát
Annak ellenőrzéséhez, hogy a kiszolgáló rendelkezik-e a gMSA jelszavának lekéréséhez szükséges engedélyekkel, futtassa a következő PowerShell-parancsot:
Test-ADServiceAccount -Identity 'mdiSvc01'
Ha rendelkezik az engedélyekkel, a parancs true ( igaz ) üzenetet ad vissza.
Megjegyzés
Ha a Test-ADServiceAccount futtatásakor hibaüzenet jelenik meg, indítsa újra a kiszolgálót, vagy futtassa klist purge -li 0x3e7 , majd próbálkozzon újra.
Ellenőrizze, hogy a gMSA-fiók rendelkezik-e a szükséges jogosultságokkal (ha szükséges)
Az érzékelő (Azure Advanced Threat Protection Sensor) szolgáltatás LocalService szolgáltatásként fut, és elvégzi a DSA-fiók megszemélyesítését. A megszemélyesítés sikertelen lesz, ha a bejelentkezés szolgáltatásszabályzatként van konfigurálva, de az engedély nem lett megadva a gMSA-fióknak, és állapotriasztás jelenik meg: A Címtárszolgáltatások felhasználói hitelesítő adatai helytelenek.
Ha megkapja a riasztást, ellenőrizze, hogy a bejelentkezés szolgáltatásszabályzatként van-e konfigurálva.
A bejelentkezés szolgáltatásházirendként konfigurálható Csoportházirend beállításban vagy helyi biztonsági házirendben.
A Helyi házirend ellenőrzéséhez futtassa a secpol.msc parancsot , és válassza a Helyi házirendek lehetőséget. A Felhasználói jogok hozzárendelése területen lépjen a Bejelentkezés szolgáltatásszabályzat-beállításként elemre. Ha a szabályzat engedélyezve van, adja hozzá a gMSA-fiókot a szolgáltatásként bejelentkezni képes fiókok listájához.
Annak ellenőrzéséhez, hogy a beállítás Csoportházirend van-e beállítva, futtassa az rsop.msc parancsot, és ellenőrizze, hogy be van-e állítva a Számítógép konfigurációja ->Windows-beállítások ->Biztonsági beállítások ->Helyi házirendek ->Felhasználói jogok hozzárendelése ->Bejelentkezés szolgáltatásként beállítás. Ha a beállítás konfigurálva van, adja hozzá a gMSA-fiókot azoknak a fiókoknak a listájához, amelyek szolgáltatásként bejelentkezhetnek a Csoportházirend Felügyeleti szerkesztőben.
Címtárszolgáltatás-fiók konfigurálása a Microsoft 365 Defender
Ha csatlakoztatni szeretné az érzékelőket az Active Directory-tartományaihoz, konfigurálnia kell a Címtárszolgáltatás-fiókokat Microsoft 365 Defender.
A Microsoft 365 Defender válassza a Beállítások, majd az Identitások lehetőséget.
Válassza ki a Címtárszolgáltatás-fiókokat. Látni fogja, hogy mely fiókok mely tartományokhoz vannak társítva.
Ha kiválaszt egy fiókot, megnyílik egy ablaktábla az adott fiók beállításaival.
A Címtárszolgáltatás-fiók hitelesítő adatainak hozzáadásához válassza a Hitelesítő adatok hozzáadása lehetőséget , és adja meg a korábban létrehozott fiók fióknevét, tartományát és jelszavát . Azt is kiválaszthatja, hogy egy csoport által felügyelt szolgáltatásfiókról (gMSA) van-e szó, és hogy az egycímkés tartományhoz tartozik-e.
Mező Megjegyzések Fióknév (kötelező) Adja meg az írásvédett AD-felhasználónevet. Például: DefenderForIdentityUser. Standard AD-felhasználót vagy gMSA-fiókot kell használnia. Ne használja az UPN formátumot a felhasználónévhez. GMSA használata esetén a felhasználói sztringnek a "$" jellel kell végződnie. Például: mdisvc$
MEGJEGYZÉS: Javasoljuk, hogy kerülje az adott felhasználókhoz rendelt fiókok használatát.Jelszó (szabványos AD-felhasználói fiókokhoz szükséges) Csak AD-felhasználói fiókok esetén adja meg az írásvédett felhasználó jelszavát. Például: Pencil1. Csoportosan felügyelt szolgáltatásfiók (a gMSA-fiókokhoz szükséges) Csak gMSA-fiókok esetén válassza a Csoportosan felügyelt szolgáltatásfiók lehetőséget. Domain (Tartomány) (kötelező) Adja meg az írásvédett felhasználó tartományát. Például: contoso.com. Fontos, hogy megadja annak a tartománynak a teljes teljes teljes tartománynevét, ahol a felhasználó található. Ha például a felhasználó fiókja corp.contoso.com tartományban van, akkor nem contoso.com kell megadnia corp.contoso.com. Az egycímkés tartományokkal kapcsolatos információkért tekintse meg a Microsoft által az egycímkés tartományokhoz nyújtott támogatást.Válassza a Mentés lehetőséget.
Megjegyzés
Ugyanezzel az eljárással módosíthatja a szabványos Active Directory-felhasználói fiókok jelszavát. A gMSA-fiókokhoz nincs jelszó beállítva.