Pertahanan Microsoft untuk Identitas rekomendasi akun Layanan Direktori

  • Artikel
  • 8 menit untuk membaca

Pelajari cara membuat akun Layanan Direktori (DSA), dan mengonfigurasinya agar berfungsi dengan Pertahanan Microsoft untuk Identitas.

Pengantar

Akun Layanan Direktori (DSA) di Defender for Identity digunakan oleh sensor untuk melakukan fungsi berikut:

  • Saat startup, sensor terhubung ke pengendali domain menggunakan LDAP dengan kredensial akun DSA.

  • Sensor meminta pengendali domain untuk informasi tentang entitas yang terlihat dalam lalu lintas jaringan, peristiwa yang dipantau, dan aktivitas ETW yang dipantau.

  • Satu sensor di setiap domain akan ditetapkan sebagai "penyinkron domain" dan bertanggung jawab untuk melacak perubahan pada entitas di domain, seperti objek yang dibuat, atribut entitas yang dilacak oleh Defender for Identity, dan sebagainya.

  • Jika sensor melihat aktivitas dari entitas di domain lain, sensor akan meminta domain tersebut melalui LDAP untuk informasi tentang entitas.

  • Defender for Identity meminta daftar anggota grup administrator lokal dari perangkat yang terlihat dalam lalu lintas jaringan, peristiwa, dan aktivitas ETW. Ini dilakukan dengan melakukan panggilan SAM-R ke perangkat. Informasi ini digunakan untuk menghitung potensi jalur pergerakan lateral.

Catatan

Secara default, Defender for Identity mendukung hingga 30 kredensial. Jika Anda ingin menambahkan lebih banyak kredensial, hubungi dukungan Defender for Identity.

Izin yang diperlukan untuk DSA

DSA memerlukan izin baca pada semua objek di Direktori Aktif, termasuk Kontainer Objek Yang Dihapus.

Catatan

Rekomendasi kontainer Objek yang Dihapus: DSA harus memiliki izin baca-saja pada kontainer Objek Yang Dihapus. Izin baca-saja pada kontainer ini memungkinkan Defender for Identity mendeteksi penghapusan pengguna dari Direktori Aktif Anda. Untuk informasi tentang mengonfigurasi izin baca-saja pada kontainer Objek Dihapus, lihat bagian Mengubah izin pada kontainer objek yang dihapus dari artikel Menampilkan atau Mengatur Izin pada Objek Direktori .

Jenis akun DSA

Ada dua jenis DSA yang dapat digunakan:

  • Akun Layanan Terkelola Grup (gMSA) – disarankan

  • Akun pengguna reguler di Direktori Aktif

Jenis DSA Pro Kontra
gMSA
  • Penyebaran yang lebih aman karena Direktori Aktif mengelola pembuatan dan rotasi kata sandi akun seperti kata sandi akun komputer.
  • Anda dapat mengontrol seberapa sering kata sandi akun diubah.
    		•
  • Memerlukan langkah-langkah penyiapan tambahan.
    		•
    Akun pengguna reguler
  • Mendukung semua versi sistem operasi yang didukung sensor.
  • Mudah dibuat dan mulai bekerja dengan.
  • Mudah mengonfigurasi izin baca antara forest tepercaya.
    		•
  • Kurang aman karena memerlukan pembuatan dan pengelolaan kata sandi.
  • Dapat menyebabkan waktu henti jika kata sandi kedaluwarsa dan kata sandi tidak diperbarui (baik pada konfigurasi pengguna maupun DSA).
    		•

    Jumlah entri DSA

    Berapa banyak entri DSA yang diperlukan?

    Minimal satu entri DSA diperlukan oleh Defender for Identity. Seharusnya memiliki izin baca untuk semua domain di forest.

    Dalam lingkungan multi-forest yang tidak tepercaya, akun DSA akan diperlukan untuk setiap forest.

    Bagaimana sensor memilih entitas DSA mana yang akan digunakan?

    Ketika sensor dimulai, sensor akan mendapatkan daftar entri DSA yang dikonfigurasi di Defender for Identity.

    Satu entri DSA dikonfigurasi

    Sensor akan mencoba menggunakan entri DSA yang dikonfigurasi selama start-up, sebagai reaksi terhadap domain baru yang menghubungi pengendali domain, setiap kali kueri SAM-R dibuat, atau setiap kali koneksi tersebut perlu dibuat ulang.

    • Akun reguler: sensor akan mencoba masuk ke pengendali domain menggunakan nama pengguna dan kata sandi yang dikonfigurasi.

    • Akun gMSA: – sensor akan mencoba mengambil kata sandi untuk akun gMSA dari Direktori Aktif (AD). Setelah mengambil kata sandi, sensor akan mencoba masuk ke domain.

    Dua atau beberapa entri DSA dikonfigurasi

    Ketika ada dua entri DSA atau lebih, sensor akan mencoba entri DSA dalam urutan berikut:

    1. Kecocokan antara nama domain DNS domain target (misalnya, emea.contoso.com) dan domain entri DSA gMSA (misalnya, emea.contoso.com).
    2. Kecocokan antara nama domain DNS domain target (misalnya, emea.contoso.com) dan domain entri reguler DSA (misalnya, emea.contoso.com).
    3. Cocokkan dalam nama DNS akar domain target (misalnya, emea.contoso.com) dan nama domain entri DSA gMSA (misalnya, contoso.com)
    4. Cocokkan dalam nama DNS akar domain target (misalnya, emea.contoso.com) dan nama domain entri reguler DSA (misalnya, contoso.com)
    5. Cari "domain saudara" - nama domain target (misalnya, emea.contoso.com) dan nama domain entri GMSA DSA (misalnya, apac.contoso.com).
    6. Cari "domain saudara" - nama domain target (misalnya, emea.contoso.com) dan nama domain entri reguler DSA (misalnya, apac.contoso.com).
    7. Round robin semua entri GMSA DSA lainnya
    8. Round robin semua entri reguler DSA lainnya

    • Sensor akan mencari entri DSA dengan kecocokan persis dengan nama domain domain target. Jika kecocokan yang tepat ditemukan, sensor akan mencoba masuk ke domain dengan pengaturan entri DSA.

    • Jika tidak ada kecocokan yang tepat dari nama domain atau entri pencocokan yang tepat gagal diautentikasi, sensor akan melintasi daftar melalui round robin.

    Misalnya, jika ini adalah entri DSA yang dikonfigurasi:

    • DSA1.northamerica.contoso.com
    • DSA2.EMEA.contoso.com
    • DSA3.fabrikam.com

    Kemudian ini adalah sensor, dan entri DSA mana yang akan digunakan terlebih dahulu:

    Pengendali domain FQDN Entri DSA yang akan digunakan
    DC01.contoso.com Round robin
    DC02.Fabrikam.com DSA3.fabrikam.com
    DC03.EMEA.contoso.com DSA2.emea.contoso.com
    DC04.contoso.com Round robin

    Catatan

    • Di forest multi-domain, disarankan agar akun DSA dibuat di domain dengan jumlah pengendali domain terbesar.
    • Di lingkungan multi-domain multi-forest, pertimbangkan untuk membuat entri DSA untuk setiap domain di lingkungan untuk menghindari autentikasi yang gagal direkam karena metode round robin.

    Penting

    Jika sensor tidak berhasil mengautentikasi melalui LDAP ke domain Direktori Aktif saat startup menggunakan salah satu akun DSA yang dikonfigurasi, sensor tidak akan memasuki status berjalan dan pemberitahuan kesehatan akan dibuat. Untuk informasi selengkapnya, lihat Pemberitahuan kesehatan Defender for Identity.

    Cara membuat akun gMSA untuk digunakan dengan Defender for Identity

    Langkah-langkah berikut dapat diikuti untuk membuat akun gMSA yang akan digunakan sebagai entri DSA untuk Defender for Identity. Ini tidak memberikan panduan lengkap tentang akun gMSA. Untuk informasi tambahan, tinjau Mulai menggunakan Akun Layanan Terkelola Grup.

    Catatan

    • Di lingkungan multi-forest, sebaiknya buat gMSA dengan nama unik untuk setiap forest atau domain.

    Memberikan izin untuk mengambil kata sandi akun gMSA

    Sebelum Anda membuat akun gMSA, pertimbangkan cara menetapkan izin untuk mengambil kata sandi akun.

    Saat menggunakan entri gMSA, sensor perlu mengambil kata sandi gMSA dari Direktori Aktif. Ini dapat dilakukan baik dengan menetapkan ke masing-masing sensor atau dengan menggunakan grup.

    • Dalam penyebaran domain tunggal dan forest tunggal, jika Anda tidak berencana untuk menginstal sensor di server AD FS apa pun, Anda dapat menggunakan grup keamanan Pengendali Domain bawaan .

    • Di forest dengan beberapa domain, saat menggunakan satu akun DSA, disarankan untuk membuat grup universal dan menambahkan masing-masing pengontrol domain (dan server AD FS) ke grup universal.

      Catatan

      Jika Anda menambahkan akun komputer ke grup universal setelah komputer menerima tiket Kerberos, itu tidak akan dapat mengambil kata sandi gMSA, sampai meminta tiket Kerberos baru. Tiket Kerberos memiliki daftar grup yang merupakan bagian dari entitas saat tiket dikeluarkan. Dalam hal ini Anda dapat:

      • Tunggu hingga tiket Kerberos baru diterbitkan. (Tiket Kerberos biasanya berlaku selama 10 jam)
      • Reboot server, ketika server di-boot ulang, tiket Kerberos baru akan diminta dengan keanggotaan grup baru.
      • Hapus menyeluruh tiket Kerberos yang ada. Ini akan memaksa pengendali domain untuk meminta tiket Kerberos baru. Dari prompt perintah administrator pada pengontrol domain, jalankan perintah berikut: klist purge -li 0x3e7

    Membuat akun gMSA

    Dalam langkah-langkah berikut, Anda akan membuat grup tertentu yang dapat mengambil kata sandi akun, membuat akun gMSA, lalu menguji bahwa akun siap digunakan.

    Jalankan perintah PowerShell berikut ini sebagai administrator:

    # Set the variables:
$gMSA_AccountName = 'mdiSvc01'
$gMSA_HostsGroupName = 'mdiSvc01Group'
$gMSA_HostNames = 'DC1', 'DC2', 'DC3', 'DC4', 'DC5', 'DC6', 'ADFS1', 'ADFS2'

# Install the required PowerShell module:
Install-Module ActiveDirectory

# Create the group and add the members
$gMSA_HostsGroup = New-ADGroup -Name $gMSA_HostsGroupName -GroupScope Global -PassThru
$gMSA_HostNames | ForEach-Object { Get-ADComputer -Identity $_ } |
    ForEach-Object { Add-ADGroupMember -Identity $gMSA_HostsGroupName -Members $_ }

# Create the gMSA:
New-ADServiceAccount -Name $gMSA_AccountName -DNSHostName "$gMSA_AccountName.$env:USERDNSDOMAIN" `
-PrincipalsAllowedToRetrieveManagedPassword $gMSA_HostsGroup.Name

    Menginstal akun gMSA

    Untuk menginstal akun gMSA, jalankan secara lokal (sebagai administrator) di setiap server, perintah berikut:

    # Install the required PowerShell module:
Install-Module ActiveDirectory

# Install the gMSA account
Install-ADServiceAccount -Identity 'mdiSvc01'

    Cara memvalidasi bahwa pengendali domain dapat mengambil kata sandi gMSA

    Untuk memvalidasi bahwa server memiliki izin yang diperlukan untuk mengambil kata sandi gMSA, jalankan perintah PowerShell berikut:

    Test-ADServiceAccount -Identity 'mdiSvc01'

    Jika memiliki izin, perintah akan mengembalikan pesan True .

    Catatan

    Jika Anda mendapatkan pesan kesalahan saat menjalankan Test-ADServiceAccount, mulai ulang server atau jalankan klist purge -li 0x3e7 dan coba lagi.

    Verifikasi bahwa akun gMSA memiliki hak yang diperlukan (jika diperlukan)

    Layanan sensor (Azure Advanced Threat Protection Sensor) berjalan sebagai LocalService dan melakukan peniruan akun DSA. Peniruan akan gagal jika kebijakan Masuk sebagai layanan dikonfigurasi tetapi izin belum diberikan ke akun gMSA, dan Anda akan menerima pemberitahuan kesehatan: Info masuk pengguna layanan direktori salah.

    Jika Anda menerima pemberitahuan, Anda harus memeriksa apakah kebijakan Masuk sebagai layanan dikonfigurasi.

    Kebijakan Masuk sebagai layanan dapat dikonfigurasi baik dalam pengaturan Kebijakan Grup atau dalam Kebijakan Keamanan Lokal.

    • Untuk memeriksa Kebijakan Lokal, jalankan secpol.msc dan pilih Kebijakan Lokal. Di bawah Penetapan Hak Pengguna, buka pengaturan Kebijakan masuk sebagai layanan . Jika kebijakan diaktifkan, tambahkan akun gMSA ke daftar akun yang dapat masuk sebagai layanan.

    • Untuk memeriksa apakah pengaturan diatur dalam Kebijakan Grup, jalankan rsop.msc dan lihat apakah pengaturan Konfigurasi Komputer ->Pengaturan Windows ->Pengaturan Keamanan ->Kebijakan Lokal ->Penetapan Hak Pengguna ->Masuk sebagai layanan diatur. Jika pengaturan dikonfigurasi, tambahkan akun gMSA ke daftar akun yang dapat masuk sebagai layanan di Editor Manajemen Kebijakan Grup.

    Masuk sebagai layanan di GPMC.

    Masuk sebagai properti layanan.

    Mengonfigurasi akun Layanan Direktori di Pertahanan Microsoft 365

    Untuk menyambungkan sensor dengan domain Direktori Aktif, Anda harus mengonfigurasi akun Layanan Direktori di Pertahanan Microsoft 365.

    1. Di Pertahanan Microsoft 365, buka Pengaturan lalu Identitas.

      Buka Pengaturan, lalu Identitas.

    2. Pilih Akun Layanan Direktori. Anda akan melihat akun mana yang terkait dengan domain mana.

      Akun Layanan Direktori.

    3. Jika Anda memilih akun, panel akan terbuka dengan pengaturan untuk akun tersebut.

      Pengaturan akun.

    4. Untuk menambahkan kredensial akun Layanan Direktori, pilih Tambahkan kredensial dan isi Nama akun, Domain, dan Kata Sandi akun yang Anda buat sebelumnya. Anda juga dapat memilih apakah itu akun layanan terkelola Grup (gMSA), dan jika itu milik domain Label tunggal.

      Tambahkan kredensial.

      Bidang Komentar
      Nama akun (diperlukan) Masukkan nama pengguna AD baca-saja. Misalnya: DefenderForIdentityUser. Anda harus menggunakan pengguna AD standar atau akun gMSA. Jangan gunakan format UPN untuk nama pengguna Anda. Saat menggunakan gMSA, string pengguna harus berakhir dengan tanda '$'. Misalnya: mdisvc$
      CATATAN: Kami menyarankan agar Anda menghindari penggunaan akun yang ditetapkan untuk pengguna tertentu.
      Kata sandi (diperlukan untuk akun pengguna AD standar) Hanya untuk akun pengguna AD, masukkan kata sandi untuk pengguna baca-saja. Misalnya: Pensil1.
      Akun layanan terkelola grup (diperlukan untuk akun gMSA) Hanya untuk akun gMSA, pilih Akun layanan terkelola grup.
      Domain (diperlukan) Masukkan domain untuk pengguna baca-saja. Misalnya: contoso.com. Penting bahwa Anda memasukkan FQDN lengkap domain tempat pengguna berada. Misalnya, jika akun pengguna berada di domain corp.contoso.com, Anda perlu memasukkan corp.contoso.com tidak contoso.com. Untuk informasi tentang Domain Label Tunggal, lihat Dukungan Microsoft untuk Domain Label Tunggal.

    5. Pilih Simpan.

    Catatan

    Anda dapat menggunakan prosedur yang sama ini untuk mengubah kata sandi untuk akun pengguna Direktori Aktif standar. Tidak ada kata sandi yang ditetapkan untuk akun gMSA.

    Pemecahan Masalah

    Langkah berikutnya

    « Mengonfigurasi grup Peran koleksi Peristiwa Windows»