Configurar uma Conta de Serviço de Diretório para o Defender para Identidade com uma gMSA

Artigo
04/01/2024

Este artigo descreve como criar uma conta de serviço gerenciado de grupo (gMSA) para usar como uma entrada de DSA no Defender para Identidade.

Para obter mais informações, confira Contas de serviço de diretório para o Microsoft Defender para Identidade.

Dica

Em ambientes de várias florestas e vários domínios, recomendamos criar as gMSAs com um nome exclusivo para cada floresta ou domínio. Além disso, crie um grupo universal em cada domínio, contendo todas as contas de computador dos sensores para que todos os sensores possam recuperar as senhas de gMSAs e executar as autenticações entre domínios.

Pré-requisitos: conceder permissões para recuperar a senha da conta gMSA

Antes de criar a conta gMSA, considere como atribuir permissões para recuperar a senha da conta.

Ao usar uma entrada de gMSA, o sensor precisa recuperar a senha da gMSA no Active Directory. Isso pode ser feito com uma atribuição a cada um dos sensores ou usando um grupo.

Em uma implantação de floresta única e domínio único, se você não estiver planejando instalar o sensor em nenhum servidor do AD FS/AD CS, poderá usar o grupo de segurança interno dos Controladores de Domínio.
Em uma floresta com vários domínios, ao usar uma única conta DSA, recomendamos criar um grupo universal e adicionar cada um dos controladores de domínio e servidores de AD FS/AD CS ao grupo universal.

Se você adicionar uma conta de computador ao grupo universal depois que o computador receber seu tíquete do Kerberos, ele não poderá recuperar a senha da gMSA até receber um novo tíquete do Kerberos. O tíquete do Kerberos tem uma lista de grupos dos quais uma entidade é membro quando o tíquete é emitido.

Nesses cenários, siga um destes procedimentos:

Aguarde a emissão de um novo tíquete do Kerberos. Os tíquetes do Kerberos são normalmente válidos por 10 horas.
Reinicialize o servidor. Quando o servidor é reinicializado, um novo tíquete do Kerberos é solicitado com a nova associação de grupo.
Limpe os tíquetes existentes do Kerberos. Isso força o controlador de domínio a solicitar um novo tíquete do Kerberos.

Para limpar os tíquetes, em um prompt de comando de administrador no controlador de domínio, execute o seguinte comando: klist purge -li 0x3e7

Criar a conta gMSA

Esta seção descreve como criar um grupo específico que pode recuperar a senha da conta, criar uma conta gMSA e testar se a conta está pronta para uso.

Atualize o código a seguir com os valores das variáveis do seu ambiente. Em seguida, execute os comandos do PowerShell como administrador:

# Variables:
# Specify the name of the gMSA you want to create:
$gMSA_AccountName = 'mdiSvc01'
# Specify the name of the group you want to create for the gMSA,
# or enter 'Domain Controllers' to use the built-in group when your environment is a single forest, and will contain only domain controller sensors.
$gMSA_HostsGroupName = 'mdiSvc01Group'
# Specify the computer accounts that will become members of the gMSA group and have permission to use the gMSA. 
# If you are using the 'Domain Controllers' group in the $gMSA_HostsGroupName variable, then this list is ignored
$gMSA_HostNames = 'DC1', 'DC2', 'DC3', 'DC4', 'DC5', 'DC6', 'ADFS1', 'ADFS2'

# Import the required PowerShell module:
Import-Module ActiveDirectory

# Set the group
if ($gMSA_HostsGroupName -eq 'Domain Controllers') {
    $gMSA_HostsGroup = Get-ADGroup -Identity 'Domain Controllers'
} else {
    $gMSA_HostsGroup = New-ADGroup -Name $gMSA_HostsGroupName -GroupScope DomainLocal -PassThru
    $gMSA_HostNames | ForEach-Object { Get-ADComputer -Identity $_ } |
        ForEach-Object { Add-ADGroupMember -Identity $gMSA_HostsGroupName -Members $_ }
}

# Create the gMSA:
New-ADServiceAccount -Name $gMSA_AccountName -DNSHostName "$gMSA_AccountName.$env:USERDNSDOMAIN" `
 -PrincipalsAllowedToRetrieveManagedPassword $gMSA_HostsGroup

Conceder as permissões de DSA necessárias

A DSA requer permissões somente leitura em todos os objetos no Active Directory, incluindo o Contêiner de Objetos Excluídos.

As permissões somente leitura no contêiner Objetos Excluídos permitem que o Defender para Identidade detecte exclusões de usuários do Active Directory.

Use o exemplo de código a seguir para ajudar você a conceder as permissões de leitura necessárias no contêiner Objetos Excluídos, independentemente de você estar ou não usando uma conta gMSA.

Dica

Se a DSA à qual você deseja conceder as permissões for uma Conta de Serviço Gerenciado de Grupo (gMSA), você deverá primeiro criar um grupo de segurança, adicionar a gMSA como membro e adicionar as permissões a esse grupo. Para obter mais informações, confira Configurar uma conta de serviço de diretório para o Defender para Identidade com uma gMSA.

# Declare the identity that you want to add read access to the deleted objects container:
$Identity = 'mdiSvc01'

# If the identity is a gMSA, first to create a group and add the gMSA to it:
$groupName = 'mdiUsr01Group'
$groupDescription = 'Members of this group are allowed to read the objects in the Deleted Objects container in AD'
if(Get-ADServiceAccount -Identity $Identity -ErrorAction SilentlyContinue) {
    $groupParams = @{
        Name           = $groupName
        SamAccountName = $groupName
        DisplayName    = $groupName
        GroupCategory  = 'Security'
        GroupScope     = 'Universal'
        Description    = $groupDescription
    }
    $group = New-ADGroup @groupParams -PassThru
    Add-ADGroupMember -Identity $group -Members ('{0}$' -f $Identity)
    $Identity = $group.Name
}

# Get the deleted objects container's distinguished name:
$distinguishedName = ([adsi]'').distinguishedName.Value
$deletedObjectsDN = 'CN=Deleted Objects,{0}' -f $distinguishedName

# Take ownership on the deleted objects container:
$params = @("$deletedObjectsDN", '/takeOwnership')
C:\Windows\System32\dsacls.exe $params

# Grant the 'List Contents' and 'Read Property' permissions to the user or group:
$params = @("$deletedObjectsDN", '/G', ('{0}\{1}:LCRP' -f ([adsi]'').name.Value, $Identity))
C:\Windows\System32\dsacls.exe $params
  
# To remove the permissions, uncomment the next 2 lines and run them instead of the two prior ones:
# $params = @("$deletedObjectsDN", '/R', ('{0}\{1}' -f ([adsi]'').name.Value, $Identity))
# C:\Windows\System32\dsacls.exe $params

Para obter mais informações, confira Alterar as permissões em um contêiner de objetos excluídos.

Verificar se a conta gMSA tem os direitos necessários

O serviço do sensor do Defender para Identidade, Sensor da Proteção Avançada contra Ameaças do Azure, é executado como um LocalService e se faz passar pela conta DSA. Essa representação falhará se a política Fazer logon como um serviço estiver configurada, mas a permissão não tiver sido concedida à conta gMSA. Nesses casos, você verá o seguinte problema de integridade: As credenciais de usuário de serviços de diretório estão incorretas.

Se você vir esse alerta, recomendamos verificar se a política Fazer logon como um serviço está configurada. Se você precisar configurar a política Fazer logon como um serviço, faça isso em uma configuração de Política de Grupo ou em uma Política de Segurança Local.

Para verificar a Política Local, execute secpol.msc e selecione Políticas Locais. Em Atribuição de Direitos de Usuários, vá para a configuração da política Fazer logon como um serviço. Por exemplo:

Se a política estiver habilitada, adicione a conta gMSA à lista de contas que podem fazer logon como um serviço.
Para verificar se a configuração está definida em uma Política de Grupo: execute rsop.msc e veja se a política em Configuração do Computador -> Configurações do Windows -> Configurações de Segurança -> Políticas Locais -> Atribuição de Direitos de Usuários -> Fazer logon como um serviço está selecionada. Por exemplo:

Se a configuração estiver definida, adicione a conta gMSA à lista de contas que podem fazer logon como um serviço no Editor de Gerenciamento de Política de Grupo.

Observação

Se você usar o Editor de Gerenciamento de Política de Grupo para definir a configuração Fazer logon como um serviço, certifique-se de adicionar Serviço de NT\Todos os Serviços e a conta gMSA que você criou.

Configurar uma Conta de Serviço de Diretório no Microsoft Defender XDR

Para conectar seus sensores aos domínios do Active Directory, você precisará configurar contas de Serviço de Diretório no Microsoft Defender XDR.

No Microsoft Defender XDR, vá para Configurações > Identidades. Por exemplo:
Selecione Contas de Serviço de Diretório. Você verá quais contas estão associadas a quais domínios. Por exemplo:

Para adicionar credenciais de conta de Serviço de Diretório, selecione Adicionar credenciais e insira o Nome da conta, o Domínio e a Senha da conta criada anteriormente. Você também pode escolher se é uma Conta de serviço gerenciado de grupo (gMSA) e se pertence a um Domínio de rótulo único. Por exemplo:

Campo	Comentários
Nome da conta (obrigatório)	Insira o nome de usuário do AD somente leitura. Por exemplo: DefenderForIdentityUser. - Você deve usar uma conta de usuário padrão do AD ou gMSA. - Não use o formato UPN para seu nome de usuário. - Ao usar uma gMSA, a cadeia de caracteres do usuário deve terminar com o sinal `$`. Por exemplo: `mdisvc$` NOTA: recomendamos que você evite usar contas atribuídas a usuários específicos.
Senha (obrigatória para contas de usuário padrão do AD)	Somente para contas de usuário do AD, gere uma senha forte para o usuário somente leitura. Por exemplo: `PePR!BZ&}Y54UpC3aB`.
Conta de serviço gerenciado de grupo (obrigatória para contas gMSA)	Somente para contas gMSA, selecione Conta de serviço gerenciado de grupo.
Domínio (obrigatório)	Insira o domínio do usuário somente leitura. Por exemplo: contoso.com. É importante que você insira o FQDN completo do domínio onde o usuário está localizado. Por exemplo, se a conta de usuário estiver no domínio corp.contoso.com, você precisará inserir `corp.contoso.com`, e não `contoso.com`. Para obter mais informações, confira Suporte da Microsoft para domínios de rótulo único.

Selecione Salvar.
(Opcional) Se você selecionar uma conta, um painel de detalhes será aberto com as configurações dessa conta. Por exemplo:

Observação

Você pode usar esse mesmo procedimento para alterar a senha de contas de usuário padrão do Active Directory. Não há nenhuma senha definida para contas gMSA.

Solução de problemas

Para obter mais informações, confira Falha do sensor ao recuperar as credenciais de gMSA.

Próxima etapa

Configurar o SAM-R para habilitar a detecção de caminho de movimentação lateral no Microsoft Defender para Identidade »

Compartilhar via