Recomendações de conta do Serviço de Diretório de Microsoft Defender para Identidade
Aprenda a criar uma conta de Serviço de Diretório (DSA) e configuure-a para trabalhar com Microsoft Defender para Identidade.
Introdução
A conta de Serviço de Diretório (DSA) no Defender for Identity é utilizada pelo sensor para executar as seguintes funções:
No arranque, o sensor conecta-se ao controlador de domínio utilizando LDAP com as credenciais de conta DSA.
O sensor consulta o controlador de domínio para obter informações sobre entidades vistas no tráfego de rede, eventos monitorizados e atividades da ETW monitorizadas.
Um sensor em cada domínio será definido como o "sincronizador de domínios" e é responsável por rastrear alterações nas entidades do domínio, como objetos criados, atributos de entidade rastreados pelo Defender para identidade, e assim por diante.
Se o sensor vir atividades de entidades de outros domínios, irá consultar esse domínio via LDAP para obter informações sobre a entidade.
O Defender for Identity solicita a lista de membros do grupo de administradores locais a partir de dispositivos vistos em tráfego de rede, eventos e atividades da ETW. Isto é feito fazendo uma chamada SAM-R para o dispositivo. Esta informação é usada para calcular potenciais caminhos de movimento lateral.
Nota
Por predefinição, o Defender for Identity suporta até 30 credenciais. Se quiser adicionar mais credenciais, contacte o Defender para obter suporte de identidade.
Permissões necessárias para a DSA
O DSA requer permissões de leitura em todos os objetos do Ative Directory, incluindo o Recipiente de Objetos Eliminados.
Nota
Recomendação do recipiente de objetos apagados : A DSA deve ter permissões de leitura apenas no recipiente de Objetos Eliminados. As permissões de leitura neste recipiente permitem ao Defender para a Identidade detetar as eliminações do utilizador do seu Diretório Ativo. Para obter informações sobre a configuração de permissões apenas de leitura no recipiente De Objetos Eliminados, consulte as permissões de alteração numa secção de recipiente de objetos eliminados do Artigo 'Visualização' ou Definição num artigo do Objeto de Diretório .
Tipos de contas DSA
Existem dois tipos de DSA que podem ser usados:
Conta de Serviço Gerido em Grupo (gMSA) – recomendada
Conta de utilizador regular no Ative Directory
| Tipo de DSA | Vantagens | Desvantagens |
|---|---|---|
| gMSA | ||
| Conta de utilizador regular |
Número de entradas da DSA
Quantas entradas na DSA são necessárias?
Um mínimo de uma entrada DSA é exigido pelo Defender for Identity. Devia ter lido permissões a todos os domínios das florestas.
Num ambiente multi-florestal não fidedquirático, será necessária uma conta DSA para cada floresta.
Como é que o sensor escolhe qual entidade da DSA pode utilizar?
Quando o sensor começar, receberá uma lista de entradas DSA configuradas no Defender para identidade.
Uma entrada DSA está configurada
O sensor tentará utilizar a entrada DSA configurada durante o arranque, como reação a um novo domínio que contacte o controlador de domínio, sempre que for feita uma consulta SAM-R, ou sempre que essa ligação tenha de ser recriada.
Conta regular: o sensor tentará iniciar scontabilidade no controlador de domínio utilizando o nome de utilizador e a palavra-passe configurados.
conta gMSA: – o sensor tentará recuperar a palavra-passe da conta gMSA do Ative Directory (AD). Depois de recuperar a palavra-passe, o sensor tentará iniciar singing no domínio.
Duas ou mais entradas de DSA são configuradas
Quando houver duas ou mais entradas DSA, o sensor tentará as entradas DSA na seguinte ordem:
- Combine entre o nome de domínio DNS do domínio alvo (por exemplo, emea.contoso.com) e o domínio da entrada de DSA gMSA (por exemplo, emea.contoso.com).
- Combine entre o nome de domínio DNS do domínio alvo (por exemplo, emea.contoso.com) e o domínio da entrada regular da DSA (por exemplo, emea.contoso.com).
- Combine no nome DE DNS raiz do domínio alvo (por exemplo, emea.contoso.com) e no nome de domínio da entrada DSA gMSA (por exemplo, contoso.com)
- Combine no nome DE DNS raiz do domínio alvo (por exemplo, emea.contoso.com) e no nome de domínio da entrada regular da DSA (por exemplo, contoso.com)
- Procure um "domínio irmão" - nome de domínio alvo (por exemplo, emea.contoso.com) e nome de domínio de entrada de DSA gMSA (por exemplo, apac.contoso.com).
- Procure um "domínio irmão" - nome de domínio alvo (por exemplo, emea.contoso.com) e nome de domínio de entrada regular da DSA (por exemplo, apac.contoso.com).
- Rodada robin todas as outras entradas da DSA gMSA
- Rodada robin todas as outras entradas regulares da DSA
O sensor procurará uma entrada DSA com uma correspondência exata do nome de domínio do domínio alvo. Se for encontrada uma correspondência exata, o sensor tentará iniciar sposição no domínio com as definições de entrada DSA.
Se não houver uma correspondência exata do nome de domínio ou a entrada exata da correspondência não tiver sido autenticada, o sensor atravessará a lista através de um robin redondo.
Por exemplo, se estas forem as entradas DSA configuradas:
- DSA1.northamerica.contoso.com
- DSA2.EMEA.contoso.com
- DSA3.fabrikam.com
Então estes são os sensores, e que entrada DSA será usado primeiro:
| Controlador de domínio FQDN | Entrada DSA que será usada |
|---|---|
| DC01.contoso.com | Robin redondo |
| DC02.Fabrikam.com | DSA3.fabrikam.com |
| DC03.EMEA.contoso.com | DSA2.emea.contoso.com |
| DC04.contoso.com | Robin redondo |
Nota
- Numa floresta de vários domínios, recomenda-se que a conta DSA seja criada no domínio com o maior número de controladores de domínio.
- Em ambientes multi-domínios multi-florestais, considere criar uma entrada DSA para cada domínio no ambiente para evitar que as autenticações falhadas sejam registadas devido ao método de robin redondo.
Importante
Se um sensor não for capaz de autenticar com sucesso via LDAP para o domínio Ative Directory no arranque utilizando qualquer uma das contas DSA configuradas, o sensor não entrará num estado de funcionamento e será criado um alerta de saúde. Para mais informações, consulte alertas de saúde do Defender for Identity.
Como criar uma conta gMSA para uso com Defender para identidade
Podem ser seguidos os passos seguintes para criar uma conta gMSA a ser utilizada como entrada DSA para Defender para identidade. Isto não fornece orientação completa nas contas gMSA. Para mais informações, reveja Começar com contas de serviço geridas pelo grupo.
Nota
- Num ambiente multi-floresta, recomendamos a criação dos gMSAs com um nome único para cada floresta ou domínio.
Concessão das permissões para recuperar a senha da conta gMSA
Antes de criar a conta gMSA, considere como atribuir permissões para recuperar a senha da conta.
Ao utilizar uma entrada gMSA, o sensor necessita de recuperar a palavra-passe do gMSA do Ative Directory. Isto pode ser feito atribuindo a cada um dos sensores ou utilizando um grupo.
Numa única área de implantação, se não estiver a planear instalar o sensor em quaisquer servidores AD FS, pode utilizar o grupo de segurança dos controladores de domínio incorporado.
Numa floresta com vários domínios, quando se utiliza uma única conta DSA, é recomendado criar um grupo universal e adicionar cada um dos controladores de domínio (e servidores AD FS) ao grupo universal.
Nota
Se adicionar uma conta de computador ao grupo universal depois de o computador receber o bilhete Kerberos, não será capaz de recuperar a senha da gMSA, até que solicite um novo bilhete Kerberos. O bilhete Kerberos tem uma lista de grupos dos qual uma entidade faz parte quando o bilhete é emitido. Neste caso, pode:
- Aguarde que o novo bilhete kerberos seja emitido. (Os bilhetes Kerberos são normalmente válidos por 10 horas)
- Reinicie o servidor, quando o servidor for reiniciado, um novo bilhete Kerberos será solicitado com a nova filiação do grupo.
- Purgue os bilhetes kerberos existentes. Isto forçará o controlador de domínio a pedir um novo bilhete Kerberos. A partir de um pedido de comando do administrador no controlador de domínio, executar o seguinte comando:
klist purge -li 0x3e7
Criar uma conta gMSA
Nos passos seguintes irá criar um grupo específico que pode recuperar a senha da conta, criar uma conta gMSA e, em seguida, testar que a conta está pronta a ser utilizada.
Executar os seguintes comandos PowerShell como administrador:
# Set the variables:
$gMSA_AccountName = 'mdiSvc01'
$gMSA_HostsGroupName = 'mdiSvc01Group'
$gMSA_HostNames = 'DC1', 'DC2', 'DC3', 'DC4', 'DC5', 'DC6', 'ADFS1', 'ADFS2'
# Install the required PowerShell module:
Install-Module ActiveDirectory
# Create the group and add the members
$gMSA_HostsGroup = New-ADGroup -Name $gMSA_HostsGroupName -GroupScope Global -PassThru
$gMSA_HostNames | ForEach-Object { Get-ADComputer -Identity $_ } |
ForEach-Object { Add-ADGroupMember -Identity $gMSA_HostsGroupName -Members $_ }
# Create the gMSA:
New-ADServiceAccount -Name $gMSA_AccountName -DNSHostName "$gMSA_AccountName.$env:USERDNSDOMAIN" `
-PrincipalsAllowedToRetrieveManagedPassword $gMSA_HostsGroup.Name
Instale a conta gMSA
Para instalar a conta gMSA, executar localmente (como administrador) em cada um dos servidores, o seguinte comando:
# Install the required PowerShell module:
Install-Module ActiveDirectory
# Install the gMSA account
Install-ADServiceAccount -Identity 'mdiSvc01'
Como validar que o controlador de domínio pode recuperar a senha do gMSA
Para validar que o servidor tem as permissões necessárias para recuperar a palavra-passe do gMSA, execute o seguinte comando PowerShell:
Test-ADServiceAccount -Identity 'mdiSvc01'
Se tiver as permissões, o comando devolverá uma mensagem verdadeira .
Nota
Se receber uma mensagem de erro ao executar o Test-ADServiceAccount, reinicie o servidor ou corra klist purge -li 0x3e7 e tente novamente.
Verifique se a conta gMSA tem os direitos necessários (se necessário)
O serviço de sensor (Azure Advanced Threat Protection Sensor) funciona como LocalService e executa a personificação da conta DSA. A personificação falhará se o Registo como uma política de serviço estiver configurado, mas a permissão não foi concedida à conta gMSA, e receberá um alerta sanitário: as credenciais de utilizador dos serviços de diretório estão incorretas.
Se receber o alerta, deverá verificar se o Registo como uma política de serviço está configurado.
O Registo como uma política de serviço pode ser configurado numa definição de Política de Grupo ou numa Política de Segurança Local.
Para verificar a Política Local, faça secpol.msc e selecione Políticas Locais. Ao abrigo da Atribuição de Direitos de Utilização, aceda ao Registo como uma definição de política de serviço . Se a apólice estiver ativada, adicione a conta gMSA à lista de contas que podem iniciar sessão como serviço.
Para verificar se a definição está definida em Política de Grupo, executar rsop.msc e ver se a definição configuração do computador ->Definições de segurança ->Definições de segurança ->Políticas locais ->Atribuição de direitos de utilizador ->Iniciar sessão como um serviço é definido. Se a definição estiver configurada, adicione a conta gMSA à lista de contas que podem iniciar sessão como um serviço no Política de Grupo Management Editor.
Configure conta de Serviço de Diretório em Microsoft 365 Defender
Para ligar os seus sensores aos seus domínios Ative Directory, terá de configurar as contas do Serviço de Diretório em Microsoft 365 Defender.
Em Microsoft 365 Defender, vá a Definições e depois identidades.
Selecione contas de Serviço de Diretório. Verá quais as contas associadas a que domínios.
Se selecionar uma conta, abrir-se-á um painel com as definições para essa conta.
Para adicionar credenciais de conta do Serviço de Diretório, selecione adicionar credenciais e preencha o nome da Conta, Domínio e Palavra-passe da conta que criou anteriormente. Também pode escolher se é uma conta de serviço gerida pelo Grupo (gMSA), e se pertence a um domínio de etiqueta única.
Campo Comentários Nome da conta (obrigatório) Insira o nome de utilizador AD apenas de leitura. Por exemplo: DefenderForIdentityUser. Tem de utilizar um utilizador AD padrão ou uma conta gMSA. Não utilize o formato UPN para o seu nome de utilizador. Ao utilizar um gMSA, a cadeia do utilizador deve terminar com o sinal '$'. Por exemplo: mdisvc$
NOTA: Recomendamos que evite utilizar contas atribuídas a utilizadores específicos.Palavra-passe (necessária para contas padrão de utilizador de AD) Apenas para contas de utilizador de AD, introduza a palavra-passe para o utilizador apenas de leitura. Por exemplo: Lápis1. Conta de serviço gerida pelo grupo (necessária para contas gMSA) Apenas para contas gMSA, selecione conta de serviço gerida pelo Grupo. Domínio (obrigatório) Introduza o domínio para o utilizador apenas de leitura. Por exemplo: contoso.com. É importante que introduza o FQDN completo do domínio onde o utilizador está localizado. Por exemplo, se a conta do utilizador estiver em domínio corp.contoso.com, tem de introduzir corp.contoso.comcontoso.com. Para obter informações sobre domínios de etiqueta única, consulte o suporte da Microsoft para domínios de etiqueta única.Selecione Guardar.
Nota
Pode utilizar este mesmo procedimento para alterar a palavra-passe para contas de utilizador padrão do Ative Directory. Não existe uma senha definida para as contas gMSA.