Konfigurieren von Microsoft Defender for Identity Aktionskonten
Defender for Identity ermöglicht es Ihnen, Korrekturmaßnahmen für lokales Active Directory Konten durchzuführen, falls eine Identität kompromittiert wird. Um diese Aktionen ausführen zu können, muss Microsoft Defender for Identity über die erforderlichen Berechtigungen verfügen.
Standardmäßig nimmt der Microsoft Defender for Identity Sensor die Identität des LocalSystem Kontos des Domänencontrollers an und führt die Aktionen aus, einschließlich Szenarien zur Unterbrechung von Angriffen von Microsoft Defender XDR.
Wenn Sie dieses Verhalten ändern müssen, richten Sie ein dediziertes gMSA ein, und legen Sie die erforderlichen Berechtigungen fest. Zum Beispiel:
Hinweis
Die Verwendung eines dedizierten gMSA als Aktionskonto ist optional. Es wird empfohlen, die Standardeinstellungen für das Konto zu LocalSystem verwenden.
Bewährte Methoden für Aktionskonten
Es wird empfohlen, dasselbe gMSA-Konto zu vermeiden, das Sie für verwaltete Defender for Identity-Aktionen auf anderen Servern als Domänencontrollern konfiguriert haben. Wenn Sie dasselbe Konto verwenden und der Server kompromittiert wird, kann ein Angreifer das Kennwort für das Konto abrufen und die Möglichkeit erhalten, Kennwörter zu ändern und Konten zu deaktivieren.
Es wird auch empfohlen, dasselbe Konto wie das Verzeichnisdienstkonto und das Konto Aktion verwalten zu vermeiden. Dies liegt daran, dass das Verzeichnisdienstkonto nur schreibgeschützte Berechtigungen für Active Directory erfordert und die Konten aktion verwalten Schreibberechtigungen für Benutzerkonten benötigen.
Wenn Sie über mehrere Gesamtstrukturen verfügen, muss Ihr gMSA-verwaltetes Aktionskonto in allen Gesamtstrukturen als vertrauenswürdig eingestuft werden oder eine separate Gesamtstruktur für jede Gesamtstruktur erstellen. Weitere Informationen finden Sie unter Microsoft Defender for Identity Unterstützung mehrerer Gesamtstrukturen.
Erstellen und Konfigurieren eines bestimmten Aktionskontos
Erstellen Sie ein neues gMSA-Konto. Weitere Informationen finden Sie unter Erste Schritte mit gruppenverwalteten Dienstkonten.
Weisen Sie das Recht Anmelden als Dienst dem gMSA-Konto auf jedem Domänencontroller zu, auf dem der Defender for Identity-Sensor ausgeführt wird.
Erteilen Sie dem gMSA-Konto die erforderlichen Berechtigungen wie folgt:
Öffnen Sie Active Directory-Benutzer und -Computer.
Klicken Sie mit der rechten Maustaste auf die relevante Domäne oder Organisationseinheit, und wählen Sie Eigenschaften aus. Zum Beispiel:
Wechseln Sie zur Registerkarte Sicherheit , und wählen Sie Erweitert aus. Zum Beispiel:
Wählen Sie Hinzufügen>Prinzipal auswählen aus. Zum Beispiel:
Stellen Sie sicher, dass Dienstkonten unter Objekttypen gekennzeichnet sind. Zum Beispiel:
Geben Sie im Feld Geben Sie den auszuwählenden Objektnamen ein den Namen des gMSA-Kontos ein, und wählen Sie OK aus.
Wählen Sie im Feld Gilt für die Option Nachfolgerbenutzerobjekte aus, behalten Sie die vorhandenen Einstellungen bei, und fügen Sie die im folgenden Beispiel gezeigten Berechtigungen und Eigenschaften hinzu:
Zu den erforderlichen Berechtigungen gehören:
Aktion Berechtigungen Eigenschaften Erzwingen der Kennwortzurücksetzung aktivieren Kennwort zurücksetzen - Read pwdLastSet
-Write pwdLastSetSo deaktivieren Sie den Benutzer - - Read userAccountControl
-Write userAccountControl(Optional) Wählen Sie im Feld Gilt für die Option Nachfolgergruppenobjekte aus, und legen Sie die folgenden Eigenschaften fest:
Read membersWrite members
Wählen Sie OK aus.
Hinzufügen des gMSA-Kontos im Microsoft Defender-Portal
Wechseln Sie zum Microsoft Defender-Portal, und wählen Sie EinstellungenIdentitäten>>Microsoft Defender for Identity>Aktionskonten> verwalten+Neues Konto erstellen aus.
Zum Beispiel:
Geben Sie den Kontonamen und die Domäne ein, und wählen Sie Speichern aus.
Ihr Aktionskonto ist auf der Seite Aktionskonten verwalten aufgeführt.
Verwandte Inhalte
Weitere Informationen finden Sie unter Wartungsaktionen in Microsoft Defender for Identity.