Kimlik için Microsoft Defender için Dizin Hizmeti Hesapları
Bu makalede, Kimlik için Microsoft Defender Dizin Hizmeti Hesaplarını (DSA) nasıl kullandığı açıklanmaktadır.
Not
Yapılandırılan Dizin Hizmeti Hesapları ne olursa olsun, algılayıcı hizmeti LocalService kimliği altında, güncelleştirici hizmeti de LocalSystem kimliği altında çalışır.
Bazı senaryolarda DSA isteğe bağlı olsa da, tam güvenlik kapsamı için Kimlik için Defender için DSA yapılandırmanızı öneririz.
Örneğin, yapılandırılmış bir DSA'nız olduğunda, başlangıçta etki alanı denetleyicisine bağlanmak için DSA kullanılır. DSA, ağ trafiğinde, izlenen olaylarda ve izlenen ETW etkinliklerinde görülen varlıklardaki veriler için etki alanı denetleyicisini sorgulamak için de kullanılabilir
Aşağıdaki özellikler ve işlevler için bir DSA gereklidir:
AD FS / AD CS sunucusunda yüklü bir algılayıcıyla çalışırken.
Ağa yapılan bir SAM-R çağrısı aracılığıyla ağ trafiğinde, olaylarda ve ETW etkinliklerinde görülen cihazlardan yerel yönetici grupları için üye listeleri isteme. Toplanan veriler olası yanal hareket yollarını hesaplamak için kullanılır.
Silinen kullanıcılar ve bilgisayarlar hakkında bilgi toplamak için DeletedObjects kapsayıcısına erişme.
Algılayıcı başlangıcında ve yine her 10 dakikada bir gerçekleşen etki alanı ve güven eşlemesi.
Diğer etki alanlarındaki varlıklardaki etkinlikleri algılarken ayrıntılar için LDAP aracılığıyla başka bir etki alanını sorgulama.
Tek bir DSA kullanırken, DSA'nın ormanlardaki tüm etki alanları için Okuma izinlerine sahip olması gerekir. Güvenilmeyen, çok ormanlı bir ortamda, her orman için bir DSA hesabı gerekir.
Her etki alanındaki bir algılayıcı, etki alanı eşitleyicisi olarak tanımlanır ve etki alanındaki varlıklardaki değişiklikleri izlemekle sorumludur. Örnekler için, değişiklikler oluşturulan nesneleri, Kimlik için Defender tarafından izlenen varlık özniteliklerini vb. içerebilir.
Not
Varsayılan olarak, Kimlik için Defender en fazla 30 kimlik bilgilerini destekler. Daha fazla kimlik bilgisi eklemek için Kimlik için Defender desteğine başvurun.
Desteklenen DSA hesabı seçenekleri
Kimlik için Defender aşağıdaki DSA seçeneklerini destekler:
| Seçenek | Açıklama | Yapılandırma |
|---|---|---|
| Grup Yönetilen Hizmet Hesabı gMSA (Önerilen) | Daha güvenli bir dağıtım ve parola yönetimi sağlar. Active Directory, hesap parolasının oluşturulmasını ve döndürülmeyi tıpkı bir bilgisayar hesabının parolası gibi yönetir ve hesabın parolasının ne sıklıkta değiştirileceğini denetleyebilirsiniz. | Daha fazla bilgi için bkz. gMSA ile Kimlik için Defender için Dizin Hizmeti Hesabı Yapılandırma. |
| Normal kullanıcı hesabı | Başlarken kullanımı kolay ve güvenilen ormanlar arasında Okuma izinlerini yapılandırmak daha kolaydır, ancak parola yönetimi için ek yük gerektirir. Normal bir kullanıcı hesabı, parola oluşturmanızı ve yönetmenizi gerektirdiğinden daha az güvenlidir ve parolanın süresi dolarsa ve hem kullanıcı hem de DSA için güncelleştirilmezse kapalı kalma süresine yol açabilir. |
Active Directory'de, DeletedObjects kapsayıcısına yönelik izinler de dahil olmak üzere tüm nesneler için Okuma izinlerine sahip DSA olarak kullanılacak yeni bir hesap oluşturun. Daha fazla bilgi için bkz . Gerekli DSA izinlerini verme. |
| Yerel hizmet hesabı | Yerel hizmet hesabı kullanıma hazır olarak kullanılır ve DSA yapılandırılmadığında varsayılan olarak kullanılır. Not: |
Hiçbiri |
Not
Yerel hizmet hesabı algılayıcıyla varsayılan olarak kullanılır ve bazı senaryolarda bir DSA isteğe bağlıdır, ancak tam güvenlik kapsamı için Kimlik için Defender için bir DSA yapılandırmanızı öneririz.
DSA giriş kullanımı
Bu bölümde DSA girişlerinin nasıl kullanıldığı ve algılayıcının belirli bir senaryoda DSA girişini nasıl seçtiği açıklanmaktadır. Sensör denemeleri, DSA girişinin türüne bağlı olarak farklılık gösterir:
| Tür | Açıklama |
|---|---|
| gMSA hesabı | Algılayıcı, Active Directory'den gMSA hesabı parolasını almayı dener ve ardından etki alanında oturum açar. |
| Normal kullanıcı hesabı | Algılayıcı, yapılandırılan kullanıcı adı ve parolayı kullanarak etki alanında oturum açmayı dener. |
Aşağıdaki mantık uygulanır:
Algılayıcı, hedef etki alanı için etki alanı adıyla tam eşleşmesi olan bir girdi arar. Tam eşleşme bulunursa algılayıcı, bu girdideki kimlik bilgilerini kullanarak kimlik doğrulamayı dener.
Tam eşleşme yoksa veya kimlik doğrulaması başarısız olduysa algılayıcı, DNS FQDN kullanarak üst etki alanına giriş için listede arama yapar ve bunun yerine üst girdideki kimlik bilgilerini kullanarak kimlik doğrulamayı dener.
Üst etki alanı için bir girdi yoksa veya kimlik doğrulaması başarısız olduysa algılayıcı, DNS FQDN'sini kullanarak listede eşdüzey etki alanı girdisi arar ve bunun yerine eşdüzey girdideki kimlik bilgilerini kullanarak kimlik doğrulamayı dener.
Eşdüzey etki alanı için bir giriş yoksa veya kimlik doğrulaması başarısız olduysa, algılayıcı listeyi yeniden inceler ve başarılı olana kadar her girişle yeniden kimlik doğrulaması yapmaya çalışır. DSA gMSA girişleri, normal DSA girişlerinden daha yüksek önceliğe sahiptir.
DSA ile örnek mantık
Bu bölümde, hem gMSA hesabı hem de normal hesap dahil olmak üzere birden çok hesabınız olduğunda algılayıcının DSA'nın tamamını nasıl denediğinize ilişkin bir örnek sağlanır.
Aşağıdaki mantık uygulanır:
Algılayıcı, gibi hedef etki alanının DNS etki alanı adı ile gibi
emea.contoso.comemea.contoso.comDSA gMSA girişi arasında bir eşleşme arar.Algılayıcı,
emea.contoso.comhedef etki alanının DNS etki alanı adı ile DSA normal girişi DSA gibi bir eşleşme arar.emea.contoso.comAlgılayıcı, gibi hedef etki alanının kök DNS adında ve gibi
emea.contoso.comDSA gMSA giriş etki alanı adındacontoso.combir eşleşme arar.Algılayıcı, hedef etki alanının kök DNS adında (ve
emea.contoso.comgibi DSA normal giriş etki alanı adı gibicontoso.com) bir eşleşme arar.Algılayıcı, gibi bir eşdüzey etki alanının hedef etki alanı adını ve gibi
emea.contoso.comapac.contoso.comDSA gMSA giriş etki alanı adını arar.Algılayıcı, gibi bir eşdüzey etki alanının hedef etki alanı adını ve gibi
emea.contoso.comapac.contoso.comDSA normal giriş etki alanı adını arar.Algılayıcı, tüm DSA gMSA girişlerini hepsini bir kez deneme çalıştırır.
Algılayıcı, tüm DSA normal girişlerini hepsini bir kez denemeyi çalıştırır.
Bu örnekte gösterilen mantık aşağıdaki yapılandırmayla uygulanır:
DSA girişleri:
DSA1.emea.contoso.comDSA2.fabrikam.com
Algılayıcılar ve önce kullanılan DSA girişi:
Etki alanı denetleyicisi FQDN Kullanılan DSA girdisi DC01.emea.contoso.comDSA1.emea.contoso.comDC02.contoso.comDSA1.emea.contoso.comDC03.fabrikam.comDSA2.fabrikam.comDC04.contoso.localHepsini bir kez deneme
Önemli
Algılayıcı başlangıçta Active Directory etki alanında LDAP aracılığıyla başarıyla kimlik doğrulaması yapamıyorsa algılayıcı çalışır duruma girmez ve sistem durumu sorunu oluşturulur. Daha fazla bilgi için bkz. Kimlik için Defender sistem durumu sorunları.
Gerekli DSA izinlerini verme
DSA, Silinmiş Nesneler Kapsayıcısı da dahil olmak üzere Active Directory'deki tüm nesneler üzerinde salt okunur izinler gerektirir.
Silinmiş Nesneler kapsayıcısı üzerindeki salt okunur izinler, Kimlik için Defender'ın Active Directory'nizden kullanıcı silme işlemini algılamasına olanak tanır.
Bir gMSA hesabı kullanıp kullanmadığınızdan, Silinmiş Nesneler kapsayıcısı üzerinde gerekli okuma izinlerini vermenize yardımcı olması için aşağıdaki kod örneğini kullanın.
İpucu
İzin vermek istediğiniz DSA bir Grup Yönetilen Hizmet Hesabı (gMSA) ise, önce bir güvenlik grubu oluşturmanız, gMSA'yı üye olarak eklemeniz ve izinleri bu gruba eklemeniz gerekir. Daha fazla bilgi için bkz. gMSA ile Kimlik için Defender için Dizin Hizmeti Hesabı Yapılandırma.
# Declare the identity that you want to add read access to the deleted objects container:
$Identity = 'mdiSvc01'
# If the identity is a gMSA, first to create a group and add the gMSA to it:
$groupName = 'mdiUsr01Group'
$groupDescription = 'Members of this group are allowed to read the objects in the Deleted Objects container in AD'
if(Get-ADServiceAccount -Identity $Identity -ErrorAction SilentlyContinue) {
$groupParams = @{
Name = $groupName
SamAccountName = $groupName
DisplayName = $groupName
GroupCategory = 'Security'
GroupScope = 'Universal'
Description = $groupDescription
}
$group = New-ADGroup @groupParams -PassThru
Add-ADGroupMember -Identity $group -Members ('{0}$' -f $Identity)
$Identity = $group.Name
}
# Get the deleted objects container's distinguished name:
$distinguishedName = ([adsi]'').distinguishedName.Value
$deletedObjectsDN = 'CN=Deleted Objects,{0}' -f $distinguishedName
# Take ownership on the deleted objects container:
$params = @("$deletedObjectsDN", '/takeOwnership')
C:\Windows\System32\dsacls.exe $params
# Grant the 'List Contents' and 'Read Property' permissions to the user or group:
$params = @("$deletedObjectsDN", '/G', ('{0}\{1}:LCRP' -f ([adsi]'').name.Value, $Identity))
C:\Windows\System32\dsacls.exe $params
# To remove the permissions, uncomment the next 2 lines and run them instead of the two prior ones:
# $params = @("$deletedObjectsDN", '/R', ('{0}\{1}' -f ([adsi]'').name.Value, $Identity))
# C:\Windows\System32\dsacls.exe $params
Daha fazla bilgi için bkz . Silinen nesne kapsayıcısı üzerindeki izinleri değiştirme.
DSA izinlerinizi ve temsilcilerinizi PowerShell aracılığıyla test edin
DSA'nızın güçlü yönetici izinleri gibi çok fazla izne sahip olmadığını doğrulamak için aşağıdaki PowerShell komutunu kullanın:
Test-MDIDSA [-Identity] <String> [-Detailed] [<CommonParameters>]
Örneğin, mdiSvc01 hesabının izinlerini denetlemek ve tüm ayrıntıları sağlamak için şunu çalıştırın:
Test-MDIDSA -Identity "mdiSvc01" -Detailed
Daha fazla bilgi için bkz. DefenderForIdentity PowerShell başvurusu.