Aracılığıyla paylaş

Kimlik için Microsoft Defender eylem hesaplarını yapılandırma

  • Makale

Kimlik için Defender, kimliğin gizliliğinin tehlikeye düşmesi durumunda şirket içi Active Directory hesapları hedefleyen düzeltme eylemleri gerçekleştirmenizi sağlar. Bu eylemleri gerçekleştirmek için Kimlik için Microsoft Defender gerekli izinlere sahip olması gerekir.

Varsayılan olarak, Kimlik için Microsoft Defender algılayıcısı etki alanı denetleyicisinin hesabını taklit eder LocalSystem ve Microsoft Defender XDR saldırıyı kesintiye uğratma senaryoları da dahil olmak üzere eylemleri gerçekleştirir.

Bu davranışı değiştirmeniz gerekiyorsa, ayrılmış bir gMSA ayarlayın ve ihtiyacınız olan izinlerin kapsamını belirleyin. Örneğin:

Eylem hesaplarını yönet sekmesinin ekran görüntüsü.

Not

Eylem hesabı olarak ayrılmış gMSA kullanmak isteğe bağlıdır. Hesap için LocalSystem varsayılan ayarları kullanmanızı öneririz.

Eylem hesapları için en iyi yöntemler

Etki alanı denetleyicileri dışındaki sunucularda Kimlik için Defender tarafından yönetilen eylemler için yapılandırdığınız gMSA hesabını kullanmaktan kaçınmanızı öneririz. Aynı hesabı kullanırsanız ve sunucunun güvenliği ihlal edilirse, saldırgan hesabın parolasını alabilir ve parolaları değiştirme ve hesapları devre dışı bırakma özelliği elde edebilir.

Ayrıca hem Dizin Hizmeti hesabı hem de Eylemi Yönet hesabıyla aynı hesabı kullanmaktan kaçınmanızı öneririz. Bunun nedeni, Dizin Hizmeti hesabının Active Directory için yalnızca salt okunur izinler gerektirmesi ve Eylemi Yönet hesaplarının kullanıcı hesaplarında yazma izinlerine sahip olmasıdır.

Birden çok ormanınız varsa, gMSA yönetilen eylem hesabınız tüm ormanlarınızda güvenilir olmalıdır veya her orman için ayrı bir tane oluşturmalıdır. Daha fazla bilgi için bkz. Kimlik için Microsoft Defender çoklu orman desteği.

Belirli bir eylem hesabı oluşturma ve yapılandırma

  1. Yeni bir gMSA hesabı oluşturun. Daha fazla bilgi için bkz. Grup Yönetilen Hizmet Hesaplarını kullanmaya başlama.

  2. Kimlik için Defender algılayıcısını çalıştıran her etki alanı denetleyicisindeki gMSA hesabına Hizmet olarak oturum açma hakkını atayın.

  3. gMSA hesabına aşağıdaki gibi gerekli izinleri verin:

    1. Active Directory Kullanıcıları ve Bilgisayarları açın.

    2. İlgili etki alanına veya OU'ya sağ tıklayın ve Özellikler'i seçin. Örneğin:

      Etki alanı veya OU özelliklerini seçme işleminin ekran görüntüsü.

    3. Güvenlik sekmesine gidin ve Gelişmiş'i seçin. Örneğin:

      Gelişmiş güvenlik ayarlarının ekran görüntüsü.

    4. EkleSorumlu seçin'i> seçin. Örneğin:

      Sorumlu seçme işleminin ekran görüntüsü.

    5. Hizmet hesaplarınınNesne türlerinde işaretlendiğinden emin olun. Örneğin:

      Nesne türü olarak hizmet hesaplarını seçme işleminin ekran görüntüsü.

    6. Seçecek nesne adını girin kutusuna gMSA hesabının adını girin ve Tamam'ı seçin.

    7. Uygulandığı yer alanında Alt Kullanıcı nesneleri'ni seçin, var olan ayarları bırakın ve aşağıdaki örnekte gösterilen izinleri ve özellikleri ekleyin:

      İzinleri ve özellikleri ayarlamanın ekran görüntüsü.

      Gerekli izinler şunlardır:

      Eylem İzinler Özellikler
      Parola sıfırlamayı zorlamayı etkinleştirme Parolayı sıfırlayın - Read pwdLastSet
      - Write pwdLastSet
      Kullanıcıyı devre dışı bırakmak için - - Read userAccountControl
      - Write userAccountControl

    8. (İsteğe bağlı) Uygulanacağı yer alanında Alt Grup nesneleri'ni seçin ve aşağıdaki özellikleri ayarlayın:

      • Read members
      • Write members

    9. Tamam'ı seçin.

gMSA hesabını Microsoft Defender portalına ekleme

  1. Microsoft Defender portalına gidin ve Ayarlar ->Kimlikler>Kimlik için Microsoft Defender>Eylem hesaplarını> yönet+Yeni hesap oluştur'u seçin.

    Örneğin:

    Yeni hesap oluştur düğmesinin ekran görüntüsü.

  2. Hesap adını ve etki alanını girin ve Kaydet'i seçin.

Eylem hesabınız Eylem hesaplarını yönet sayfasında listelenir.

İlgili içerik

Daha fazla bilgi için bkz. Kimlik için Microsoft Defender düzeltme eylemleri.