Microsoft Defender for Identity 작업 계정 구성

Defender for Identity를 사용하면 ID가 손상된 경우 온-프레미스 Active Directory 계정을 대상으로 하는 수정 작업을 수행할 수 있습니다. 이러한 작업을 수행하려면 Microsoft Defender for Identity에 필요한 권한이 있어야 합니다.

기본적으로 Microsoft Defender for Identity 센서는 do기본 컨트롤러의 계정을 가장 LocalSystem 하고 Microsoft Defender XDR의 공격을 방해하는 시나리오를 포함하여 작업을 수행합니다.

이 동작을 변경해야 하는 경우 전용 gMSA를 설정하고 필요한 권한의 범위를 지정합니다. 예시:

작업 계정에 대한 모범 사례

기본 컨트롤러 이외의 서버에서 Defender for Identity 관리 작업에 대해 구성한 것과 동일한 gMSA 계정을 사용하지 않는 것이 좋습니다. 동일한 계정을 사용하고 서버가 손상된 경우 공격자는 계정의 암호를 검색하고 암호를 변경하고 계정을 사용하지 않도록 설정할 수 있습니다.

또한 디렉터리 서비스 계정과 관리 작업 계정 모두와 동일한 계정을 사용하지 않는 것이 좋습니다. 디렉터리 서비스 계정에는 Active Directory에 대한 읽기 전용 권한만 필요하고 작업 관리 계정에는 사용자 계정에 대한 쓰기 권한이 필요하기 때문입니다.

포리스트가 여러 개 있는 경우 gMSA 관리 작업 계정을 모든 포리스트에서 신뢰하거나 각 포리스트에 대해 별도의 계정을 만들어야 합니다. 자세한 내용은 Microsoft Defender for Identity 다중 포리스트 지원을 참조하세요.

특정 작업 계정 만들기 및 구성

1. 새 gMSA 계정을 만듭니다. 자세한 내용은 그룹 관리 서비스 계정 시작을 참조 하세요.

2. Defender for Identity 센서를 실행하는 각 do기본 컨트롤러의 gMSA 계정에 서비스 권한으로 로그온을 할당합니다.

3. 다음과 같이 gMSA 계정에 필요한 권한을 부여합니다.

   1. Active Directory 사용자 및 컴퓨터를 엽니다.

   2. 관련 do기본 또는 OU를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다. 예시:

      

   3. 보안 탭으로 이동하여 고급을 선택합니다. 예시:

      

   4. 보안 주체 선택 추가>를 선택합니다. 예시:

      

   5. 서비스 계정이 개체 형식으로 표시되는지 확인합니다. 예시:

      

   6. 선택할 개체 이름 입력 상자에 gMSA 계정의 이름을 입력하고 확인을 선택합니다.

   7. 적용 대상 필드에서 하위 사용자 개체를 선택하고, 기존 설정을 그대로 두고, 다음 예제에 표시된 사용 권한 및 속성을 추가합니다.

      

      필요한 권한은 다음과 같습니다.

      작업	사용 권한	속성
      암호 강제 재설정 사용	암호 다시 설정	- Read pwdLastSet - Write pwdLastSet
      사용자를 사용하지 않도록 설정하려면	-	- Read userAccountControl - Write userAccountControl

   8. (선택 사항) 적용 대상 필드에서 하위 그룹 개체를 선택하고 다음 속성을 설정합니다.

      • Read members
      • Write members

   9. 확인을 선택합니다.

Microsoft Defender 포털에서 gMSA 계정 추가

1. Microsoft Defender 포털로 이동하여 설정 ->Identities>Microsoft Defender for Identity>Manage 작업 계정>+새 계정 만들기를 선택합니다.

   예시:

   

2. 계정 이름을 입력하고 기본 저장을 선택합니다.

작업 계정이 작업 계정 관리 페이지에 나열 됩니다 .

관련 콘텐츠

자세한 내용은 Microsoft Defender for Identity의 수정 작업을 참조 하세요.