Configurar as contas de ação do Microsoft Defender para Identidade

  • Artigo

O Defender para Identidade permite que você execute ações de correção direcionadas a contas locais do Active Directory no caso de uma identidade ser comprometida. Para executar essas ações, o Microsoft Defender para Identidade precisa ter as permissões necessárias.

Por padrão, o sensor do Microsoft Defender para Identidade representa a conta LocalSystem do controlador de domínio e executa as ações, incluindo cenários de interrupção de ataque do Microsoft Defender XDR.

Se você precisar alterar esse comportamento, configure uma gMSA dedicada e defina o escopo das permissões necessárias. Por exemplo:

Screenshot of the Manage action accounts tab.

Observação

Usar uma gMSA dedicada como conta de ação é opcional. Recomendamos que você use as configurações padrão para a conta LocalSystem.

Melhores práticas para contas de ação

Recomendamos que você evite usar a mesma conta gMSA configurada para ações gerenciadas do Defender para Identidade em servidores que não sejam controladores de domínio. Se você usar a mesma conta e o servidor estiver comprometido, um invasor poderá recuperar a senha da conta e alterar senhas e desabilitar contas.

Também recomendamos que você evite usar a mesma conta para o Serviço de Diretório e para Gerenciar Ações. Isso ocorre porque a conta de Serviço de Diretório requer apenas permissões somente leitura para o Active Directory, e as contas Gerenciar Ações precisam de permissões de gravação nas contas de usuários.

Se você tiver várias florestas, sua conta de ação gerenciada gMSA deverá ser confiável em todas as florestas, ou crie uma conta separada para cada floresta. Para obter mais informações, confira Suporte a várias florestas do Microsoft Defender para Identidade.

Criar e configurar uma conta de ação específica

  1. Crie uma nova conta gMSA. Para obter mais informações, consulte Introdução a contas de serviços gerenciados de grupo.

  2. Atribua o direito Fazer logon como um serviço à conta gMSA em cada controlador de domínio que executa o sensor do Defender para Identidade.

  3. Conceda as permissões necessárias à conta gMSA da seguinte maneira:

    1. Abra Usuários e Computadores do Active Directory.

    2. Clique com o botão direito do mouse no domínio ou na UO relevante e escolha Propriedades. Por exemplo:

      Screenshot of selecting domain or OU properties.

    3. Vá para a guia Segurança e selecione Avançado. Por exemplo:

      Screenshot of the advanced security settings.

    4. Selecione Adicionar>Selecionar uma entidade de segurança. Por exemplo:

      Screenshot of selecting a principal.

    5. Verifique se a opção Contas de serviço está marcada em Tipos de objeto. Por exemplo:

      Screenshot oof selecting service accounts as object types.

    6. Na caixa Inserir o nome do objeto para selecionar, insira o nome da conta gMSA e selecione OK.

    7. No campo Aplica-se a, selecione Objetos de Usuários Descendentes, deixe as configurações existentes e adicione as permissões e propriedades mostradas no exemplo a seguir.

      Screenshot of setting permissions and properties.

      As permissões necessárias incluem:

      Ação Permissões Propriedades
      Habilitar a redefinição de senha forçada Redefinir senha - Read pwdLastSet
      - Write pwdLastSet
      Para desabilitar um usuário - - Read userAccountControl
      - Write userAccountControl

    8. (Opcional) No campo Aplica-se a, selecione Objetos de Grupos Descendentes e defina as seguintes propriedades:

      • Read members
      • Write members

    9. Selecione OK.

Adicionar a conta gMSA no portal do Microsoft Defender

  1. Vá para o portal do Microsoft Defender e selecione Configurações ->Identidades>Microsoft Defender para Identidade>Gerenciar contas de ação>+Criar nova conta.

    Por exemplo:

    Screenshot of the Create new account button.

  2. Insira o nome da conta e o domínio e selecione Salvar.

Sua conta de ação está listada na página Gerenciar contas de ação.

Conteúdo relacionado

Para obter mais informações, consulte as Ações de correção no Microsoft Defender para Identidade.