Kimlik için Microsoft Defender eylem hesaplarını yapılandırma

  • Makale

Kimlik için Defender, kimliğin gizliliğinin ihlal edilmesi durumunda şirket içi Active Directory hesapları hedefleyen düzeltme eylemleri gerçekleştirmenizi sağlar. Bu eylemleri gerçekleştirmek için Kimlik için Microsoft Defender gerekli izinlere sahip olması gerekir.

Varsayılan olarak, Kimlik için Microsoft Defender algılayıcısı etki alanı denetleyicisinin hesabının kimliğine bürüner LocalSystem ve Microsoft Defender XDR'den saldırıyı kesintiye uğratma senaryoları da dahil olmak üzere eylemleri gerçekleştirir.

Bu davranışı değiştirmeniz gerekiyorsa, ayrılmış bir gMSA ayarlayın ve ihtiyacınız olan izinlerin kapsamını belirleyin. Örnek olarak:

Screenshot of the Manage action accounts tab.

Dekont

Eylem hesabı olarak ayrılmış gMSA kullanmak isteğe bağlıdır. Hesap için LocalSystem varsayılan ayarları kullanmanızı öneririz.

Eylem hesapları için en iyi yöntemler

Etki alanı denetleyicileri dışındaki sunucularda Kimlik için Defender yönetilen eylemleri için yapılandırdığınız gMSA hesabını kullanmaktan kaçınmanızı öneririz. Aynı hesabı kullanırsanız ve sunucunun güvenliği tehlikeye girerse, saldırgan hesabın parolasını alabilir ve parolaları değiştirme ve hesapları devre dışı bırakma olanağı elde edebilir.

Ayrıca hem Dizin Hizmeti hesabı hem de Eylemi Yönet hesabıyla aynı hesabı kullanmaktan kaçınmanızı öneririz. Bunun nedeni, Dizin Hizmeti hesabının Active Directory için yalnızca salt okunur izinler gerektirmesi ve Eylemi Yönet hesaplarının kullanıcı hesaplarında yazma izinlerine sahip olmasıdır.

Birden çok ormanınız varsa, gMSA yönetilen eylem hesabınız tüm ormanlarınızda güvenilir olmalıdır veya her orman için ayrı bir tane oluşturmalıdır. Daha fazla bilgi için bkz. çoklu orman desteği Kimlik için Microsoft Defender.

Belirli bir eylem hesabı oluşturma ve yapılandırma

  1. Yeni bir gMSA hesabı oluşturun. Daha fazla bilgi için bkz . Grup Yönetilen Hizmet Hesaplarını kullanmaya başlama.

  2. Kimlik için Defender algılayıcısını çalıştıran her etki alanı denetleyicisinde gMSA hesabına Hizmet olarak oturum açma hakkını atayın.

  3. gMSA hesabına aşağıdaki gibi gerekli izinleri verin:

    1. Active Directory Kullanıcıları ve Bilgisayarları'nı açın.

    2. İlgili etki alanına veya OU'ya sağ tıklayın ve Özellikler'i seçin. Örneğin:

      Screenshot of selecting domain or OU properties.

    3. Güvenlik sekmesine gidin ve Gelişmiş'i seçin. Örneğin:

      Screenshot of the advanced security settings.

    4. Ekle Sorumlu seçin'i>seçin. Örneğin:

      Screenshot of selecting a principal.

    5. Hizmet hesaplarının Nesne türlerinde işaretlendiğinden emin olun. Örneğin:

      Screenshot oof selecting service accounts as object types.

    6. Seçecek nesne adını girin kutusuna gMSA hesabının adını girin ve Tamam'ı seçin.

    7. Uygulandığı yer alanında Descendant User objects (Alt Kullanıcı nesneleri) öğesini seçin, var olan ayarları bırakın ve aşağıdaki örnekte gösterilen izinleri ve özellikleri ekleyin:

      Screenshot of setting permissions and properties.

      Gerekli izinler şunlardır:

      Eylem İzinler Özellikler
      Parola sıfırlamayı zorlamayı etkinleştirme Parola sıfırlama - Read pwdLastSet
      - Write pwdLastSet
      Kullanıcıyı devre dışı bırakmak için - - Read userAccountControl
      - Write userAccountControl

    8. (İsteğe bağlı) Uygulandığı yer alanında Descendant Group nesneleri'ni seçin ve aşağıdaki özellikleri ayarlayın:

      • Read members
      • Write members

    9. Tamam seçeneğini işaretleyin.

Microsoft Defender portalında gMSA hesabını ekleme

  1. Microsoft Defender portalına gidin ve Ayarlar ->Kimlikler> Kimlik için Microsoft Defender> Eylem hesaplarını> yönet+Yeni hesap oluştur'u seçin.

    Örneğin:

    Screenshot of the Create new account button.

  2. Hesap adını ve etki alanını girin ve Kaydet'i seçin.

Eylem hesabınız Eylem hesaplarını yönet sayfasında listelenir.

İlgili içerik

Daha fazla bilgi için bkz. Kimlik için Microsoft Defender düzeltme eylemleri.