Mengonfigurasi akun tindakan Microsoft Defender untuk Identitas
Defender for Identity memungkinkan Anda mengambil tindakan remediasi yang menargetkan akun Active Directory lokal jika identitas disusupi. Untuk mengambil tindakan ini, Microsoft Defender untuk Identitas harus memiliki izin yang diperlukan untuk melakukannya.
Secara default, sensor Microsoft Defender untuk Identitas meniru LocalSystem
akun pengendali domain dan melakukan tindakan, termasuk skenario serangan yang mengganggu dari Microsoft Defender XDR.
Jika Anda perlu mengubah perilaku ini, siapkan gMSA khusus dan cakupan izin yang Anda butuhkan. Contoh:
Catatan
Menggunakan gMSA khusus sebagai akun tindakan bersifat opsional. Kami menyarankan agar Anda menggunakan pengaturan default untuk akun tersebut LocalSystem
.
Praktik terbaik untuk akun tindakan
Kami menyarankan agar Anda menghindari penggunaan akun gMSA yang sama dengan yang Anda konfigurasi untuk tindakan terkelola Defender for Identity di server selain pengendali domain. Jika Anda menggunakan akun yang sama dan server disusupi, penyerang dapat mengambil kata sandi untuk akun tersebut dan mendapatkan kemampuan untuk mengubah kata sandi dan menonaktifkan akun.
Kami juga menyarankan agar Anda menghindari penggunaan akun yang sama dengan akun Layanan Direktori dan akun Kelola Tindakan. Ini karena akun Layanan Direktori hanya memerlukan izin baca-saja ke Direktori Aktif, dan akun Kelola Tindakan memerlukan izin tulis pada akun pengguna.
Jika Anda memiliki beberapa forest, akun tindakan terkelola gMSA Anda harus dipercaya di semua forest Anda, atau membuat yang terpisah untuk setiap forest. Untuk informasi selengkapnya, lihat Microsoft Defender untuk Identitas dukungan multi-forest.
Membuat dan mengonfigurasi akun tindakan tertentu
Buat akun gMSA baru. Untuk informasi selengkapnya, lihat Mulai menggunakan Akun Layanan Terkelola Grup.
Tetapkan log masuk sebagai layanan langsung ke akun gMSA pada setiap pengendali domain yang menjalankan sensor Defender for Identity.
Berikan izin yang diperlukan ke akun gMSA sebagai berikut:
Buka Pengguna Active Directory dan Komputer.
Klik kanan domain atau unit organisasi yang relevan dan pilih Properti. Misalnya:
Buka tab Keamanan dan pilih Tingkat Lanjut. Misalnya:
Pilih Tambahkan>Pilih prinsipal. Misalnya:
Pastikan akun Layanan ditandai dalam Jenis objek. Misalnya:
Dalam kotak Masukkan nama objek untuk dipilih , masukkan nama akun gMSA dan pilih OK.
Di bidang Berlaku untuk, pilih objek Pengguna Turunan, biarkan pengaturan yang ada, dan tambahkan izin dan properti yang diperlihatkan dalam contoh berikut:
Izin yang diperlukan meliputi:
Perbuatan Izin Properti Aktifkan reset kata sandi paksa Atur ulang kata sandi - Read pwdLastSet
-Write pwdLastSet
Untuk menonaktifkan pengguna - - Read userAccountControl
-Write userAccountControl
(Opsional) Di bidang Berlaku untuk , pilih Objek Grup Turunan dan atur properti berikut ini:
Read members
Write members
Pilih OK.
Menambahkan akun gMSA di portal Pertahanan Microsoft
Buka portal Microsoft Defender dan pilih Pengaturan ->Identities> Microsoft Defender untuk Identitas> Kelola akun> tindakan+Buat akun baru.
Misalnya:
Masukkan nama akun dan domain dan pilih Simpan.
Akun tindakan Anda tercantum di halaman Kelola akun tindakan.
Konten terkait
Untuk informasi selengkapnya, lihat Tindakan remediasi di Microsoft Defender untuk Identitas.