Mengonfigurasi akun tindakan Microsoft Defender untuk Identitas

Defender for Identity memungkinkan Anda mengambil tindakan remediasi yang menargetkan akun Active Directory lokal jika identitas disusupi. Untuk mengambil tindakan ini, Microsoft Defender untuk Identitas harus memiliki izin yang diperlukan untuk melakukannya.

Secara default, sensor Microsoft Defender untuk Identitas meniru LocalSystem akun pengendali domain dan melakukan tindakan, termasuk skenario serangan yang mengganggu dari Microsoft Defender XDR.

Jika Anda perlu mengubah perilaku ini, siapkan gMSA khusus dan cakupan izin yang Anda butuhkan. Contoh:

Screenshot of the Manage action accounts tab.

Catatan

Menggunakan gMSA khusus sebagai akun tindakan bersifat opsional. Kami menyarankan agar Anda menggunakan pengaturan default untuk akun tersebut LocalSystem .

Praktik terbaik untuk akun tindakan

Kami menyarankan agar Anda menghindari penggunaan akun gMSA yang sama dengan yang Anda konfigurasi untuk tindakan terkelola Defender for Identity di server selain pengendali domain. Jika Anda menggunakan akun yang sama dan server disusupi, penyerang dapat mengambil kata sandi untuk akun tersebut dan mendapatkan kemampuan untuk mengubah kata sandi dan menonaktifkan akun.

Kami juga menyarankan agar Anda menghindari penggunaan akun yang sama dengan akun Layanan Direktori dan akun Kelola Tindakan. Ini karena akun Layanan Direktori hanya memerlukan izin baca-saja ke Direktori Aktif, dan akun Kelola Tindakan memerlukan izin tulis pada akun pengguna.

Jika Anda memiliki beberapa forest, akun tindakan terkelola gMSA Anda harus dipercaya di semua forest Anda, atau membuat yang terpisah untuk setiap forest. Untuk informasi selengkapnya, lihat Microsoft Defender untuk Identitas dukungan multi-forest.

Membuat dan mengonfigurasi akun tindakan tertentu

  1. Buat akun gMSA baru. Untuk informasi selengkapnya, lihat Mulai menggunakan Akun Layanan Terkelola Grup.

  2. Tetapkan log masuk sebagai layanan langsung ke akun gMSA pada setiap pengendali domain yang menjalankan sensor Defender for Identity.

  3. Berikan izin yang diperlukan ke akun gMSA sebagai berikut:

    1. Buka Pengguna Active Directory dan Komputer.

    2. Klik kanan domain atau unit organisasi yang relevan dan pilih Properti. Misalnya:

      Screenshot of selecting domain or OU properties.

    3. Buka tab Keamanan dan pilih Tingkat Lanjut. Misalnya:

      Screenshot of the advanced security settings.

    4. Pilih Tambahkan>Pilih prinsipal. Misalnya:

      Screenshot of selecting a principal.

    5. Pastikan akun Layanan ditandai dalam Jenis objek. Misalnya:

      Screenshot oof selecting service accounts as object types.

    6. Dalam kotak Masukkan nama objek untuk dipilih , masukkan nama akun gMSA dan pilih OK.

    7. Di bidang Berlaku untuk, pilih objek Pengguna Turunan, biarkan pengaturan yang ada, dan tambahkan izin dan properti yang diperlihatkan dalam contoh berikut:

      Screenshot of setting permissions and properties.

      Izin yang diperlukan meliputi:

      Perbuatan Izin Properti
      Aktifkan reset kata sandi paksa Atur ulang kata sandi - Read pwdLastSet
      - Write pwdLastSet
      Untuk menonaktifkan pengguna - - Read userAccountControl
      - Write userAccountControl
    8. (Opsional) Di bidang Berlaku untuk , pilih Objek Grup Turunan dan atur properti berikut ini:

      • Read members
      • Write members
    9. Pilih OK.

Menambahkan akun gMSA di portal Pertahanan Microsoft

  1. Buka portal Microsoft Defender dan pilih Pengaturan ->Identities> Microsoft Defender untuk Identitas> Kelola akun> tindakan+Buat akun baru.

    Misalnya:

    Screenshot of the Create new account button.

  2. Masukkan nama akun dan domain dan pilih Simpan.

Akun tindakan Anda tercantum di halaman Kelola akun tindakan.

Untuk informasi selengkapnya, lihat Tindakan remediasi di Microsoft Defender untuk Identitas.