Configurar contas de ação do Microsoft Defender para Identidade

  • Artigo

O Defender for Identity permite que você execute ações de correção direcionadas a contas locais do Ative Directory caso uma identidade seja comprometida. Para executar essas ações, o Microsoft Defender for Identity precisa ter as permissões necessárias para fazer isso.

Por padrão, o sensor Microsoft Defender for Identity representa a LocalSystem conta do controlador de domínio e executa as ações, incluindo cenários de interrupção de ataque do Microsoft Defender XDR.

Se você precisar alterar esse comportamento, configure um gMSA dedicado e defina o escopo das permissões necessárias. Por exemplo:

Screenshot of the Manage action accounts tab.

Nota

Usar um gMSA dedicado como uma conta de ação é opcional. Recomendamos que você use as configurações padrão para a LocalSystem conta.

Práticas recomendadas para contas de ação

Recomendamos que você evite usar a mesma conta gMSA configurada para ações gerenciadas do Defender for Identity em servidores que não sejam controladores de domínio. Se você usar a mesma conta e o servidor estiver comprometido, um invasor poderá recuperar a senha da conta e ganhar a capacidade de alterar senhas e desabilitar contas.

Também recomendamos que você evite usar a mesma conta que a conta do Serviço de Diretório e a conta Gerenciar Ação. Isso ocorre porque a conta do Serviço de Diretório requer apenas permissões somente leitura para o Ative Directory e as contas Gerenciar Ação precisam de permissões de gravação em contas de usuário.

Se você tiver várias florestas, sua conta de ação gerenciada gMSA deverá ser confiável em todas as florestas ou criar uma separada para cada floresta. Para obter mais informações, consulte Suporte a várias florestas do Microsoft Defender for Identity.

Criar e configurar uma conta de ação específica

  1. Crie uma nova conta gMSA. Para obter mais informações, consulte Introdução às contas de serviço gerenciado de grupo.

  2. Atribua o direito Fazer logon como serviço à conta gMSA em cada controlador de domínio que executa o sensor Defender for Identity.

  3. Conceda as permissões necessárias para a conta gMSA da seguinte maneira:

    1. Abra Utilizadores e Computadores do Active Directory.

    2. Clique com o botão direito do mouse no domínio ou UO relevante e selecione Propriedades. Por exemplo:

      Screenshot of selecting domain or OU properties.

    3. Vá para a guia Segurança e selecione Avançado. Por exemplo:

      Screenshot of the advanced security settings.

    4. Selecione Adicionar>Selecione uma entidade de segurança. Por exemplo:

      Screenshot of selecting a principal.

    5. Verifique se Contas de serviço está marcado em Tipos de objeto. Por exemplo:

      Screenshot oof selecting service accounts as object types.

    6. Na caixa Digite o nome do objeto a ser selecionado, digite o nome da conta gMSA e selecione OK.

    7. No campo Aplica-se a, selecione Objetos de usuário descendente, deixe as configurações existentes e adicione as permissões e propriedades mostradas no exemplo a seguir:

      Screenshot of setting permissions and properties.

      As permissões necessárias incluem:

      Ação Permissões Propriedades
      Ativar reposição forçada de palavra-passe Repor palavra-passe - Read pwdLastSet
      - Write pwdLastSet
      Para desativar o usuário - - Read userAccountControl
      - Write userAccountControl

    8. (Opcional) No campo Aplica-se a , selecione Objetos de grupo descendente e defina as seguintes propriedades:

      • Read members
      • Write members

    9. Selecione OK.

Adicionar a conta gMSA no portal do Microsoft Defender

  1. Vá para o portal do Microsoft Defender e selecione Configurações ->Identidades>Microsoft Defender for Identity>Gerenciar contas de> ação+Criar nova conta.

    Por exemplo:

    Screenshot of the Create new account button.

  2. Introduza o nome da conta e o domínio e selecione Guardar.

Sua conta de ação está listada na página Gerenciar contas de ação.

Conteúdos relacionados

Para obter mais informações, consulte Ações de correção no Microsoft Defender for Identity.