Konfigurieren Sie Microsoft Defender für Identitätsaktionskonten

Defender for Identity ermöglicht Es Ihnen, Abhilfemaßnahmen für lokales Active Directory Konten zu ergreifen, wenn eine Identität kompromittiert wird. Um diese Aktionen auszuführen, muss Microsoft Defender for Identity über die erforderlichen Berechtigungen verfügen.

Standardmäßig übernimmt der Microsoft Defender for Identity-Sensor die LocalSystem Identität des Kontos des Do Standard Controllers und führt die Aktionen aus, einschließlich Angriffsstörungen von Microsoft Defender XDR.

Wenn Sie dieses Verhalten ändern müssen, richten Sie ein dediziertes gMSA ein, und legen Sie die erforderlichen Berechtigungen fest. Beispiel:

Bewährte Methoden für Aktionskonten

Es wird empfohlen, die Verwendung des gleichen gMSA-Kontos zu vermeiden, das Sie für verwaltete Defender for Identity-Aktionen auf anderen Servern als do Standard Controllern konfiguriert haben. Wenn Sie dasselbe Konto verwenden und der Server kompromittiert ist, kann ein Angreifer das Kennwort für das Konto abrufen und die Möglichkeit erhalten, Kennwörter zu ändern und Konten zu deaktivieren.

Außerdem wird empfohlen, nicht dasselbe Konto wie das Verzeichnisdienstkonto und das Konto "Aktion verwalten" zu verwenden. Dies liegt daran, dass das Verzeichnisdienstkonto nur schreibgeschützte Berechtigungen für Active Directory benötigt, und die Konten "Aktion verwalten" benötigen Schreibberechtigungen für Benutzerkonten.

Wenn Sie über mehrere Gesamtstrukturen verfügen, muss Ihr verwaltetes gMSA-Aktionskonto in allen Gesamtstrukturen vertrauenswürdig sein oder für jede Gesamtstruktur eine separate Gesamtstruktur erstellen. Weitere Informationen finden Sie unter Microsoft Defender for Identity-Unterstützung für mehrere Gesamtstrukturen.

Erstellen und Konfigurieren eines bestimmten Aktionskontos

1. Erstellen eines gMSA-Kontos. Weitere Informationen finden Sie unter Erste Schritte mit gruppenverwalteten Dienstkonten.

2. Weisen Sie die Anmeldung als Dienst dem gMSA-Konto auf jeder Aufgabe zu Standard Controller, der den Defender for Identity-Sensor ausführt.

3. Erteilen Sie dem gMSA-Konto die erforderlichen Berechtigungen wie folgt:

   1. Öffnen Sie Active Directory-Benutzer und -Computer.

   2. Klicken Sie mit der rechten Maustaste auf die OE, und wählen Sie Eigenschaften aus. Beispiel:

      

   3. Wählen Sie die Registerkarte Sicherheit aus, und klicken Sie auf Erweitert. Beispiel:

      

   4. Wählen Sie "Prinzipal hinzufügen">aus. Beispiel:

      

   5. Stellen Sie sicher, dass Dienstkonten in Objekttypen markiert sind. Beispiel:

      

   6. Geben Sie im Feld Objektnamen eingeben den Namen des gMSA-Kontos ein und wählen Sie OK aus.

   7. Wählen Sie im Feld "Gilt für " die Option "Untergeordnete Benutzerobjekte" aus, behalten Sie die vorhandenen Einstellungen bei, und fügen Sie die im folgenden Beispiel gezeigten Berechtigungen und Eigenschaften hinzu:

      

      Zu den erforderlichen Berechtigungen gehören:

      Aktion	Berechtigungen	Eigenschaften
      Aktivieren der Kennwortzurücksetzung	Kennwort zurücksetzen	- Read pwdLastSet - Write pwdLastSet
      Benutzer deaktivieren	-	- Read userAccountControl - Write userAccountControl

   8. (Optional) Wählen Sie in the Applies to field, select Descendant Group objects and set the following properties:

      • Read members
      • Write members

   9. Klickan Sie auf OK.

Hinzufügen des gMSA-Kontos im Microsoft Defender-Portal

1. Wechseln Sie zum Microsoft Defender-Portal, und wählen Sie Einstellungen ->Identitäten>microsoft Defender for Identity>Manage action accounts>+Create new account.

   Beispiel:

   

2. Geben Sie den Kontonamen ein, und führen Sie dies aus Standard und wählen Sie "Speichern" aus.

Ihr Aktionskonto wird auf der Seite "Aktionskonten verwalten " aufgeführt.

Zugehöriger Inhalt

Weitere Informationen finden Sie unter Behebungsaktionen in Microsoft Defender for Identity.