Freigeben über

Konfigurieren eines gMSA-Verzeichnisdienstkontos für Defender for Identity

In diesem Artikel wird beschrieben, wie Sie ein gruppenverwaltetes Dienstkonto (Group Managed Service Account, gMSA) erstellen, das als Microsoft Defender für den Kontoeintrag des Identitätsdiensts verwendet wird.

Voraussetzungen

  • Stellen Sie sicher, dass Sie über Berechtigungen zum Erstellen von gMSAs und Sicherheitsgruppen in Active Directory verfügen.

  • Weisen Sie Berechtigungen zu, mit denen der Sensor das gMSA-Kennwort abrufen kann.

  • Wählen Sie aus, wie der Kennwortabruf konfiguriert werden soll:

    • Weisen Sie jedem der Sensoren das gMSA-Konto direkt zu.

    • Verwenden Sie eine Gruppe, die alle Sensoren enthält, die das gMSA-Konto verwenden müssen.

  • Wählen Sie die geeignete Gruppe basierend auf Ihrer Bereitstellung aus:

    • Bereitstellung mit einzelner Gesamtstruktur und einzelner Domäne: Verwenden Sie die integrierte Sicherheitsgruppe Domänencontroller, wenn Sie keine Sensoren auf Active Directory-Verbunddienste (AD FS)-Servern (AD FS) oder Active Directory-Zertifikatdiensten (AD CS) installieren.

    • Gesamtstruktur mit mehreren Domänen: Wenn Sie ein einzelnes Verzeichnisdienstkonto (Directory Service Account, DSA) verwenden, empfiehlt es sich, eine universelle Gruppe zu erstellen und jeden der Domänencontroller und AD FS- oder AD CS-Server der universellen Gruppe hinzuzufügen.

  • Stellen Sie in Umgebungen mit mehreren Gesamtstrukturen oder mehreren Domänen sicher, dass die Domäne, in der Sie das gMSA erstellen, den Computerkonten der Sensoren vertraut.

  • Erstellen Sie in jeder Domäne eine universelle Gruppe, die alle Computerkonten für Sensoren enthält, damit alle Sensoren die Kennwörter der gMSAs abrufen und die domänenübergreifenden Authentifizierungen durchführen können.

Erstellen des gMSA-Kontos

  1. Wenn Sie noch nie ein gMSA-Konto verwendet haben, müssen Sie möglicherweise einen neuen Stammschlüssel für die Microsoft-Gruppenschlüsselverteilungsdienst (KdsSvc) in Active Directory generieren. Dieser Schritt ist nur einmal pro Gesamtstruktur erforderlich. Führen Sie den folgenden Befehl aus, um einen neuen Stammschlüssel für die sofortige Verwendung zu generieren:

    Add-KdsRootKey -EffectiveImmediately

  2. Führen Sie die PowerShell-Befehle als Administrator aus. Dieses Skript führt Folgendes aus:

    • Erstellen Sie ein gMSA-Konto.
    • Erstellen Sie eine Gruppe für das gMSA-Konto.
    • Fügen Sie der Gruppe die angegebenen Computerkonten hinzu.

  3. Vor dem Ausführen des Skripts:

    • Aktualisieren Sie die Variablenwerte so, dass sie Ihrer Umgebung entsprechen.
    • Achten Sie darauf, jedem gMSA einen eindeutigen Namen für jede Gesamtstruktur oder Domäne zu geben.
# Variables:
# Specify the name of the gMSA you want to create:
$gMSA_AccountName = 'mdiSvc01'
# Specify the name of the group you want to create for the gMSA,
# or enter 'Domain Controllers' to use the built-in group when your environment is a single forest, and will contain only domain controller sensors.
$gMSA_HostsGroupName = 'mdiSvc01Group'
# Specify the computer accounts that will become members of the gMSA group and have permission to use the gMSA. 
# If you are using the 'Domain Controllers' group in the $gMSA_HostsGroupName variable, then this list is ignored
$gMSA_HostNames = 'DC1', 'DC2', 'DC3', 'DC4', 'DC5', 'DC6', 'ADFS1', 'ADFS2'

# Import the required PowerShell module:
Import-Module ActiveDirectory

# Set the group
if ($gMSA_HostsGroupName -eq 'Domain Controllers') {
    $gMSA_HostsGroup = Get-ADGroup -Identity 'Domain Controllers'
} else {
    $gMSA_HostsGroup = New-ADGroup -Name $gMSA_HostsGroupName -GroupScope DomainLocal -PassThru
    $gMSA_HostNames | ForEach-Object { Get-ADComputer -Identity $_ } |
        ForEach-Object { Add-ADGroupMember -Identity $gMSA_HostsGroupName -Members $_ }
}

# Create the gMSA:
New-ADServiceAccount -Name $gMSA_AccountName -DNSHostName "$gMSA_AccountName.$env:USERDNSDOMAIN" `
 -PrincipalsAllowedToRetrieveManagedPassword $gMSA_HostsGroup

Aktualisieren von Kerberos-Tickets nach dem Ändern der Gruppenmitgliedschaft

Das Kerberos-Ticket enthält eine Liste von Gruppen, deren Mitglied eine Entität ist, wenn das Ticket ausgestellt wird. Wenn Sie der universellen Gruppe ein Computerkonto hinzufügen, nachdem sie bereits ein Kerberos-Ticket erhalten hat, kann das Kennwort des gMSA erst abgerufen werden, wenn ein neues Ticket abgerufen wird.

Um das Kerberos-Ticket zu aktualisieren, haben Sie folgende Möglichkeiten:

  • Warten Sie, bis ein neues Kerberos-Ticket ausgestellt wurde. Kerberos-Tickets sind in der Regel 10 Stunden gültig.

  • Starten Sie den Server neu, um ein neues Kerberos-Ticket mit der neuen Gruppenmitgliedschaft anzufordern.

  • Bereinigen Sie die vorhandenen Kerberos-Tickets , um zu erzwingen, dass der Domänencontroller ein neues Kerberos-Ticket anzufordern. Führen Sie den folgenden Befehl aus, um die Tickets über eine Administratoreingabeaufforderung auf dem Domänencontroller zu bereinigen: klist purge -li 0x3e7

Erteilen der erforderlichen Verzeichnisdienstkontoberechtigungen

Die DSA erfordert schreibgeschützte Berechtigungen für alle Objekte in Active Directory, einschließlich des Containers für gelöschte Objekte.

Mit den schreibgeschützten Berechtigungen für den Container "Gelöschte Objekte " kann Defender for Identity Benutzerlöschungen aus Ihrem Active Directory erkennen.

Verwenden Sie das folgende Codebeispiel, um die erforderlichen Leseberechtigungen für den Container "Gelöschte Objekte " zu erteilen, unabhängig davon, ob Sie ein gMSA-Konto verwenden oder nicht.

Tipp

Wenn es sich bei der DSA, für die Sie die Berechtigungen erteilen möchten, um ein gruppenverwaltetes Dienstkonto (Group Managed Service Account, gMSA) handelt, müssen Sie zuerst eine Sicherheitsgruppe erstellen, die gMSA als Mitglied hinzufügen und der Gruppe die Berechtigungen hinzufügen. Weitere Informationen finden Sie unter Konfigurieren eines Verzeichnisdienstkontos für Defender for Identity mit einem gMSA.

# Declare the identity that you want to add read access to the deleted objects container:
$Identity = 'mdiSvc01'

# If the identity is a gMSA, first to create a group and add the gMSA to it:
$groupName = 'mdiUsr01Group'
$groupDescription = 'Members of this group are allowed to read the objects in the Deleted Objects container in AD'
if(Get-ADServiceAccount -Identity $Identity -ErrorAction SilentlyContinue) {
    $groupParams = @{
        Name           = $groupName
        SamAccountName = $groupName
        DisplayName    = $groupName
        GroupCategory  = 'Security'
        GroupScope     = 'Universal'
        Description    = $groupDescription
    }
    $group = New-ADGroup @groupParams -PassThru
    Add-ADGroupMember -Identity $group -Members ('{0}$' -f $Identity)
    $Identity = $group.Name
}

# Get the deleted objects container's distinguished name:
$distinguishedName = ([adsi]'').distinguishedName.Value
$deletedObjectsDN = 'CN=Deleted Objects,{0}' -f $distinguishedName

# Take ownership on the deleted objects container:
$params = @("$deletedObjectsDN", '/takeOwnership')
C:\Windows\System32\dsacls.exe $params

# Grant the 'List Contents' and 'Read Property' permissions to the user or group:
$params = @("$deletedObjectsDN", '/G', ('{0}\{1}:LCRP' -f ([adsi]'').name.Value, $Identity))
C:\Windows\System32\dsacls.exe $params
  
# To remove the permissions, uncomment the next 2 lines and run them instead of the two prior ones:
# $params = @("$deletedObjectsDN", '/R', ('{0}\{1}' -f ([adsi]'').name.Value, $Identity))
# C:\Windows\System32\dsacls.exe $params

Weitere Informationen finden Sie unter Ändern von Berechtigungen für einen gelöschten Objektcontainer.

Überprüfen, ob das gMSA-Konto über die erforderlichen Rechte verfügt

Der Defender for Identity-Sensordienst Azure Advanced Threat Protection Sensor wird als LocalService ausgeführt, der die Identität des DSA-Kontos angibt. Wenn die Richtlinie Anmelden als Dienst konfiguriert ist, die Berechtigung jedoch nicht für das gMSA-Konto erteilt wurde, schlägt der Identitätswechsel fehl. In diesem Fall wird das folgende Integritätsproblem angezeigt: Die Anmeldeinformationen für Verzeichnisdienste sind falsch.

Wenn diese Warnung angezeigt wird, überprüfen Sie, ob die Richtlinie Anmelden als Dienst entweder in einer Gruppenrichtlinie-Einstellung oder in einer lokalen Sicherheitsrichtlinie konfiguriert ist.

Überprüfen der lokalen Sicherheitsrichtlinie

  1. Ausführen von secpol.msc

  2. Auswählen derZuweisung von Benutzerrechten für lokale Richtlinien>

  3. Öffnen Sie die Richtlinieneinstellung Anmelden als Dienst .

    Screenshot der Eigenschaft

  4. Nachdem die Richtlinie aktiviert wurde, fügen Sie das gMSA-Konto der Liste der Konten hinzu, die sich als Dienst anmelden können.

Überprüfen der Gruppenrichtlinie-Einstellung

  1. Ausführen von rsop.msc

  2. Wechseln Sie zu Computerkonfiguration –> Windows-Einstellungen –> Sicherheitseinstellungen –> Lokale Richtlinien –> Zuweisung von Benutzerrechten –> Anmelden als Dienst.

    Screenshot der Richtlinie

  3. Nachdem die Einstellung konfiguriert wurde, fügen Sie das gMSA-Konto der Liste der Konten hinzu, die sich als Dienst im Gruppenrichtlinie Management Editor anmelden können.

Hinweis

Wenn Sie den Gruppenrichtlinie Management Editor verwenden, um die Einstellung Als Dienst anmelden zu konfigurieren, stellen Sie sicher, dass Sie sowohl NT Service\All Services als auch das von Ihnen erstellte gMSA-Konto hinzufügen.

Konfigurieren eines Verzeichnisdienstkontos in Microsoft Defender XDR

Um Ihre Sensoren mit Ihren Active Directory-Domänen zu verbinden, konfigurieren Sie Verzeichnisdienstkonten in Microsoft Defender XDR.

  1. Wechseln Sie Microsoft Defender XDR zu Einstellungen > Identitäten.

    Screenshot: Einstellungsseite und Zugriff auf die Defender for Identity-Seite

  2. Wählen Sie Verzeichnisdienstkonten aus, um zu sehen, welche Konten welchen Domänen zugeordnet sind.

    Screenshot: Seite

  3. Wählen Sie Anmeldeinformationen hinzufügen aus.

  4. Geben Sie die folgenden Details ein:

    • Kontoname
    • Domäne
    • Password

  5. Sie können auswählen, ob es sich um ein gruppenverwaltetes Dienstkonto (Group Managed Service Account , gMSA) handelt oder ob es zu einer Domäne mit nur einer Bezeichnung gehört.

    Screenshot des Bereichs mit den hinzugefügten Anmeldeinformationen.

    Feld Kommentare
    Kontoname (erforderlich) Geben Sie den schreibgeschützten AD-Benutzernamen ein. Beispiel: DefenderForIdentityUser.

    – Sie müssen einen AD-Standardbenutzer oder ein gMSA-Konto verwenden.
    - Verwenden Sie nicht das UPN-Format für Ihren Benutzernamen.
    – Bei Verwendung eines gMSA sollte die Benutzerzeichenfolge mit dem $ -Zeichen enden. Beispiel: mdisvc$

    ANMERKUNG: Es wird empfohlen, die Verwendung von Konten zu vermeiden, die bestimmten Benutzern zugewiesen sind.
    Kennwort (für AD-Standardbenutzerkonten erforderlich) Generieren Sie nur für AD-Benutzerkonten ein sicheres Kennwort für den schreibgeschützten Benutzer. Beispiel: PePR!BZ&}Y54UpC3aB.
    Gruppenverwaltetes Dienstkonto (für gMSA-Konten erforderlich) Wählen Sie nur für gMSA-Konten die Option Gruppenverwaltetes Dienstkonto aus.
    Domäne (erforderlich) Geben Sie die Domäne für den schreibgeschützten Benutzer ein. Beispiel: contoso.com.

    Es ist wichtig, dass Sie den vollständigen FQDN der Domäne eingeben, in der sich der Benutzer befindet. Wenn sich das Konto des Benutzers beispielsweise in der Domäne corp.contoso.com befindet, müssen Sie nicht contoso.comeingebencorp.contoso.com.

    Weitere Informationen finden Sie unter Microsoft-Unterstützung für Einbezeichnungsdomänen.

  6. Klicken Sie auf Speichern.

  7. (Optional) Wählen Sie ein Konto aus, um den Detailbereich zu öffnen und seine Einstellungen anzuzeigen.

    Screenshot: Bereich

Hinweis

Sie können dasselbe Verfahren verwenden, um das Kennwort für Active Directory-Standardbenutzerkonten zu ändern. Für gMSA-Konten sind keine Kennwörter erforderlich.

Problembehandlung

Weitere Informationen finden Sie unter Sensor konnte die gMSA-Anmeldeinformationen nicht abrufen.

Nächster Schritt

Konfigurieren von SAM-R zum Aktivieren der Erkennung von Lateral Movement-Pfaden in Microsoft Defender for Identity »

  • Last updated on