Configurer des comptes d’action Microsoft Defender pour Identity

Defender pour Identity vous permet d’effectuer des actions de correction ciblant des comptes Active Directory local en cas de compromission d’une identité. Pour effectuer ces actions, Microsoft Defender pour Identity devez disposer des autorisations requises pour le faire.

Par défaut, le capteur Microsoft Defender pour Identity emprunte l’identité LocalSystem du compte du contrôleur de domaine et effectue les actions, y compris les scénarios d’interruption d’attaque de Microsoft Defender XDR.

Si vous devez modifier ce comportement, configurez un gMSA dédié et définissez les autorisations dont vous avez besoin. Par exemple :

Screenshot of the Manage action accounts tab.

Remarque

L’utilisation d’un compte gMSA dédié en tant que compte d’action est facultative. Nous vous recommandons d’utiliser les paramètres par défaut du LocalSystem compte.

Meilleures pratiques pour les comptes d’action

Nous vous recommandons d’éviter d’utiliser le même compte gMSA que celui que vous avez configuré pour les actions gérées par Defender pour Identity sur des serveurs autres que les contrôleurs de domaine. Si vous utilisez le même compte et que le serveur est compromis, un attaquant peut récupérer le mot de passe du compte et obtenir la possibilité de modifier les mots de passe et de désactiver les comptes.

Nous vous recommandons également d’éviter d’utiliser le même compte que le compte de service d’annuaire et le compte Gérer l’action. Cela est dû au fait que le compte de service d’annuaire nécessite uniquement des autorisations en lecture seule sur Active Directory et que les comptes Gérer les actions ont besoin d’autorisations d’écriture sur les comptes d’utilisateur.

Si vous avez plusieurs forêts, votre compte d’action managée gMSA doit être approuvé dans toutes vos forêts ou en créer un distinct pour chaque forêt. Pour plus d’informations, consultez Microsoft Defender pour Identity prise en charge de plusieurs forêts.

Créer et configurer un compte d’action spécifique

  1. Créez un compte gMSA. Pour plus d’informations, consultez Prise en main des comptes de service administré de groupe.

  2. Affectez le droit de connexion en tant que service au compte gMSA sur chaque contrôleur de domaine exécutant le capteur Defender for Identity.

  3. Accordez les autorisations requises au compte gMSA comme suit :

    1. Ouvrez Utilisateurs et ordinateurs Active Directory.

    2. Cliquez avec le bouton droit sur le domaine ou l’unité d’organisation approprié, puis sélectionnez Propriétés. Par exemple :

      Screenshot of selecting domain or OU properties.

    3. Accédez à l’onglet Sécurité et sélectionnez Avancé. Par exemple :

      Screenshot of the advanced security settings.

    4. Sélectionnez Ajouter>un principal. Par exemple :

      Screenshot of selecting a principal.

    5. Vérifiez que les comptes de service sont marqués dans les types d’objets. Par exemple :

      Screenshot oof selecting service accounts as object types.

    6. Dans la zone Entrer le nom de l’objet à sélectionner , entrez le nom du compte gMSA, puis sélectionnez OK.

    7. Dans le champ S’applique au champ, sélectionnez Objets Utilisateur descendant, laissez les paramètres existants et ajoutez les autorisations et les propriétés indiquées dans l’exemple suivant :

      Screenshot of setting permissions and properties.

      Les autorisations requises comprennent :

      Action Autorisations Propriétés
      Activer la réinitialisation forcée du mot de passe Réinitialiser le mot de passe - Read pwdLastSet
      - Write pwdLastSet
      Pour désactiver l’utilisateur - - Read userAccountControl
      - Write userAccountControl
    8. (Facultatif) Dans le champ S’applique au champ, sélectionnez objets Groupe descendant et définissez les propriétés suivantes :

      • Read members
      • Write members
    9. Cliquez sur OK.

Ajouter le compte gMSA dans le portail Microsoft Defender

  1. Accédez au portail Microsoft Defender et sélectionnez Paramètres ->Identités> Microsoft Defender pour Identity> Comptes d’actionManage>+Créer un compte.

    Par exemple :

    Screenshot of the Create new account button.

  2. Entrez le nom et le domaine du compte, puis sélectionnez Enregistrer.

Votre compte d’action est répertorié dans la page Gérer les comptes d’action.

Pour plus d’informations, consultez Actions de correction dans Microsoft Defender pour Identity.