Kimlik için Microsoft Defender için Dizin Hizmeti Hesapları

Bu makalede, Kimlik için Microsoft Defender'nin Dizin Hizmeti Hesaplarını (DSA) nasıl kullandığı açıklanmaktadır.

Not

Yapılandırılan Dizin Hizmeti Hesapları ne olursa olsun, algılayıcı hizmeti LocalService kimliği altında, güncelleştirici hizmeti de LocalSystem kimliği altında çalışır.

Bazı senaryolarda DSA isteğe bağlıdır ancak tam güvenlik kapsamı için Kimlik için Defender için DSA yapılandırmanızı öneririz.

Örneğin, yapılandırılmış bir DSA'nız olduğunda, başlangıçta etki alanı denetleyicisine bağlanmak için DSA kullanılır. DSA, ağ trafiğinde, izlenen olaylarda ve izlenen ETW etkinliklerinde görülen varlıklardaki veriler için etki alanı denetleyicisini sorgulamak için de kullanılabilir

Aşağıdaki özellikler ve işlevler için DSA gereklidir:

  • AD FS / AD CS sunucusunda yüklü bir algılayıcıyla çalışırken.

  • Ağa yapılan bir SAM-R çağrısı aracılığıyla ağ trafiğinde, olaylarda ve ETW etkinliklerinde görülen cihazlardan yerel yönetici grupları için üye listeleri isteme. Toplanan veriler olası yanal hareket yollarını hesaplamak için kullanılır.

  • Silinen kullanıcılar ve bilgisayarlar hakkında bilgi toplamak için DeletedObjects kapsayıcısına erişme.

  • Algılayıcı başlangıcında ve 10 dakikada bir tekrarlanan etki alanı ve güven eşlemesi.

  • Diğer etki alanlarındaki varlıklardan etkinlikleri algılarken ayrıntılar için LDAP aracılığıyla başka bir etki alanını sorgulama.

Tek bir DSA kullanırken, DSA'nın ormanlardaki tüm etki alanları için Okuma izinlerine sahip olması gerekir. Güvenilmeyen, çok ormanlı bir ortamda, her orman için bir DSA hesabı gerekir.

Her etki alanındaki bir algılayıcı, etki alanı eşitleyicisi olarak tanımlanır ve etki alanındaki varlıklardaki değişiklikleri izlemekle sorumludur. Örnekler için değişiklikler oluşturulan nesneleri, Kimlik için Defender tarafından izlenen varlık özniteliklerini vb. içerebilir.

Not

Varsayılan olarak, Kimlik için Defender en fazla 30 kimlik bilgilerini destekler. Daha fazla kimlik bilgisi eklemek için Kimlik için Defender desteğine başvurun.

Desteklenen DSA hesabı seçenekleri

Kimlik için Defender aşağıdaki DSA seçeneklerini destekler:

Seçenek Açıklama Yapılandırma
Grup Yönetilen Hizmet Hesabı gMSA (Önerilen) Daha güvenli bir dağıtım ve parola yönetimi sağlar. Active Directory, bir bilgisayar hesabının parolası gibi hesabın parolasının oluşturulmasını ve döndürülünü yönetir ve hesabın parolasının ne sıklıkta değiştirileceğini denetleyebilirsiniz. Daha fazla bilgi için bkz . gMSA ile Kimlik için Defender için Dizin Hizmeti Hesabı Yapılandırma.
Normal kullanıcı hesabı Başlarken kullanımı kolay ve güvenilen ormanlar arasında Okuma izinlerini yapılandırmak daha kolaydır, ancak parola yönetimi için ek yük gerektirir.

Parola oluşturmanızı ve yönetmenizi gerektirdiğinden normal bir kullanıcı hesabı daha az güvenlidir ve parolanın süresi dolarsa ve hem kullanıcı hem de DSA için güncelleştirilmezse kapalı kalma süresine yol açabilir.
Active Directory'de, DeletedObjects kapsayıcısına yönelik izinler de dahil olmak üzere tüm nesneler için Okuma izinlerine sahip DSA olarak kullanmak üzere yeni bir hesap oluşturun. Daha fazla bilgi için bkz . Gerekli DSA izinlerini verme.
Yerel hizmet hesabı Yerel hizmet hesabı kullanıma hazır olarak kullanılır ve varsayılan olarak yapılandırılmış DSA olmadığında kullanılır.
Not:
  • Olası yanal hareket yolları için SAM-R sorguları bu senaryoda desteklenmez.
  • LDAP sorguları yalnızca algılayıcının yüklü olduğu etki alanı içinde yapılır. Aynı ormandaki veya ormanlar arası diğer etki alanlarına yapılan sorgular başarısız olur.
  • None

    Not

    Yerel hizmet hesabı algılayıcıyla varsayılan olarak kullanılır ve bazı senaryolarda DSA isteğe bağlıdır ancak tam güvenlik kapsamı için Kimlik için Defender için DSA yapılandırmanızı öneririz.

    DSA giriş kullanımı

    Bu bölümde DSA girişlerinin nasıl kullanıldığı ve algılayıcının belirli bir senaryoda bir DSA girişini nasıl seçtiği açıklanmaktadır. Sensör denemeleri, DSA girişinin türüne bağlı olarak farklılık gösterir:

    Type Açıklama
    gMSA hesabı Algılayıcı, Active Directory'den gMSA hesabı parolasını almayı dener ve ardından etki alanında oturum açar.
    Normal kullanıcı hesabı Algılayıcı, yapılandırılan kullanıcı adı ve parolayı kullanarak etki alanında oturum açmayı dener.

    Aşağıdaki mantık uygulanır:

    1. Algılayıcı, hedef etki alanının etki alanı adıyla tam eşleşmesi olan bir girdi arar. Tam eşleşme bulunursa algılayıcı, bu girdideki kimlik bilgilerini kullanarak kimlik doğrulamayı dener.

    2. Tam eşleşme yoksa veya kimlik doğrulaması başarısız olduysa, algılayıcı DNS FQDN kullanarak üst etki alanına giriş için listede arama yapar ve bunun yerine üst girdideki kimlik bilgilerini kullanarak kimlik doğrulamayı dener.

    3. Üst etki alanı için bir girdi yoksa veya kimlik doğrulaması başarısız olduysa algılayıcı, DNS FQDN'sini kullanarak listede eşdüzey etki alanı girdisi arar ve bunun yerine eşdüzey girdideki kimlik bilgilerini kullanarak kimlik doğrulamayı dener.

    4. Eşdüzey etki alanı için bir giriş yoksa veya kimlik doğrulaması başarısız olduysa, algılayıcı listeyi yeniden inceler ve başarılı olana kadar her girişle yeniden kimlik doğrulaması yapmaya çalışır. DSA gMSA girişleri, normal DSA girişlerinden daha yüksek önceliğe sahiptir.

    DSA ile örnek mantık

    Bu bölümde, hem gMSA hesabı hem de normal hesap dahil olmak üzere birden fazla hesabınız olduğunda algılayıcının DSA'nın tamamını nasıl deneyeceğini gösteren bir örnek sağlanır.

    Aşağıdaki mantık uygulanır:

    1. Algılayıcı, gibi hedef etki alanının DNS etki alanı adı ile gibi emea.contoso.com DSA gMSA girişi emea.contoso.comarasında bir eşleşme arar.

    2. Algılayıcı, emea.contoso.com hedef etki alanının DNS etki alanı adı ile DSA normal girişi DSA arasında bir eşleşme arar; örneğin, emea.contoso.com

    3. Algılayıcı, hedef etki alanının kök DNS adında ( gibi emea.contoso.com ) ve gibi DSA gMSA giriş etki alanı adında contoso.combir eşleşme arar.

    4. Algılayıcı, hedef etki alanının kök DNS adında ( gibi emea.contoso.com ) ve gibi DSA normal giriş etki alanı adında contoso.combir eşleşme arar.

    5. Algılayıcı, gibi emea.contoso.com bir eşdüzey etki alanı için hedef etki alanı adını ve gibi apac.contoso.comDSA gMSA giriş etki alanı adını arar.

    6. Algılayıcı, gibi bir eşdüzey etki alanı için hedef etki alanı emea.contoso.com adını ve gibi apac.contoso.comDSA normal giriş etki alanı adını arar.

    7. Algılayıcı, tüm DSA gMSA girişlerini hepsini bir kez deneme çalıştırır.

    8. Algılayıcı, tüm DSA normal girişlerini hepsini bir kez denemeyi çalıştırır.

    Bu örnekte gösterilen mantık aşağıdaki yapılandırmayla uygulanır:

    • DSA girişleri:

      • DSA1.emea.contoso.com
      • DSA2.fabrikam.com
    • Algılayıcılar ve ilk olarak kullanılan DSA girişi:

      Etki alanı denetleyicisi FQDN Kullanılan DSA girdisi
      DC01.emea.contoso.com DSA1.emea.contoso.com
      DC02.contoso.com DSA1.emea.contoso.com
      DC03.fabrikam.com DSA2.fabrikam.com
      DC04.contoso.local Dönüşümlü dağıtım

    Önemli

    Algılayıcı başlangıçta Active Directory etki alanında LDAP aracılığıyla başarıyla kimlik doğrulaması yapamıyorsa algılayıcı çalışır duruma girmez ve bir sistem durumu sorunu oluşturulur. Daha fazla bilgi için bkz . Kimlik durumu sorunları için Defender.

    Gerekli DSA izinlerini verme

    DSA, Silinmiş Nesneler Kapsayıcısı da dahil olmak üzere Active Directory'deki tüm nesneler üzerinde salt okunur izinler gerektirir.

    Silinmiş Nesneler kapsayıcısı üzerindeki salt okunur izinler, Kimlik için Defender'ın Active Directory'nizden kullanıcı silmeleri algılamasına olanak tanır.

    gMSA hesabı kullanıp kullanmadığınız fark etmeksizin Silinmiş Nesneler kapsayıcısı üzerinde gerekli okuma izinlerini vermenize yardımcı olması için aşağıdaki kod örneğini kullanın.

    İpucu

    İzin vermek istediğiniz DSA bir Grup Yönetilen Hizmet Hesabı (gMSA) ise, önce bir güvenlik grubu oluşturmanız, gMSA'yı üye olarak eklemeniz ve izinleri bu gruba eklemeniz gerekir. Daha fazla bilgi için bkz . gMSA ile Kimlik için Defender için Dizin Hizmeti Hesabı Yapılandırma.

    # Declare the identity that you want to add read access to the deleted objects container:
    $Identity = 'mdiSvc01'
    
    # If the identity is a gMSA, first to create a group and add the gMSA to it:
    $groupName = 'mdiUsr01Group'
    $groupDescription = 'Members of this group are allowed to read the objects in the Deleted Objects container in AD'
    if(Get-ADServiceAccount -Identity $Identity -ErrorAction SilentlyContinue) {
        $groupParams = @{
            Name           = $groupName
            SamAccountName = $groupName
            DisplayName    = $groupName
            GroupCategory  = 'Security'
            GroupScope     = 'Universal'
            Description    = $groupDescription
        }
        $group = New-ADGroup @groupParams -PassThru
        Add-ADGroupMember -Identity $group -Members ('{0}$' -f $Identity)
        $Identity = $group.Name
    }
    
    # Get the deleted objects container's distinguished name:
    $distinguishedName = ([adsi]'').distinguishedName.Value
    $deletedObjectsDN = 'CN=Deleted Objects,{0}' -f $distinguishedName
    
    # Take ownership on the deleted objects container:
    $params = @("$deletedObjectsDN", '/takeOwnership')
    C:\Windows\System32\dsacls.exe $params
    
    # Grant the 'List Contents' and 'Read Property' permissions to the user or group:
    $params = @("$deletedObjectsDN", '/G', ('{0}\{1}:LCRP' -f ([adsi]'').name.Value, $Identity))
    C:\Windows\System32\dsacls.exe $params
      
    # To remove the permissions, uncomment the next 2 lines and run them instead of the two prior ones:
    # $params = @("$deletedObjectsDN", '/R', ('{0}\{1}' -f ([adsi]'').name.Value, $Identity))
    # C:\Windows\System32\dsacls.exe $params
    

    Daha fazla bilgi için bkz . Silinen nesne kapsayıcısı üzerindeki izinleri değiştirme.

    PowerShell aracılığıyla DSA izinlerinizi ve temsilcilerinizi test edin

    DSA'nızın güçlü yönetici izinleri gibi çok fazla izne sahip olmadığını doğrulamak için aşağıdaki PowerShell komutunu kullanın:

    Test-MDIDSA [-Identity] <String> [-Detailed] [<CommonParameters>]
    

    Örneğin, mdiSvc01 hesabının izinlerini denetlemek ve tüm ayrıntıları sağlamak için şunu çalıştırın:

    Test-MDIDSA -Identity "mdiSvc01" -Detailed
    

    Daha fazla bilgi için bkz . DefenderForIdentity PowerShell başvurusu.

    Sonraki adım