A Defender for Identity (MDI) szolgáltatásban többféle account típust definiálhatunk a Directory Services komponensben:
Használhatunk:
- Standard AD account: pl. contoso\mdidirservice. Előnye hogy könnyen és gyorsan beállítható, hátránya hogy a jelszavát időszakosan cserélni illik és tárolni kell.
- Group managed service account: ez a javasolt megoldás. Előnye, hogy a jelszót nem kell generálni/cserélni/tárolni, automatikusan frissül pl 30 naponta, több szolgáltatás is tudja egyidejűleg használni az accountot. Hátránya, hogy több előkészítést igényel.
- Local service account: külön accountok létrehozása nélkül tudjuk az MDI sensorokat telepiteni. Hátránya hogy bizonyos MDI szolgáltatásokat nem támogat.
Ahogy említettük, a gMSA account használata javasolt. Nézzük, hogyan lehet létrehozni és az MDI szolgáltatáshoz rendelni.
gMSA előkövetelmények:
- Windows Server 2012 vagy magasabb forest level
- Windows Server 2012 vagy újabb operációs rendszerek
- 64-bites PowerShell a gMSA adminisztrálásához
gMSA konfiguráció:
Első körben létre kell hozni egy KDS root key-t. Lépjünk be egy domain controllerre (domain admin vagy enterprise admin jogosultság szükséges) és futtasuk le admin powershellben a következő parancsot:
Add-KdsRootKey –EffectiveImmediately
A létrehozás után várjunk legalább 10 órát (ez az idő, ameddig a beállítás replikálódik a domain controllerekre. Ha előbb próbáljuk létrehozni a gMSA accountokat, hibára fut.)
A létrehozást ellenőrizni tudjuk a következő paranccsal:
Get-KDSRootKey
Következő lépésként hozzunk létre az AD-ben egy security group-ot, aminek tagjai a domain controllerek:
Ezek után létrehozhatjuk a gMSA accountot. A parancsnál különösen fontos hogy a “PrincipalsAllowedToRetrieveManagedPassword” kapcsoló után a fenti security groupot jelöljük meg:
New-ADServiceAccount -Name mdisvc01 -DNSHostName mdisvc01.contoso.local –Description "Microsoft Defender for Identity service account" –KerberosEncryptionType AES256 –ManagedPasswordIntervalInDays 30 -PrincipalsAllowedToRetrieveManagedPassword MDISensorGroup
Az account megjelenik a Managed Service Accounts tárolóban:
Következő lépésként futtasuk le az alábbi parancsot admin powershellben minden domain controlleren:
Install-ADServiceAccount -Identity mdisvc01
Amennyiben access denied hibaüzenet kapunk, indítsuk újra a domain controllert és adjuk ki újra a parancsot.
Az accountot le tudjuk tesztelni:
Test-ADServiceAccount -Identity mdisvc01
Végül az accountot hozzárendelhetjük a Defender for Identity szolgáltatáshoz. Navigáljunk el a https://security.microsoft.com portálon a Settings/Identities/Directory Services accountra és adjuk meg a gMSA adatait:
Ezzel a gMSA account konfigurálásra került.
Az account működését ellenőrizni tudjuk a Health Issues opciónál. Amennyiben valamit rosszul állítottunk be, az alábbi hibát jelzi a portál:
Ebben az esetben ellenőrizzük újra a beállításokat illetve ha a domain controllerekre vonatkozó GPO-ban definiálva van a Log on a a service jogosultság, akkor a gMSA accountot is hozzá kell adni.