Account del servizio directory per Microsoft Defender per identità
Questo articolo descrive come Microsoft Defender per identità usa gli account del servizio directory.
Nota
Indipendentemente dagli account del servizio directory configurati, il servizio sensore funzionerà con l'identità LocalService e il servizio di aggiornamento funzionerà con l'identità LocalSystem.
Anche se un DSA è facoltativo in alcuni scenari, è consigliabile configurare un DSA per Defender per identità per la copertura completa della sicurezza.
Ad esempio, quando è configurato un DSA, il DSA viene usato per connettersi al controller di dominio all'avvio. Un DSA può essere usato anche per eseguire query sul controller di dominio per i dati sulle entità visualizzate nel traffico di rete, negli eventi monitorati e nelle attività ETW monitorate
Per le funzionalità e le funzionalità seguenti è necessario un DSA:
Quando si usa un sensore installato in un server AD FS/AD CS.
Richiesta di elenchi di membri per i gruppi di amministratori locali dai dispositivi visualizzati nel traffico di rete, negli eventi e nelle attività ETW tramite una chiamata SAM-R effettuata al dispositivo. I dati raccolti vengono usati per calcolare i possibili percorsi di spostamento laterale.
Accesso al contenitore DeletedObjects per raccogliere informazioni su utenti e computer eliminati.
Mapping di dominio e attendibilità, che si verifica all'avvio del sensore e di nuovo ogni 10 minuti.
Eseguire query su un altro dominio tramite LDAP per informazioni dettagliate, quando si rilevano attività da entità in tali domini.
Quando si usa un singolo DSA, DSA deve disporre delle autorizzazioni di lettura per tutti i domini nelle foreste. In un ambiente multi-foresta non attendibile è necessario un account DSA per ogni foresta.
Un sensore in ogni dominio viene definito come programma di sincronizzazione del dominio ed è responsabile del rilevamento delle modifiche apportate alle entità nel dominio. Ad esempio, le modifiche possono includere oggetti creati, attributi di entità rilevati da Defender per identità e così via.
Nota
Per impostazione predefinita, Defender per identità supporta fino a 30 credenziali. Per aggiungere altre credenziali, contattare il supporto di Defender per identità.
Opzioni dell'account DSA supportate
Defender per identità supporta le opzioni DSA seguenti:
Opzione | Descrizione | Impostazione |
---|---|---|
Gruppo gestito del servizio gestito del servizio gestito del gruppo (scelta consigliata) | Fornisce una distribuzione e una gestione delle password più sicure. Active Directory gestisce la creazione e la rotazione della password dell'account, proprio come la password di un account computer ed è possibile controllare la frequenza con cui viene modificata la password dell'account. | Per altre informazioni, vedere Configurare un account del servizio directory per Defender per identità con un account del servizio gestito del gruppo. |
Account utente normale | Facile da usare quando si inizia e più semplice configurare le autorizzazioni di lettura tra foreste attendibili, ma richiede un sovraccarico aggiuntivo per la gestione delle password. Un account utente normale è meno sicuro, perché richiede di creare e gestire le password e può causare tempi di inattività se la password scade e non viene aggiornata sia per l'utente che per il DSA. |
Creare un nuovo account in Active Directory da usare come DSA con autorizzazioni di lettura per tutti gli oggetti, incluse le autorizzazioni per il contenitore DeletedObjects. Per altre informazioni, vedere Concedere le autorizzazioni DSA necessarie. |
Account del servizio locale | L'account del servizio locale viene usato per impostazione predefinita e usato per impostazione predefinita quando non è configurato alcun DSA. Nota: |
None |
Nota
Anche se l'account del servizio locale viene usato con il sensore per impostazione predefinita e un DSA è facoltativo in alcuni scenari, è consigliabile configurare un DSA per Defender per identità per la copertura completa della sicurezza.
Utilizzo delle voci DSA
Questa sezione descrive come vengono usate le voci DSA e come il sensore seleziona una voce DSA in qualsiasi scenario specifico. I tentativi di sensore variano a seconda del tipo di voce DSA:
Tipo | Descrizione |
---|---|
Account del servizio gestito del gruppo | Il sensore tenta di recuperare la password dell'account del servizio gestito del gruppo da Active Directory e quindi accede al dominio. |
Account utente normale | Il sensore tenta di accedere al dominio usando il nome utente e la password configurati. |
Viene applicata la logica seguente:
Il sensore cerca una voce con una corrispondenza esatta del nome di dominio per il dominio di destinazione. Se viene trovata una corrispondenza esatta, il sensore tenta di eseguire l'autenticazione usando le credenziali in tale voce.
Se non esiste una corrispondenza esatta o se l'autenticazione non è riuscita, il sensore cerca nell'elenco una voce nel dominio padre usando il nome di dominio completo DNS e tenta di eseguire l'autenticazione usando le credenziali nella voce padre.
Se non è presente una voce per il dominio padre o se l'autenticazione non è riuscita, il sensore cerca nell'elenco una voce di dominio di pari livello, usando il nome di dominio completo DNS e tenta di eseguire l'autenticazione usando le credenziali nella voce di pari livello.
Se non è presente una voce per il dominio di pari livello o se l'autenticazione non è riuscita, il sensore rivede l'elenco e tenta di eseguire nuovamente l'autenticazione con ogni voce fino a quando non riesce. Le voci GMSA DSA hanno priorità più alta rispetto alle normali voci DSA.
Logica di esempio con un DSA
Questa sezione fornisce un esempio di come il sensore prova l'intero DSA quando si dispone di più account, inclusi un account del servizio gestito del gruppo e un account normale.
Viene applicata la logica seguente:
Il sensore cerca una corrispondenza tra il nome di dominio DNS del dominio di destinazione, ad esempio e la voce GMSA DSA, ad esempio
emea.contoso.com
emea.contoso.com
.Il sensore cerca una corrispondenza tra il nome di dominio DNS del dominio di destinazione, ad esempio e la voce regolare DSA DSA, ad esempio
emea.contoso.com
emea.contoso.com
Il sensore cerca una corrispondenza nel nome DNS radice del dominio di destinazione, ad esempio e il nome di dominio della voce dell'account del servizio gestito del gruppo DSA, ad esempio
emea.contoso.com
contoso.com
.Il sensore cerca una corrispondenza nel nome DNS radice del dominio di destinazione, ad esempio e il nome di dominio della voce regolare DSA, ad esempio
emea.contoso.com
contoso.com
.Il sensore cerca il nome di dominio di destinazione per un dominio di pari livello, ad esempio e il nome di dominio della voce dell'account del servizio gestito del gruppo DSA, ad esempio
emea.contoso.com
apac.contoso.com
.Il sensore cerca il nome di dominio di destinazione per un dominio di pari livello, ad esempio
emea.contoso.com
e il nome di dominio della voce regolare DSA, ad esempioapac.contoso.com
.Il sensore esegue un round robin di tutte le voci GMSA DSA.
Il sensore esegue un round robin di tutte le voci regolari DSA.
La logica illustrata in questo esempio viene implementata con la configurazione seguente:
Voci DSA:
DSA1.emea.contoso.com
DSA2.fabrikam.com
Sensori e la voce DSA usata per prima:
FQDN del controller di dominio Voce DSA usata DC01.emea.contoso.com
DSA1.emea.contoso.com
DC02.contoso.com
DSA1.emea.contoso.com
DC03.fabrikam.com
DSA2.fabrikam.com
DC04.contoso.local
Round robin
Importante
Se un sensore non è in grado di eseguire correttamente l'autenticazione tramite LDAP al dominio di Active Directory all'avvio, il sensore non entra in uno stato di esecuzione e viene generato un problema di integrità. Per altre informazioni, vedere Problemi di integrità di Defender per identità.
Concedere le autorizzazioni DSA necessarie
DSA richiede autorizzazioni di sola lettura per tutti gli oggetti in Active Directory, incluso il contenitore Oggetti eliminati.
Le autorizzazioni di sola lettura per il contenitore Oggetti eliminati consentono a Defender per identità di rilevare le eliminazioni degli utenti da Active Directory.
Usare l'esempio di codice seguente per concedere le autorizzazioni di lettura necessarie per il contenitore Oggetti eliminati, indipendentemente dal fatto che si usi o meno un account del servizio gestito del gruppo.
Suggerimento
Se l'account del servizio gestito del gruppo a cui si desidera concedere le autorizzazioni è un account del servizio gestito del gruppo, è prima necessario creare un gruppo di sicurezza, aggiungere l'account del servizio gestito del gruppo come membro e aggiungere le autorizzazioni a tale gruppo. Per altre informazioni, vedere Configurare un account del servizio directory per Defender per identità con un account del servizio gestito del gruppo.
# Declare the identity that you want to add read access to the deleted objects container:
$Identity = 'mdiSvc01'
# If the identity is a gMSA, first to create a group and add the gMSA to it:
$groupName = 'mdiUsr01Group'
$groupDescription = 'Members of this group are allowed to read the objects in the Deleted Objects container in AD'
if(Get-ADServiceAccount -Identity $Identity -ErrorAction SilentlyContinue) {
$groupParams = @{
Name = $groupName
SamAccountName = $groupName
DisplayName = $groupName
GroupCategory = 'Security'
GroupScope = 'Universal'
Description = $groupDescription
}
$group = New-ADGroup @groupParams -PassThru
Add-ADGroupMember -Identity $group -Members ('{0}$' -f $Identity)
$Identity = $group.Name
}
# Get the deleted objects container's distinguished name:
$distinguishedName = ([adsi]'').distinguishedName.Value
$deletedObjectsDN = 'CN=Deleted Objects,{0}' -f $distinguishedName
# Take ownership on the deleted objects container:
$params = @("$deletedObjectsDN", '/takeOwnership')
C:\Windows\System32\dsacls.exe $params
# Grant the 'List Contents' and 'Read Property' permissions to the user or group:
$params = @("$deletedObjectsDN", '/G', ('{0}\{1}:LCRP' -f ([adsi]'').name.Value, $Identity))
C:\Windows\System32\dsacls.exe $params
# To remove the permissions, uncomment the next 2 lines and run them instead of the two prior ones:
# $params = @("$deletedObjectsDN", '/R', ('{0}\{1}' -f ([adsi]'').name.Value, $Identity))
# C:\Windows\System32\dsacls.exe $params
Per altre informazioni, vedere Modifica delle autorizzazioni per un contenitore di oggetti eliminato.
Testare le autorizzazioni e le deleghe DSA tramite PowerShell
Usare il comando di PowerShell seguente per verificare che DSA non disponga di troppe autorizzazioni, ad esempio autorizzazioni di amministratore avanzate:
Test-MDIDSA [-Identity] <String> [-Detailed] [<CommonParameters>]
Ad esempio, per controllare le autorizzazioni per l'account mdiSvc01 e fornire dettagli completi, eseguire:
Test-MDIDSA -Identity "mdiSvc01" -Detailed
Per altre informazioni, vedere le informazioni di riferimento su PowerShell defenderForIdentity.