Account del servizio directory per Microsoft Defender per identità

  • Articolo

Questo articolo descrive come Microsoft Defender per identità usa gli account del servizio directory.

Anche se un DSA è facoltativo in alcuni scenari, è consigliabile configurare un DSA per Defender per identità per la copertura completa della sicurezza.

Ad esempio, quando è configurato un DSA, il DSA viene usato per connettersi al controller di dominio all'avvio. Un DSA può essere usato anche per eseguire query sul controller di dominio per i dati sulle entità visualizzate nel traffico di rete, negli eventi monitorati e nelle attività ETW monitorate

Per le funzionalità e le funzionalità seguenti è necessario un DSA:

  • Quando si usa un sensore installato in un server AD FS/AD CS.

  • Richiesta di elenchi di membri per i gruppi di amministratori locali dai dispositivi visualizzati nel traffico di rete, negli eventi e nelle attività ETW tramite una chiamata SAM-R effettuata al dispositivo. I dati raccolti vengono usati per calcolare i possibili percorsi di spostamento laterale.

  • Accesso al contenitore DeletedObjects per raccogliere informazioni su utenti e computer eliminati.

  • Mapping di dominio e attendibilità, che si verifica all'avvio del sensore e di nuovo ogni 10 minuti.

  • Eseguire query su un altro dominio tramite LDAP per informazioni dettagliate, quando si rilevano attività da entità in tali domini.

Quando si usa un singolo DSA, DSA deve disporre delle autorizzazioni di lettura per tutti i domini nelle foreste. In un ambiente multi-foresta non attendibile è necessario un account DSA per ogni foresta.

Un sensore in ogni dominio viene definito come programma di sincronizzazione del dominio ed è responsabile del rilevamento delle modifiche apportate alle entità nel dominio. Ad esempio, le modifiche possono includere oggetti creati, attributi di entità rilevati da Defender per identità e così via.

Nota

Per impostazione predefinita, Defender per identità supporta fino a 30 credenziali. Per aggiungere altre credenziali, contattare il supporto di Defender per identità.

Opzioni dell'account DSA supportate

Defender per identità supporta le opzioni DSA seguenti:

Opzione Descrizione Impostazione
Gruppo gestito del servizio gestito del servizio gestito del gruppo (scelta consigliata) Fornisce una distribuzione e una gestione delle password più sicure. Active Directory gestisce la creazione e la rotazione della password dell'account, proprio come la password di un account computer ed è possibile controllare la frequenza con cui viene modificata la password dell'account. Per altre informazioni, vedere Configurare un account del servizio directory per Defender per identità con un account del servizio gestito del gruppo.
Account utente normale Facile da usare quando si inizia e più semplice configurare le autorizzazioni di lettura tra foreste attendibili, ma richiede un sovraccarico aggiuntivo per la gestione delle password.

Un account utente normale è meno sicuro, perché richiede di creare e gestire le password e può causare tempi di inattività se la password scade e non viene aggiornata sia per l'utente che per il DSA.		 Creare un nuovo account in Active Directory da usare come DSA con autorizzazioni di lettura per tutti gli oggetti, incluse le autorizzazioni per il contenitore DeletedObjects. Per altre informazioni, vedere Concedere le autorizzazioni DSA necessarie.

Utilizzo delle voci DSA

Questa sezione descrive come vengono usate le voci DSA e come il sensore seleziona una voce DSA in qualsiasi scenario specifico. I tentativi di sensore variano a seconda del tipo di voce DSA:

Tipo Descrizione
Account del servizio gestito del gruppo Il sensore tenta di recuperare la password dell'account del servizio gestito del gruppo da Active Directory e quindi accede al dominio.
Account utente normale Il sensore tenta di accedere al dominio usando il nome utente e la password configurati.

Viene applicata la logica seguente:

  1. Il sensore cerca una voce con una corrispondenza esatta del nome di dominio per il dominio di destinazione. Se viene trovata una corrispondenza esatta, il sensore tenta di eseguire l'autenticazione usando le credenziali in tale voce.

  2. Se non esiste una corrispondenza esatta o se l'autenticazione non è riuscita, il sensore cerca nell'elenco una voce nel dominio padre usando il nome di dominio completo DNS e tenta di eseguire l'autenticazione usando le credenziali nella voce padre.

  3. Se non è presente una voce per il dominio padre o se l'autenticazione non è riuscita, il sensore cerca nell'elenco una voce di dominio di pari livello, usando il nome di dominio completo DNS e tenta di eseguire l'autenticazione usando le credenziali nella voce di pari livello.

  4. Se non è presente una voce per il dominio di pari livello o se l'autenticazione non è riuscita, il sensore rivede l'elenco e tenta di eseguire nuovamente l'autenticazione con ogni voce fino a quando non riesce. Le voci GMSA DSA hanno priorità più alta rispetto alle normali voci DSA.

Logica di esempio con un DSA

Questa sezione fornisce un esempio di come il sensore prova l'intero DSA quando si dispone di più account, inclusi un account del servizio gestito del gruppo e un account normale.

Viene applicata la logica seguente:

  1. Il sensore cerca una corrispondenza tra il nome di dominio DNS del dominio di destinazione, ad esempio e la voce GMSA DSA, ad esempio emea.contoso.comemea.contoso.com.

  2. Il sensore cerca una corrispondenza tra il nome di dominio DNS del dominio di destinazione, ad esempio e la voce regolare DSA DSA, ad esempio emea.contoso.comemea.contoso.com

  3. Il sensore cerca una corrispondenza nel nome DNS radice del dominio di destinazione, ad esempio e il nome di dominio della voce dell'account del servizio gestito del gruppo DSA, ad esempio emea.contoso.comcontoso.com.

  4. Il sensore cerca una corrispondenza nel nome DNS radice del dominio di destinazione, ad esempio e il nome di dominio della voce regolare DSA, ad esempio emea.contoso.comcontoso.com.

  5. Il sensore cerca il nome di dominio di destinazione per un dominio di pari livello, ad esempio e il nome di dominio della voce dell'account del servizio gestito del gruppo DSA, ad esempio emea.contoso.comapac.contoso.com.

  6. Il sensore cerca il nome di dominio di destinazione per un dominio di pari livello, ad esempio emea.contoso.com e il nome di dominio della voce regolare DSA, ad esempio apac.contoso.com.

  7. Il sensore esegue un round robin di tutte le voci GMSA DSA.

  8. Il sensore esegue un round robin di tutte le voci regolari DSA.

La logica illustrata in questo esempio viene implementata con la configurazione seguente:

  • Voci DSA:

    • DSA1.emea.contoso.com
    • DSA2.fabrikam.com

  • Sensori e la voce DSA usata per prima:

    FQDN del controller di dominio Voce DSA usata
    DC01.emea.contoso.com DSA1.emea.contoso.com
    DC02.contoso.com DSA1.emea.contoso.com
    DC03.fabrikam.com DSA2.fabrikam.com
    DC04.contoso.local Round robin

Importante

Se un sensore non è in grado di eseguire correttamente l'autenticazione tramite LDAP al dominio di Active Directory all'avvio, il sensore non entra in uno stato di esecuzione e viene generato un problema di integrità. Per altre informazioni, vedere Problemi di integrità di Defender per identità.

Concedere le autorizzazioni DSA necessarie

DSA richiede autorizzazioni di sola lettura per tutti gli oggetti in Active Directory, incluso il contenitore Oggetti eliminati.

Le autorizzazioni di sola lettura per il contenitore Oggetti eliminati consentono a Defender per identità di rilevare le eliminazioni degli utenti da Active Directory.

Usare l'esempio di codice seguente per concedere le autorizzazioni di lettura necessarie per il contenitore Oggetti eliminati, indipendentemente dal fatto che si usi o meno un account del servizio gestito del gruppo.

Suggerimento

Se l'account del servizio gestito del gruppo a cui si desidera concedere le autorizzazioni è un account del servizio gestito del gruppo, è prima necessario creare un gruppo di sicurezza, aggiungere l'account del servizio gestito del gruppo come membro e aggiungere le autorizzazioni a tale gruppo. Per altre informazioni, vedere Configurare un account del servizio directory per Defender per identità con un account del servizio gestito del gruppo.

# Declare the identity that you want to add read access to the deleted objects container:
$Identity = 'mdiSvc01'

# If the identity is a gMSA, first to create a group and add the gMSA to it:
$groupName = 'mdiUsr01Group'
$groupDescription = 'Members of this group are allowed to read the objects in the Deleted Objects container in AD'
if(Get-ADServiceAccount -Identity $Identity -ErrorAction SilentlyContinue) {
    $groupParams = @{
        Name           = $groupName
        SamAccountName = $groupName
        DisplayName    = $groupName
        GroupCategory  = 'Security'
        GroupScope     = 'Universal'
        Description    = $groupDescription
    }
    $group = New-ADGroup @groupParams -PassThru
    Add-ADGroupMember -Identity $group -Members ('{0}$' -f $Identity)
    $Identity = $group.Name
}

# Get the deleted objects container's distinguished name:
$distinguishedName = ([adsi]'').distinguishedName.Value
$deletedObjectsDN = 'CN=Deleted Objects,{0}' -f $distinguishedName

# Take ownership on the deleted objects container:
$params = @("$deletedObjectsDN", '/takeOwnership')
C:\Windows\System32\dsacls.exe $params

# Grant the 'List Contents' and 'Read Property' permissions to the user or group:
$params = @("$deletedObjectsDN", '/G', ('{0}\{1}:LCRP' -f ([adsi]'').name.Value, $Identity))
C:\Windows\System32\dsacls.exe $params
  
# To remove the permissions, uncomment the next 2 lines and run them instead of the two prior ones:
# $params = @("$deletedObjectsDN", '/R', ('{0}\{1}' -f ([adsi]'').name.Value, $Identity))
# C:\Windows\System32\dsacls.exe $params

Per altre informazioni, vedere Modifica delle autorizzazioni per un contenitore di oggetti eliminato.

Testare le autorizzazioni e le deleghe DSA tramite PowerShell

Usare il comando di PowerShell seguente per verificare che DSA non disponga di troppe autorizzazioni, ad esempio autorizzazioni di amministratore avanzate:

Test-MDIDSA [-Identity] <String> [-Detailed] [<CommonParameters>]

Ad esempio, per controllare le autorizzazioni per l'account mdiSvc01 e fornire dettagli completi, eseguire:

Test-MDIDSA -Identity "mdiSvc01" -Detailed

Per altre informazioni, vedere le informazioni di riferimento su PowerShell defenderForIdentity.

Passaggio successivo

Configurare un account del servizio directory per Defender per identità con un account del servizio gestito del gruppo »