Configurare gli account azione Microsoft Defender per identità
Defender per identità consente di eseguire azioni correttive destinate Active Directory locale account nel caso in cui un'identità venga compromessa. Per eseguire queste azioni, Microsoft Defender per identità necessario disporre delle autorizzazioni necessarie per eseguire questa operazione.
Per impostazione predefinita, il sensore Microsoft Defender per identità rappresenta l'account LocalSystem del controller di dominio ed esegue le azioni, inclusi gli scenari di interruzione degli attacchi da Microsoft Defender XDR.
Se è necessario modificare questo comportamento, configurare un account del servizio gestito del gruppo dedicato e definire l'ambito delle autorizzazioni necessarie. Ad esempio:
Nota
L'uso di un account del servizio gestito del gruppo dedicato come account azione è facoltativo. È consigliabile usare le impostazioni predefinite per l'account LocalSystem .
Procedure consigliate per gli account azione
È consigliabile evitare di usare lo stesso account del servizio gestito del gruppo configurato per le azioni gestite di Defender per identità nei server diversi dai controller di dominio. Se si usa lo stesso account e il server viene compromesso, un utente malintenzionato potrebbe recuperare la password per l'account e ottenere la possibilità di modificare le password e disabilitare gli account.
È anche consigliabile evitare di usare lo stesso account dell'account del servizio directory e dell'account Gestisci azione. Ciò è dovuto al fatto che l'account del servizio directory richiede solo le autorizzazioni di sola lettura per Active Directory e gli account di gestione delle azioni richiedono autorizzazioni di scrittura per gli account utente.
Se si dispone di più foreste, l'account di azione gestito del servizio gestito del gruppo deve essere considerato attendibile in tutte le foreste oppure crearne uno separato per ogni foresta. Per altre informazioni, vedere Microsoft Defender per identità supporto di più foreste.
Creare e configurare un account azione specifico
Creare un nuovo account del servizio gestito del gruppo. Per altre informazioni, vedere Introduzione agli account del servizio gestito del gruppo.
Assegnare il diritto Accesso come servizio all'account del servizio gestito del gruppo in ogni controller di dominio che esegue il sensore Defender per identità.
Concedere le autorizzazioni necessarie all'account del servizio gestito del gruppo come indicato di seguito:
Aprire Utenti e computer di Active Directory.
Fare clic con il pulsante destro del mouse sul dominio o sull'unità organizzativa pertinente e scegliere Proprietà. Ad esempio:
Passare alla scheda Sicurezza e selezionare Avanzate. Ad esempio:
Selezionare Aggiungi>Selezionare un'entità. Ad esempio:
Assicurarsi che gli account di servizio siano contrassegnati in Tipi di oggetto. Ad esempio:
Nella casella Immettere il nome dell'oggetto da selezionare immettere il nome dell'account del servizio gestito del gruppo e selezionare OK.
Nel campo Si applica a selezionare Oggetti utente discendente, lasciare le impostazioni esistenti e aggiungere le autorizzazioni e le proprietà illustrate nell'esempio seguente:
Le autorizzazioni necessarie includono:
Azione Autorizzazioni Proprietà Abilitare la reimpostazione forzata della password Immettere una nuova password - Read pwdLastSet
-Write pwdLastSetPer disabilitare l'utente - - Read userAccountControl
-Write userAccountControl(Facoltativo) Nel campo Si applica a selezionare Oggetti Gruppo discendente e impostare le proprietà seguenti:
Read membersWrite members
Seleziona OK.
Aggiungere l'account del servizio gestito del gruppo nel portale di Microsoft Defender
-
Ad esempio:
Immettere il nome e il dominio dell'account e selezionare Salva.
L'account azione è elencato nella pagina Gestisci account azione.
Contenuto correlato
Per altre informazioni, vedere Azioni correttive in Microsoft Defender per identità.