Installare un sensore Microsoft Defender per identità

Questo articolo descrive come installare un sensore Microsoft Defender per identità, incluso un sensore autonomo. La raccomandazione predefinita consiste nell'usare l'interfaccia utente. Tuttavia:

  • Quando si installa il sensore in Windows Server Core o si distribuisce il sensore tramite un sistema di distribuzione software, seguire invece i passaggi per l'installazione invisibile all'utente .

  • Se si usa un proxy, è consigliabile installare il sensore e configurare il proxy insieme dalla riga di comando. Se è necessario aggiornare le impostazioni proxy in un secondo momento, usare PowerShell o l'interfaccia della riga di comando di Azure. Per altre informazioni, vedere Configurare le impostazioni di connettività Internet e proxy dell'endpoint.

Prerequisiti

Prima di iniziare, assicurarsi di avere:

Installare il sensore usando l'interfaccia utente

Seguire questa procedura nel controller di dominio, nel server Active Directory Federation Services (AD FS) o nel server Active Directory Certificate Services (AD CS).

  1. Verificare che il computer disponga della connettività agli endpoint di servizio cloud di Defender per identità pertinenti.

  2. Estrarre i file di installazione dal file .zip. L'installazione diretta dal file di .zip ha esito negativo.

  3. Eseguire il sensore Azure ATP setup.exe con privilegi elevati (Esegui come amministratore) e seguire la procedura guidata di installazione.

  4. Nella pagina iniziale selezionare la lingua e quindi selezionare Avanti.

    Screenshot che mostra la selezione della lingua di installazione del sensore autonomo defender per identità.

    L'installazione guidata controlla automaticamente se il server è un controller di dominio, un server AD FS, un server Servizi certificati Active Directory o un server dedicato. Il tipo di server determina il tipo di sensore:

    • Se il server è un controller di dominio, un server AD FS o un server Servizi certificati Active Directory, viene installato il sensore Defender per identità.
    • Se il server è dedicato, viene installato il sensore autonomo Defender per identità.

    Ad esempio, la procedura guidata visualizza la pagina seguente per indicare che un sensore defender per identità è installato nei controller di dominio.

    Screenshot della pagina che identifica il tipo di distribuzione del sensore.

  5. Selezionare Avanti.

    La procedura guidata genera un avviso se il controller di dominio, il server AD FS, il server Servizi certificati Active Directory o il server dedicato non soddisfa i requisiti hardware minimi per l'installazione.

    L'avviso non impedisce di selezionare Avanti e procedere con l'installazione, che potrebbe comunque essere l'opzione corretta. Ad esempio, è necessario meno spazio per l'archiviazione dei dati quando si installa un ambiente di test di laboratorio di piccole dimensioni.

    Per gli ambienti di produzione, è consigliabile usare lo strumento di ridimensionamento di Defender per identità per assicurarsi che i controller di dominio o i server dedicati soddisfino i requisiti di capacità.

  6. Nella pagina Configura il sensore immettere le informazioni seguenti per il pacchetto di installazione:

    • Percorso di installazione: percorso in cui è installato il sensore defender per identità. Per impostazione predefinita, il percorso è %programfiles%\Azure Advanced Threat Protection sensor. Lasciare il valore predefinito.
    • Chiave di accesso: recuperata dal portale di Microsoft Defender in un passaggio precedente.

    Screenshot della pagina della procedura guidata per la configurazione del sensore defender per identità.

  7. Selezionare Installa. Durante l'installazione del sensore Defender per identità vengono installati e configurati i componenti seguenti:

    • Servizio del sensore defender per identità e servizio di aggiornamento del sensore defender per identità

    • Npcap OEM versione 1.0

      Importante

      Npcap OEM versione 1.0 viene installato automaticamente se non è presente alcuna altra versione di Npcap. Se Npcap è già installato a causa di altri requisiti software o per qualsiasi altro motivo, assicurarsi che sia la versione 1.0 o successiva e che disponga delle impostazioni necessarie per Defender per identità.

Visualizzazione delle versioni dei sensori

A partire dalla versione del sensore 2.176, quando si installa il sensore da un nuovo pacchetto, viene visualizzata la versione in Installazione applicazioni con il numero completo, ad esempio 2.176.x.y. In precedenza, la versione appariva come statica 2.0.0.0.

La versione installata continua a essere visualizzata anche dopo che i servizi cloud defender per identità eseguono gli aggiornamenti automatici.

Visualizzare la versione reale del sensore nella pagina delle impostazioni del sensore XDR di Microsoft Defender, nel percorso eseguibile o nella versione del file.

Eseguire un'installazione invisibile all'utente di Defender per identità

L'installazione invisibile all'utente di Defender per identità per i sensori è configurata per riavviare automaticamente il server alla fine dell'installazione, se necessario.

Pianificare un'installazione invisibile all'utente solo durante una finestra di manutenzione. A causa di un bug di Windows Installer, non è possibile usare in modo affidabile il norestart flag per assicurarsi che il server non venga riavviato.

Per tenere traccia dello stato di avanzamento della distribuzione, monitorare i log del programma di installazione di Defender per identità in %localappdata%\Temp.

Installazione invisibile all'utente tramite un sistema di distribuzione

Quando si distribuisce automaticamente un sensore defender per identità tramite System Center Configuration Manager o un altro sistema di distribuzione software, è consigliabile creare due pacchetti di distribuzione:

  • .NET Framework 4.7 o versione successiva, che potrebbe includere il riavvio del controller di dominio
  • Sensore defender per identità

Rendere il pacchetto del sensore Defender per identità dipendente dalla distribuzione del pacchetto .NET Framework. Se necessario, ottenere il pacchetto di distribuzione offline di .NET Framework 4.7.

Comandi per l'esecuzione di un'installazione invisibile all'utente

Usare i comandi seguenti per eseguire un'installazione completamente invisibile all'utente del sensore defender per identità usando la chiave di accesso copiata in un passaggio precedente.

sintassi cmd.exe

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"

Sintassi di Powershell

.\"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"

Nota

Quando si usa la sintassi di PowerShell, omettendo la prefazione si .\ verifica un errore che impedisce l'installazione invisibile all'utente.

Opzioni di installazione

Nome Sintassi Obbligatorio per l'installazione invisibile all'utente? Descrizione
Quiet /quiet Esegue il programma di installazione senza visualizzare l'interfaccia utente o i prompt.
Help /help No Rende disponibili la Guida e il Riferimento rapido. Visualizza l'uso corretto del comando di impostazione con un elenco di tutte le opzioni e i comportamenti.
NetFrameworkCommandLineArguments="/q" NetFrameworkCommandLineArguments="/q" Specifica i parametri per l'installazione di .NET Framework. Deve essere impostato per applicare l'installazione invisibile all'utente di .NET Framework.

Parametri di installazione

Nome Sintassi Obbligatorio per l'installazione invisibile all'utente? Descrizione
InstallationPath InstallationPath="" No Imposta il percorso per l'installazione dei file binari del sensore defender per identità. Percorso predefinito: %programfiles%\Azure Advanced Threat Protection Sensor.
AccessKey AccessKey="\*\*" Imposta la chiave di accesso usata per registrare il sensore Defender per identità con l'area di lavoro defender per identità.
AccessKeyFile AccessKeyFile="" No Imposta la chiave di accesso dell'area di lavoro dal percorso del file di testo specificato.
DelayedUpdate DelayedUpdate=true No Imposta il meccanismo di aggiornamento del sensore per ritardare l'aggiornamento per 72 ore dalla versione ufficiale di ogni aggiornamento del servizio. Per altre informazioni, vedere Aggiornamento ritardato del sensore.
LogsPath LogsPath="" No Imposta il percorso per i log dei sensori di Defender per identità. Percorso predefinito: %programfiles%\Azure Advanced Threat Protection Sensor.

Esempi

Usare i comandi seguenti per installare automaticamente il sensore Defender per identità:

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<access key value>"
"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKeyFile="C:\Path\myAccessKeyFile.txt"

Comando per l'esecuzione di un'installazione invisibile all'utente con una configurazione proxy

Usare il comando seguente per configurare il proxy insieme a un'installazione invisibile all'utente:

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [ProxyUrl="http://proxy.internal.com"] [ProxyUserName="domain\proxyuser"] [ProxyUserPassword="ProxyPassword"]`

Nota

Se il proxy è stato configurato in precedenza usando le opzioni legacy, tra cui WinINet o un aggiornamento della chiave del Registro di sistema, è necessario apportare eventuali modifiche con lo stesso metodo usato in origine. Per altre informazioni, vedere Modificare la configurazione del proxy usando metodi legacy.

Parametri di installazione

Nome Sintassi Obbligatorio per l'installazione invisibile all'utente? Descrizione
ProxyUrl ProxyUrl="http://proxy.contoso.com:8080" No Specifica l'URL proxy e il numero di porta per il sensore Defender per identità.
ProxyUserName ProxyUserName="Contoso\ProxyUser" No Se il servizio proxy richiede l'autenticazione, definire un nome utente nel DOMAIN\user formato .
ProxyUserPassword ProxyUserPassword="P@ssw0rd" No Specifica la password per il nome utente del proxy.

Il sensore Defender per identità crittografa le credenziali e le archivia in locale.

Suggerimento

Se è necessario aggiornare le impostazioni proxy in un secondo momento, usare PowerShell o l'interfaccia della riga di comando di Azure. Per altre informazioni, vedere Configurare le impostazioni di connettività Internet e proxy dell'endpoint. È consigliabile creare e usare un record DNS A personalizzato per il server proxy. È quindi possibile usare tale record per modificare l'indirizzo del server proxy quando necessario e usare il file hosts per il test.

Dopo aver installato un sensore, è possibile seguire i passaggi aggiuntivi:

Passaggio successivo