panoramica della distribuzione Microsoft Defender per identità

Defender per identità usa sensori per raccogliere segnali dall'infrastruttura di identità locale per rilevare le minacce.

Defender per identità rileva minacce come l'escalation dei privilegi o lo spostamento laterale ad alto rischio e segnala problemi di identità facilmente sfruttati, ad esempio la delega Kerberos non vincolata per la correzione da parte del team di sicurezza.

Installare i sensori defender per identità in tutti i controller di dominio, inclusi i controller di dominio di sola lettura.Install Defender for Identity sensors on all domain controller, including read-only domain controller (RODC). Se nell'ambiente sono presenti server AD FS, AD CS o Microsoft Entra Connect che non sono controller di dominio, installare il sensore v2.x anche in ognuno di questi server.

Selezionare il metodo di distribuzione

La versione del sensore distribuita dipende dal ruolo del server e dal sistema operativo. Usare la tabella seguente per selezionare la distribuzione appropriata per ogni server nell'ambiente.

Defender per identità supporta ambienti misti con sensori v3.x e v2.x. Ad esempio, è possibile distribuire v3.x nei controller di dominio che eseguono Windows Server 2019 o versioni successive e v2.x in controller di dominio precedenti o in AD FS, Servizi certificati Active Directory e Microsoft Entra Connettere server che non sono controller di dominio. Entrambe le versioni dei sensori interagiscono e segnalano la stessa area di lavoro Defender per identità.

Prima di attivare il sensore defender per identità v3.x, tenere presente che v3.x:

• Richiede defender per endpoint distribuito nel server. La distribuzione dell'endpoint da sola non è un prerequisito; È necessario eseguire l'onboarding di Defender per endpoint nel server in cui viene eseguito il sensore.
• Non supporta l'integrazione VPN.
• Non supporta le notifiche syslog.
• Presenta limitazioni che funzionano con Azure ExpressRoute. Per altre informazioni, vedere Azure ExpressRoute per Microsoft 365.

Passaggi di distribuzione per il sensore v3.x

Seguire questa procedura per distribuire il sensore v3.x nei controller di dominio in esecuzione Windows Server 2019 o versioni successive, inclusi i controller di dominio che eseguono anche i ruoli AD FS, AD CS o Microsoft Entra Connect:

1. Verificare i prerequisiti
2. Attivare il sensore
3. Configurare il controllo degli eventi di Windows
4. Configurare il controllo RPC
5. Convalidare la distribuzione

Passaggi di distribuzione per il sensore v2.x

Seguire questa procedura per distribuire il sensore v2.x nei controller di dominio che eseguono Windows Server 2016 o versioni successive oppure in AD FS, Servizi certificati Active Directory e Microsoft Entra Connect server che non sono controller di dominio:

1. Verificare i prerequisiti
2. Pianificare la capacità
3. Configurare la connettività
4. Installare il sensore
5. Configurare il sensore
6. Configurare il controllo degli eventi di Windows
7. Configurare gli account del servizio directory
8. Configurare per AD FS, AD CS o Entra Connect (se applicabile)
9. Convalidare la distribuzione

Passaggi successivi

• Preparare l'ambiente per il sensore v3
• Preparare l'ambiente per il sensore v2