Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Che cosa sono gli account del servizio?
Gli account del servizio sono identità specializzate all'interno di Active Directory usate per eseguire applicazioni, servizi e attività automatizzate. Questi account spesso richiedono privilegi elevati per eseguire il processo designato. Tuttavia, poiché non possono eseguire l'autenticazione allo stesso modo degli account umani, in genere non traggono vantaggio dalla maggiore sicurezza dei metodi di autenticazione moderni, ad esempio MFA (autenticazione a più fattori). Dato il potenziale privilegio elevato e le limitazioni intrinseche dei criteri di accesso che li regolano, un'attenta gestione e monitoraggio sono fondamentali per garantire che non diventino una vulnerabilità di sicurezza.
Gli account del servizio sono classificati in diversi tipi:
- gMSA (Group Managed Service Accounts): gli account del servizio gestito del gruppo offrono una singola soluzione di identità per più servizi che richiedono l'autenticazione reciproca tra più server, in quanto consentono a Windows di gestire la gestione delle password, riducendo il sovraccarico amministrativo.
- sMSA (Managed Service Accounts): progettato per singoli servizi in un singolo server anziché in gruppi.
- Account utente: questi account utente standard vengono in genere usati per gli account di accesso interattivi, ma possono anche essere configurati per l'esecuzione dei servizi.
La funzionalità di individuazione automatica identifica rapidamente gli account gMSA e sMSA e gli account utente all'interno di Active Directory che soddisfano criteri specifici. Questi criteri includono l'assegnazione di un nome dell'entità servizio (SPN) o di un attributo "password non scade mai". La funzionalità classifica quindi questi account come account del servizio. Questi account vengono quindi evidenziati e presentati, insieme alle informazioni rilevanti, incluse informazioni dettagliate sulle autenticazioni recenti e le origini e le destinazioni di tali interazioni, come parte di un inventario dedicato all'interno dell'esperienza Defender. In questo modo è possibile comprendere meglio lo scopo degli account in modo da individuare più facilmente l'attività anomala e comprenderne le implicazioni.
I tipi di account di servizio vengono visualizzati nella tabella Identity Info all'interno di Ricerca avanzata.
Pagina Account di servizio
Passare alla pagina Account del servizio
Nel portale di Defender XDR in https://security.microsoft.compassare a Identità > account del servizio.
L'immagine seguente illustra la pagina Account del servizio:
Personalizzare la visualizzazione pagina
Sono disponibili diverse opzioni tra cui è possibile scegliere per personalizzare la visualizzazione elenco delle identità. Nel riquadro di spostamento superiore è possibile:
Aggiungere o rimuovere colonne.
Applicare filtri.
Esportare l'elenco in un file CSV.
Ordinare e filtrare l'elenco account del servizio.
Nota
Quando si esporta l'elenco degli account del servizio in un file CSV, vengono visualizzati al massimo 2.000 account di servizio.
Dettagli dell'account del servizio
Totale: numero totale di account del servizio elencati.
Gestito: numero totale di account del servizio che sono gMSA (Account del servizio gestito del gruppo) o sMSA (Account del servizio gestito).
Utente: numero totale di account utente standard usati per gli account di accesso interattivi o configurati per l'esecuzione dei servizi.
Critico: numero totale di account del servizio identificati come critici.
È possibile usare la funzionalità di ordinamento e filtro in ogni scheda dell'account del servizio per ottenere una visualizzazione più incentrata.
| Dettagli dell'account del servizio | Descrizione |
|---|---|
| Nome visualizzato | Nome completo dell'account del servizio, come illustrato nella directory. |
| SID | Identificatore di sicurezza, un valore univoco usato per identificare l'identità in Active Directory. |
| Dominio | Dominio di Active Directory a cui appartiene l'identità. |
| Tipo | Specifica se l'account del servizio è gMSA (Group Managed Service Accounts), sMSA (Managed Service Accounts) o un account utente. |
| Livello di criticità | Indica il livello critico dell'account del servizio, che va da basso a molto alto. |
| Tag | Token sensibile o honey |
| Protocolli di autenticazione | Elenchi i metodi disponibili per verificare le identità utente, ad esempio Kerberos e NTLM (New Technology LAN Manager). |
| Origini | Numero di potenziali account di accesso di origine. |
| Destinazioni | Quando un account del servizio tenta di accedere a un server di destinazione, la richiesta viene indirizzata al sistema di destinazione, che può includere molte risorse in tale server. Queste risorse possono essere un database, un file server o altri servizi ospitati nel server. |
| Connections | Numero di connessioni univoche effettuate tra origini e destinazioni. |
| Creato | Timestamp al momento della creazione dell'account del servizio. |
| Ultimo aggiornamento | Timestamp dell'aggiornamento più recente all'account del servizio. |
Connections
Per un'analisi più approfondita di ciò che accade nell'account del servizio, selezionare il nome di dominio per visualizzare le informazioni seguenti:
Quando si esamina un account del servizio specifico, nella scheda connessioni vengono visualizzati i dettagli seguenti:
| Dettagli di connessione dell'account del servizio | Descrizione |
|---|---|
| Origine | Da dove proviene il traffico o la richiesta di rete. |
| Tipo di origine | Che tipo di dispositivo o sistema sta avviando la richiesta. Ad esempio, server, workstation o controller di dominio. |
| Rischio di origine | Identica il rischio posto all'origine da nessun rischio ad alto rischio. |
| Destinazione | A cui viene indirizzata la richiesta. Sistema di destinazione a cui l'account del servizio sta tentando di accedere. Ad esempio, quando si tenta di accedere a un server di destinazione, in tale server possono essere presenti più risorse, ad esempio un database e un file-server. |
| Tipo di destinazione | Server, workstation o controller di dominio. |
| Protocolli di autenticazione | Kerberos e NTLM |
| Classe di servizio | Servizi all'interno di una rete che definiscono il tipo di servizio fornito, spesso usato per l'autenticazione e la gestione delle risorse. Questi includono: Lightweight Directory Access Protocol (LDAP), Common Internet File System (CIFS), Remote Procedure Call (RPC), Remote Procedure Call Subsystem (RPCSS), "HTTP", Terminal Services (TERMSRV) e "HOST" |
| Conteggio | Numero di eventi di accesso verificatisi su questa connessione negli ultimi 180 giorni. |
| Ultima visualizzazione | Data e ora dell'evento di accesso più recente su questa connessione. |
Definire le regole di classificazione dell'account di servizio
Le regole di classificazione degli account di servizio consentono di definire criteri personalizzati per l'identificazione degli account del servizio. Queste regole consentono di includere account di servizio che Defender per identità non identifica automaticamente. Ad esempio, alcune organizzazioni denominano tutti gli account del servizio con un prefisso come srv. Defender per identità non rileva automaticamente tali convenzioni di denominazione. Creando una regola di classificazione basata su tale modello, è possibile includere tali account nella visualizzazione Account del servizio.
Le regole di classificazione funzionano insieme all'individuazione automatica di Defender per identità e offrono una visualizzazione più completa e personalizzata degli account del servizio nell'ambiente.
Per creare una regola:
- Passare a Impostazioni > Microsoft Defender XDR > classificazione degli account del servizio.
- Selezionare + Crea una nuova regola.
- Immettere un nome per la regola.
- Facoltativo: aggiungere una descrizione.
- Selezionare uno o più dei filtri seguenti:
- Nome visualizzato dell'account
- Dominio dell'account
- Nome SAM dell'account
- Unità organizzativa
- Selezionare Crea per salvare la regola.
Per altre informazioni sui dettagli di Defender per identità, vedere: Analizzare gli asset.
Contenuto correlato
Se si verificano problemi, siamo qui per aiutarti. Per ottenere assistenza o supporto per il problema del prodotto, vedere come aprire un ticket di supporto all'indirizzo Microsoft Defender per identità supporto.