Konfigurace senzorů pro AD FS, AD CS a Microsoft Entra Connect
Nainstalujte senzory Defenderu for Identity na servery Active Directory Federation Services (AD FS) (AD FS), Active Directory Certificate Services (AD CS) a Microsoft Entra Connect, abyste je mohli chránit před místními a hybridními útoky. Tento článek popisuje postup instalace.
Platí tyto aspekty:
- V prostředích SLUŽBY AD FS se senzory Defenderu for Identity podporují jenom na federačních serverech. Na serverech Web proxy aplikací (WAP) se nevyžadují.
- V prostředích AD CS nemusíte instalovat senzory na žádné servery AD CS, které jsou offline.
- U serverů Microsoft Entra Connect je potřeba nainstalovat senzory na aktivní i pracovní server.
Požadavky
Požadavky pro instalaci senzorů Defenderu for Identity na servery AD FS, AD CS nebo Microsoft Entra Connect jsou stejné jako pro instalaci senzorů na řadičích domény. Další informace najdete v tématu požadavky Microsoft Defender for Identity.
Senzor nainstalovaný na serveru AD FS, AD CS nebo Microsoft Entra Connect nemůže použít účet místní služby pro připojení k doméně. Místo toho je potřeba nakonfigurovat účet adresářové služby.
Kromě toho senzor Defenderu for Identity pro SLUŽBU AD CS podporuje pouze servery AD CS se službou role certifikační autority.
Konfigurace shromažďování událostí
Pokud pracujete se servery AD FS, AD CS nebo Microsoft Entra Connect, ujistěte se, že jste podle potřeby nakonfigurovali auditování. Další informace najdete tady:
AD FS:
AD CS:
Microsoft Entra Connect:
Konfigurace oprávnění ke čtení pro databázi služby AD FS
Aby senzory spuštěné na serverech AD FS měly přístup k databázi služby AD FS, musíte příslušnému účtu adresářové služby udělit oprávnění ke čtení (db_datareader).
Pokud máte více než jeden server služby AD FS, nezapomeňte toto oprávnění udělit pro všechny z nich. Oprávnění databáze se nereplikují mezi servery.
Nakonfigurujte SQL Server tak, aby povolil účet adresářové služby s následujícími oprávněními k databázi AdfsConfiguration :
- spojit
- Přihlásit se
- číst
- vybrat
Poznámka
Pokud databáze SLUŽBY AD FS běží na vyhrazeném SQL serveru místo na místním serveru AD FS a jako účet adresářové služby používáte skupinový účet spravované služby (gMSA), ujistěte se, že jste sql serveru udělili požadovaná oprávnění k načtení hesla gMSA.
Udělení přístupu k databázi SLUŽBY AD FS
Udělte přístup k databázi služby AD FS pomocí SQL Server Management Studio, Jazyka Transact-SQL (T-SQL) nebo PowerShellu.
Například následující příkazy můžou být užitečné, pokud používáte Interní databáze Windows (WID) nebo externí SQL server.
V těchto ukázkových kódech:
-
[DOMAIN1\mdiSvc01]je uživatel adresářových služeb pracovního prostoru. Pokud pracujete s gMSA, připojte$ho na konec uživatelského jména. Příklad:[DOMAIN1\mdiSvc01$]. -
AdfsConfigurationV4je příklad názvu databáze služby AD FS a může se lišit. -
server=\.\pipe\MICROSOFT##WID\tsql\queryje připojovací řetězec k databázi, pokud používáte interní databázi WiD.
Tip
Pokud neznáte připojovací řetězec, postupujte podle pokynů v dokumentaci k Windows Server.
Udělení přístupu senzoru k databázi služby AD FS pomocí T-SQL:
USE [master]
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
USE [AdfsConfigurationV4]
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]
GRANT CONNECT TO [DOMAIN1\mdiSvc01]
GRANT SELECT TO [DOMAIN1\mdiSvc01]
GO
Udělení přístupu senzoru k databázi služby AD FS pomocí PowerShellu:
$ConnectionString = 'server=\\.\pipe\MICROSOFT##WID\tsql\query;database=AdfsConfigurationV4;trusted_connection=true;'
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master];
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [AdfsConfigurationV4];
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01];
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01];
GRANT CONNECT TO [DOMAIN1\mdiSvc01];
GRANT SELECT TO [DOMAIN1\mdiSvc01];
"@
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()
Konfigurace oprávnění pro databázi Microsoft Entra Connect (ADSync)
Poznámka
Tato část je použitelná jenom v případě, že je databáze Entra Connect hostovaná na externí instanci SQL Serveru.
Senzory spuštěné na serverech Microsoft Entra Connect musí mít přístup k databázi ADSync a mít oprávnění ke spouštění příslušných uložených procedur. Pokud máte více než jeden server Microsoft Entra Connect, nezapomeňte ho spustit na všech serverech.
Udělení oprávnění senzoru databázi Microsoft Entra Connect ADSync pomocí PowerShellu:
$entraConnectServerDomain = $env:USERDOMAIN
$entraConnectServerComputerAccount = $env:COMPUTERNAME
$entraConnectDBName = (Get-ItemProperty 'registry::HKLM\SYSTEM\CurrentControlSet\Services\ADSync\Parameters' -Name 'DBName').DBName
$entraConnectSqlServer = (Get-ItemProperty 'registry::HKLM\SYSTEM\CurrentControlSet\Services\ADSync\Parameters' -Name 'Server').Server
$entraConnectSqlInstance = (Get-ItemProperty 'registry::HKLM\SYSTEM\CurrentControlSet\Services\ADSync\Parameters' -Name 'SQLInstance').SQLInstance
$ConnectionString = 'server={0}\{1};database={2};trusted_connection=true;' -f $entraConnectSqlServer, $entraConnectSqlInstance, $entraConnectDBName
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master];
CREATE LOGIN [{0}\{1}$] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [{2}];
CREATE USER [{0}\{1}$] FOR LOGIN [{0}\{1}$];
GRANT CONNECT TO [{0}\{1}$];
GRANT SELECT TO [{0}\{1}$];
GRANT EXECUTE ON OBJECT::{2}.dbo.mms_get_globalsettings TO [{0}\{1}$];
GRANT EXECUTE ON OBJECT::{2}.dbo.mms_get_connectors TO [{0}\{1}$];
"@ -f $entraConnectServerDomain, $entraConnectServerComputerAccount, $entraConnectDBName
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()
Kroky po instalaci (volitelné)
Během instalace senzoru na server služby AD FS, AD CS nebo Microsoft Entra Connect se automaticky vybere nejbližší řadič domény. Pomocí následujícího postupu zkontrolujte nebo upravte vybraný řadič domény:
V Microsoft Defender XDR přejděte na Nastavení>Snímače identit> a zobrazte všechny senzory Defenderu for Identity.
Vyhledejte a vyberte senzor, který jste nainstalovali na server.
V podokně, které se otevře, zadejte do pole Řadič domény (FQDN) plně kvalifikovaný název domény (FQDN) řadičů domény překladače. Výběrem + Přidat přidejte plně kvalifikovaný název domény a pak vyberte Uložit.
Inicializace senzoru může trvat několik minut. Po dokončení se stav služby služby AD FS, AD CS nebo Microsoft Entra Connect změní ze zastaveného na spuštěný.
Ověření úspěšného nasazení
Ověření úspěšného nasazení senzoru Defenderu for Identity na server služby AD FS nebo AD CS:
Zkontrolujte, že je spuštěná služba senzoru Azure Advanced Threat Protection . Po uložení nastavení senzoru Defenderu for Identity může spuštění služby trvat několik sekund.
Pokud se služba nespustí, zkontrolujte
Microsoft.Tri.sensor-Errors.logsoubor, který se ve výchozím nastavení nachází na adrese%programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs.Pomocí služby AD FS nebo AD CS ověřte uživatele v libovolné aplikaci a pak ověřte, že defender for Identity ověřování zaznamenal.
Vyberte například rozšířené proaktivní vyhledávání>. V podokně Dotaz zadejte a spusťte jeden z následujících dotazů:
Pro službu AD FS:
IdentityLogonEvents | where Protocol contains 'Adfs'Podokno výsledků by mělo obsahovat seznam událostí s hodnotou LogonTypev části Přihlášení s ověřováním ADFS.
Pro SLUŽBU AD CS:
IdentityDirectoryEvents | where Protocol == "Adcs"V podokně výsledků se zobrazí seznam událostí neúspěšného a úspěšného vystavení certifikátu. Výběrem konkrétního řádku zobrazíte další podrobnosti v podokně Zkontrolovat záznam .
Související obsah
Další informace najdete tady: