Aktivér Microsoft Defender for Identity funktioner direkte på en domænecontroller

Microsoft Defender for Endpoint kunder, der allerede har onboardet deres domænecontrollere til Defender for Endpoint, kan aktivere Microsoft Defender for Identity funktioner direkte på en domænecontroller i stedet for at bruge en Microsoft Defender for Identity sensor.

I denne artikel beskrives det, hvordan du aktiverer og tester Microsoft Defender for Identity funktioner på din domænecontroller.

Vigtigt!

Oplysningerne i denne artikel relaterer til en funktion, der i øjeblikket er i begrænset tilgængelighed for et udvalgt sæt use cases. Hvis du ikke blev bedt om at bruge siden Defender for Identity Activation , skal du i stedet bruge vores primære installationsvejledning .

Forudsætninger

Før du aktiverer Defender for Identity-egenskaberne på domænecontrolleren, skal du kontrollere, at dit miljø overholder forudsætningerne i dette afsnit.

Konflikter i identitetsføler ved hjælp af Defender for Identity-sensor

Den konfiguration, der er beskrevet i denne artikel, understøtter ikke side om side-installation med en eksisterende Defender for Identity-sensor og anbefales ikke som erstatning for Defender for Identity-sensoren.

Sørg for, at den domænecontroller, hvor du planlægger at aktivere Defender for Identity-funktioner, ikke har installeret en Defender for Identity-sensor .

Systemkrav

Direct Defender for Identity-funktioner understøttes kun på domænecontrollere ved hjælp af et af følgende operativsystemer:

• Windows Server 2019
• Windows Server 2022

Du skal også have den kumulative opdatering fra marts 2024 installeret.

Vigtigt!

Efter installation af den kumulative opdatering fra marts 2024 kan LSASS opleve en hukommelsesfejl på domænecontrollere, når kerberos-godkendelsesanmodninger i det lokale miljø og cloudbaserede Active Directory-domænecontrolleretjeneste.

Dette problem er løst i opdateringen uden for båndet KB5037422.

Onboarding af Defender for Endpoint

Domænecontrolleren skal være onboardet til Microsoft Defender for Endpoint.

Du kan få flere oplysninger under Onboarde en Windows-server.

Påkrævede tilladelser

Hvis du vil have adgang til siden Defender for Identity Activation , skal du enten være sikkerhedsadministrator eller have følgende Unified RBAC-tilladelser:

• Authorization and settings / System settings (Read and manage)
• Authorization and settings / Security setting (All permissions)

Du kan finde flere oplysninger under:

• Unified rollebaseret adgangskontrol-RBAC
• Opret en rolle for at få adgang til og administrere roller og tilladelser

Forbindelseskrav

Defender for Identity-funktioner direkte på domænecontrollere bruger Defender for Endpoint URL-slutpunkter til kommunikation, herunder forenklede URL-adresser.

Du kan finde flere oplysninger under Konfigurer dit netværksmiljø for at sikre forbindelse med Defender for Endpoint.

Konfigurer Windows-overvågning

Defender for Identity Detections er afhængig af specifikke Windows-hændelseslogposter for at forbedre registreringer og give ekstra oplysninger om de brugere, der udfører specifikke handlinger, f.eks. NTLM-logon og ændringer af sikkerhedsgrupper.

Konfigurer Windows-hændelsessamling på domænecontrolleren for at understøtte Defender for identitetsregistreringer. Du kan finde flere oplysninger under Hændelsessamling med Microsoft Defender for Identity og Konfigurer overvågningspolitikker for Windows-hændelseslogge.

Det kan være en god idé at bruge Defender for Identity PowerShell-modulet til at konfigurere de påkrævede indstillinger. Du kan finde flere oplysninger under:

• DefenderForIdentity-modul
• Defender for Identity i PowerShell-galleriet

Følgende kommando definerer f.eks. alle indstillinger for domænet, opretter gruppepolitikobjekter og sammenkæder dem.

Set-MDIConfiguration -Mode Domain -Configuration All

Aktivér Defender for identitetsfunktioner

Når du har sikret dig, at dit miljø er fuldt konfigureret, skal du aktivere funktionerne Microsoft Defender for Identity på domænecontrolleren.

1. Vælg Indstillinger Aktivering > af identiteter >på Defender-portalen.

   På siden Aktivering kan du se en liste over registrerede og berettigede domænecontrollere.

2. Vælg den domænecontroller, hvor du vil aktivere Defender for Identitetsfunktioner, og vælg derefter Aktivér. Bekræft dit valg, når du bliver bedt om det.

Når aktiveringen er fuldført, vises et grønt succesbanner. På banneret skal du vælge Klik her for at se de onboardede servere for at gå til siden Indstillinger > Identiteter > sensorer , hvor du kan kontrollere din sensortilstand.

Test aktiverede funktioner

Første gang du aktiverer Defender for Identity-funktioner på din domænecontroller, kan det tage op til en time, før den første sensor vises som Kører på siden Sensorer . Efterfølgende aktiveringer vises inden for fem minutter.

Defender for Identity-funktioner på domænecontrollere understøtter i øjeblikket følgende Defender for Identity-funktionalitet:

• Undersøgelsesfunktioner på ITDR-dashboardet, identitetsoversigten og avancerede identitetssøgningsdata
• Angivne anbefalinger til sikkerhedsholdning
• Angivne registreringer af beskeder
• Afhjælpningshandlinger
• Automatisk afbrydelse af angreb

Brug følgende procedurer til at teste dit miljø for Defender for Identity-funktioner på en domænecontroller.

Kontrollér ITDR-dashboardet

På Defender-portalen skal du vælge Dashboard for identiteter > og gennemse de viste oplysninger og søge efter forventede resultater fra dit miljø.

Du kan få flere oplysninger under Arbejd med Defender for Identity's ITDR-dashboard (prøveversion).

Bekræft oplysninger om enhedsside

Bekræft, at enheder, f.eks. domænecontrollere, brugere og grupper, udfyldes som forventet.

Se følgende oplysninger i Defender-portalen:

• Enhedsenheder: Vælg Aktiver > Enheder, og vælg maskinen til din nye sensor. Defender for Identity-hændelser vises på enhedens tidslinje.

• Brugerobjekter. Vælg Assets > Users , og kontrollér, om der er brugere fra et nyligt onboardet domæne. Alternativt kan du bruge indstillingen global søgning til at søge efter bestemte brugere. Sider med brugeroplysninger skal omfatte Oversigt, Arbejdsfri i organisationen og Tidslinjedata .

• Gruppeobjekter: Brug global søgning til at finde en brugergruppe eller pivotere fra en side med bruger- eller enhedsoplysninger, hvor gruppeoplysninger vises. Se for at få oplysninger om gruppemedlemskab, få vist gruppebrugere og gruppetidslinjedata.

  Hvis der ikke findes nogen hændelsesdata på gruppetidslinjen, skal du muligvis oprette nogle manuelt. Det kan du f.eks. gøre ved at tilføje og fjerne brugere fra gruppen i Active Directory.

Du kan få flere oplysninger under Undersøg aktiver.

Test avancerede jagttabeller

På siden Avanceret jagt på Defender-portalen skal du bruge følgende eksempelforespørgsler til at kontrollere, at dataene vises i relevante tabeller som forventet for dit miljø:

IdentityDirectoryEvents
| where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN

IdentityInfo 
| where AccountDomain contains "domain" // insert domain

IdentityQueryEvents 
| where DeviceName contains "DC_FQDN" // insert domain controller FQDN

Du kan finde flere oplysninger under Avanceret jagt på portalen Microsoft Defender.

Test ISPM-anbefalinger (Identity Security Posture Management)

Defender for Identity-funktioner på domænecontrollere understøtter følgende ISPM-vurderinger:

• Installér Defender for Identity Sensor på alle domænecontrollere
• Microsoft LAPS-forbrug
• Løs usikre domænekonfigurationer
• Angiv en honeytoken-konto
• Ikke-sikre kontoattributter
• Usikre attributter for SID-historik

Vi anbefaler simuleret risikoadfærd i et testmiljø for at udløse understøttede vurderinger og bekræfte, at de vises som forventet. Det kan f.eks. være:

1. Udløs en ny anbefaling af Løs usikre domænekonfigurationer ved at angive Active Directory-konfigurationen til en tilstand, der ikke overholder angivne standarder, og derefter returnere den til en kompatibel tilstand. Kør f.eks. følgende kommandoer:

   Sådan angiver du en tilstand, der ikke overholder angivne standarder

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}
   

   Sådan vender du tilbage til en kompatibel tilstand:

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}
   

   Sådan kontrollerer du din lokale konfiguration:

   Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuota
   

2. I Microsoft Secure Score skal du vælge Anbefalede handlinger for at kontrollere, om der er en ny Løsning af usikre domænekonfigurationer . Det kan være en god idé at filtrere anbefalinger fra produktet Defender for Identity .

Du kan få flere oplysninger under vurderinger af Microsoft Defender for Identity sikkerhedsholdning

Test beskedfunktionalitet

Følgende beskeder understøttes af Defender for Identity-funktioner på domænecontrollere:

• Rekognoscering af kontooptælling
• Active Directory-attributter reconnaissance ved hjælp af LDAP
• Exchange Server fjernudførelse af kode (CVE-2021-26855)
• Ændrede brugerattributter for honeytoken
• Honeytoken blev forespurgt via LDAP
• Honeytoken-godkendelsesaktivitet
• Medlemskabet af honeytokengruppen blev ændret
• Forsøg på fjernkørsel af kode
• Rekognoscering af sikkerhedsprincipal (LDAP)
• Mistænkelig oprettelse af tjeneste
• Mistanke om NTLM-relæangreb (Exchange-konto)

• Mistænkelig ændring af attributten Ressourcebaseret begrænset delegering af en computerkonto
• Mistænkelige tilføjelser til følsomme grupper
• Mistænkelig ændring af attributten dNSHostName (CVE-2022-26923)
• Mistænkelig ændring af attributten sAMNameAccount (CVE-2021-42278 og CVE-2021-42287)
• Mistanke om DCShadow-angreb (forfremmelse af domænecontroller)
• Mistanke om DFSCoerce-angreb ved hjælp af Distributed File System Protocol 
• Mistanke om DCShadow-angreb (anmodning om replikering af domænecontroller)
• Mistanke om kontoovertagelse ved hjælp af skyggelegitimationsoplysninger
• Mistanke om SID-History injektion
• Mistanke om AD FS DKM-nøgle læst

Test beskedfunktionalitet ved at simulere risikable aktiviteter i et testmiljø. Det kan f.eks. være:

• Tag en konto som en honeytoken-konto, og prøv derefter at logge på honeytoken-kontoen mod den aktiverede domænecontroller.
• Opret en mistænkelig tjeneste på domænecontrolleren.
• Kør en fjernkommando på domænecontrolleren som administrator, der er logget på fra arbejdsstationen.

Du kan få flere oplysninger under Undersøg defender for identitetssikkerhedsbeskeder i Microsoft Defender XDR.

Test afhjælpningshandlinger

Test afhjælpningshandlinger for en testbruger. Det kan f.eks. være:

1. Gå til siden med brugeroplysninger for en testbruger på Defender-portalen.

2. Vælg et eller alle af følgende i menuen indstillinger én ad gangen:

   • Deaktiver bruger i AD
   • Aktivér bruger i AD
   • Gennemtving nulstilling af adgangskode

3. Kontrollér Active Directory for den forventede aktivitet.

Bemærk!

Den aktuelle version indsamler ikke UAC-flagene (User Account Control) korrekt. Deaktiverede brugere vises derfor stadig som Aktiveret på portalen.

Du kan få flere oplysninger under Afhjælpningshandlinger i Microsoft Defender for Identity.

Deaktiver Defender for identitetsfunktioner på domænecontrolleren

Hvis du vil deaktivere Defender for Identity-egenskaber på din domænecontroller, skal du slette den på siden Sensorer :

1. På Defender-portalen skal du vælge Indstillinger > Identiteter Sensorer>.
2. Vælg den domænecontroller, hvor du vil deaktivere Defender for identitetsfunktioner, vælg Slet, og bekræft dit valg.

Hvis du deaktiverer Defender for Identity-egenskaber fra domænecontrolleren, fjernes domænecontrolleren ikke fra Defender for Endpoint. Du kan finde flere oplysninger i dokumentationen til Defender for Endpoint.

Næste trin

Du kan få flere oplysninger under Administrer og opdater Microsoft Defender for Identity sensorer.