Aktivieren Microsoft Defender for Identity Funktionen direkt auf einem Domänencontroller

Microsoft Defender for Endpoint Kunden, die ihre Domänencontroller bereits in Defender für Endpunkt integriert haben, können Microsoft Defender for Identity Funktionen direkt auf einem Domänencontroller aktivieren, anstatt eine Microsoft Defender for Identity Sensor.

In diesem Artikel wird beschrieben, wie Sie Microsoft Defender for Identity Funktionen auf Ihrem Domänencontroller aktivieren und testen.

Wichtig

Die Informationen in diesem Artikel beziehen sich auf ein Feature, das derzeit für einen ausgewählten Satz von Anwendungsfällen nur eingeschränkt verfügbar ist. Wenn Sie nicht angewiesen wurden, die Defender for Identity-Aktivierungsseite zu verwenden, verwenden Sie stattdessen unseren Standard Bereitstellungsleitfaden.

Voraussetzungen

Stellen Sie vor dem Aktivieren der Defender for Identity-Funktionen auf Ihrem Domänencontroller sicher, dass Ihre Umgebung die Voraussetzungen in diesem Abschnitt erfüllt.

Defender for Identity-Sensorkonflikte

Die in diesem Artikel beschriebene Konfiguration unterstützt keine parallele Installation mit einem vorhandenen Defender for Identity-Sensor und wird nicht als Ersatz für den Defender for Identity-Sensor empfohlen.

Stellen Sie sicher, dass auf dem Domänencontroller, auf dem Sie Defender for Identity-Funktionen aktivieren möchten, kein Defender for Identity-Sensor bereitgestellt wird.

Systemanforderungen

Direct Defender for Identity-Funktionen werden nur auf Domänencontrollern mit einem der folgenden Betriebssysteme unterstützt:

• Windows Server 2019
• Windows Server 2022

Außerdem muss das kumulative Update vom März 2024 installiert sein.

Wichtig

Nach der Installation des kumulativen Updates vom März 2024 kann es bei LSASS zu einem Speicherverlust auf Domänencontrollern kommen, wenn lokale und cloudbasierte Active Directory-Domäne Controller Kerberos-Authentifizierungsanforderungen bereitstellen.

Dieses Problem wird im Out-of-Band-Update KB5037422 behoben.

Onboarding von Defender für Endpunkt

Ihr Domänencontroller muss in Microsoft Defender for Endpoint integriert werden.

Weitere Informationen finden Sie unter Onboarding eines Windows-Servers.

Erforderliche Berechtigungen

Für den Zugriff auf die Defender for Identity-Aktivierungsseite müssen Sie entweder Sicherheitsadministrator sein oder über die folgenden einheitlichen RBAC-Berechtigungen verfügen:

• Authorization and settings / System settings (Read and manage)
• Authorization and settings / Security setting (All permissions)

Weitere Informationen finden Sie unter:

• Einheitliche rollenbasierte Zugriffssteuerung (RBAC)
• Erstellen einer Rolle zum Zugreifen auf und Verwalten von Rollen und Berechtigungen

Konnektivitätsanforderungen

Defender for Identity-Funktionen direkt auf Domänencontrollern verwenden Defender für Endpunkt-URL-Endpunkte für die Kommunikation, einschließlich vereinfachter URLs.

Weitere Informationen finden Sie unter Konfigurieren Ihrer Netzwerkumgebung zum Sicherstellen der Konnektivität mit Defender für Endpunkt.

Konfigurieren der Windows-Überwachung

Defender for Identity-Erkennungen basieren auf bestimmten Windows-Ereignisprotokolleinträgen, um die Erkennungen zu verbessern und zusätzliche Informationen zu den Benutzern bereitzustellen, die bestimmte Aktionen ausführen, z. B. NTLM-Anmeldungen und Änderungen an Sicherheitsgruppen.

Konfigurieren Sie die Windows-Ereignissammlung auf Ihrem Domänencontroller, um Defender for Identity-Erkennungen zu unterstützen. Weitere Informationen finden Sie unter Ereignissammlung mit Microsoft Defender for Identity und Konfigurieren von Überwachungsrichtlinien für Windows-Ereignisprotokolle.

Möglicherweise möchten Sie das PowerShell-Modul defender for Identity verwenden, um die erforderlichen Einstellungen zu konfigurieren. Weitere Informationen finden Sie unter:

• DefenderForIdentity-Modul
• Defender for Identity im PowerShell-Katalog

Der folgende Befehl definiert beispielsweise alle Einstellungen für die Domäne, erstellt Gruppenrichtlinienobjekte und verknüpft sie.

Set-MDIConfiguration -Mode Domain -Configuration All

Aktivieren von Defender for Identity-Funktionen

Nachdem Sie sichergestellt haben, dass Ihre Umgebung vollständig konfiguriert ist, aktivieren Sie die Microsoft Defender for Identity Funktionen auf Ihrem Domänencontroller.

1. Wählen Sie im Defender-PortalEinstellungen > Identitäten >Aktivierung aus.

   Auf der Seite Aktivierung werden alle erkannten und berechtigten Domänencontroller aufgelistet.

2. Wählen Sie den Domänencontroller aus, auf dem Sie die Defender for Identity-Funktionen aktivieren möchten, und wählen Sie dann Aktivieren aus. Bestätigen Sie Ihre Auswahl, wenn Sie dazu aufgefordert werden.

Wenn die Aktivierung abgeschlossen ist, wird ein grünes Erfolgsbanner angezeigt. Wählen Sie im Banner Klicken Sie hier aus, um die integrierten Server anzuzeigen, um zur Seite Einstellungen > Identitäten Sensoren zu springen>, auf der Sie die Integrität Ihres Sensors überprüfen können.

Testen aktivierter Funktionen

Wenn Sie defender for Identity-Funktionen zum ersten Mal auf Ihrem Domänencontroller aktivieren, kann es bis zu einer Stunde dauern, bis der erste Sensor auf der Seite Sensoren als Wird ausgeführt angezeigt wird. Nachfolgende Aktivierungen werden innerhalb von fünf Minuten angezeigt.

Defender for Identity-Funktionen auf Domänencontrollern unterstützen derzeit die folgenden Defender for Identity-Funktionen:

• Untersuchungsfeatures für ITDR-Dashboard, Identitätsinventur und erweiterte Identitätssuchedaten
• Empfehlungen für den angegebenen Sicherheitsstatus
• Angegebene Warnungserkennungen
• Wartungsaktionen
• Automatische Angriffsunterbrechung

Verwenden Sie die folgenden Verfahren, um Ihre Umgebung für Defender for Identity-Funktionen auf einem Domänencontroller zu testen.

Überprüfen Sie die ITDR-Dashboard

Wählen Sie im Defender-Portal Identitätsdashboard > aus, und überprüfen Sie die angezeigten Details, und überprüfen Sie die erwarteten Ergebnisse aus Ihrer Umgebung.

Weitere Informationen finden Sie unter Arbeiten mit dem ITDR-Dashboard (Vorschau) von Defender for Identity.

Details der Entitätsseite bestätigen

Vergewissern Sie sich, dass Entitäten wie Domänencontroller, Benutzer und Gruppen erwartungsgemäß aufgefüllt werden.

Überprüfen Sie im Defender-Portal die folgenden Details:

• Geräteentitäten: Wählen Sie Assets > Geräte und dann den Computer für Ihren neuen Sensor aus. Defender for Identity-Ereignisse werden auf dem Gerät Zeitleiste angezeigt.

• Benutzerentitäten. Wählen Sie Assets Users (Ressourcenbenutzer>) aus, und suchen Sie nach Benutzern aus einer neu integrierten Domäne. Verwenden Sie alternativ die Option globale Suche, um nach bestimmten Benutzern zu suchen. Benutzerdetailseite sollten übersichts-, beobachtete in organization- und Zeitachsendaten enthalten.

• Gruppenentitäten: Verwenden Sie die globale Suche, um eine Benutzergruppe zu finden, oder navigieren Sie von einer Benutzer- oder Gerätedetailseite, auf der Gruppendetails angezeigt werden. Überprüfen Sie, ob Details zur Gruppenmitgliedschaft, Gruppenbenutzer und Gruppen Zeitleiste daten angezeigt werden.

  Wenn keine Ereignisdaten in der Gruppe Zeitleiste gefunden werden, müssen Sie einige möglicherweise manuell erstellen. Dazu können Sie beispielsweise Benutzer in Active Directory hinzufügen und daraus entfernen.

Weitere Informationen finden Sie unter Untersuchen von Ressourcen.

Testen von Tabellen für die erweiterte Suche

Verwenden Sie auf der Seite Erweiterte Suche im Defender-Portal die folgenden Beispielabfragen, um zu überprüfen, ob Daten in relevanten Tabellen wie erwartet für Ihre Umgebung angezeigt werden:

IdentityDirectoryEvents
| where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN

IdentityInfo 
| where AccountDomain contains "domain" // insert domain

IdentityQueryEvents 
| where DeviceName contains "DC_FQDN" // insert domain controller FQDN

Weitere Informationen finden Sie unter Erweiterte Suche im Microsoft Defender-Portal.

Testen von Ispm-Empfehlungen (Identity Security Posture Management)

Defender for Identity-Funktionen auf Domänencontrollern unterstützen die folgenden ISPM-Bewertungen:

• Installieren des Defender for Identity-Sensors auf allen Domänencontrollern
• Microsoft LAPS-Nutzung
• Auflösen unsicherer Domänenkonfigurationen
• Festlegen eines Honeytoken-Kontos
• Unsichere Kontoattribute
• Unsichere SID-Verlaufsattribute

Es wird empfohlen, risikobehaftetes Verhalten in einer Testumgebung zu simulieren, um unterstützte Bewertungen auszulösen und zu überprüfen, ob sie wie erwartet angezeigt werden. Zum Beispiel:

1. Lösen Sie eine neue Empfehlung zur Auflösung unsicherer Domänenkonfigurationen aus, indem Sie Ihre Active Directory-Konfiguration auf einen nicht konformen Zustand festlegen und dann in einen konformen Zustand zurücksetzen. Führen Sie beispielsweise die folgenden Befehle aus:

   So legen Sie einen nicht konformen Zustand fest

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}
   

   So kehren Sie in einen konformen Zustand zurück:

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}
   

   So überprüfen Sie Ihre lokale Konfiguration:

   Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuota
   

2. Wählen Sie unter Microsoft-Sicherheitsbewertung die Option Empfohlene Aktionen aus, um nach einer neuen Empfehlung zur Auflösung unsicherer Domänenkonfigurationen zu suchen. Möglicherweise möchten Sie Empfehlungen nach dem Defender for Identity-Produkt filtern.

Weitere Informationen finden Sie unter Sicherheitsstatusbewertungen von Microsoft Defender for Identity.

Testen der Warnungsfunktionalität

Die folgenden Warnungen werden von defender for Identity-Funktionen auf Domänencontrollern unterstützt:

• Kontoenumeration reconnaissance
• Reconnaissance von Active Directory-Attributen mithilfe von LDAP
• Exchange Server Remotecodeausführung (CVE-2021-26855)
• Honeytoken-Benutzerattribute geändert
• Honeytoken wurde über LDAP abgefragt.
• Honeytoken-Authentifizierungsaktivität
• Honeytoken-Gruppenmitgliedschaft geändert
• Remotecodeausführungsversuch
• Reconnaissance für Sicherheitsprinzipale (LDAP)
• Erstellen eines verdächtigen Diensts
• Vermuteter NTLM-Relayangriff (Exchange-Konto)

• Verdächtige Änderung des Attributs "Ressourcenbasierte eingeschränkte Delegierung" durch ein Computerkonto
• Verdächtige Ergänzungen zu sensiblen Gruppen
• Verdächtige Änderung eines dNSHostName-Attributs (CVE-2022-26923)
• Verdächtige Änderung eines sAMNameAccount-Attributs (CVE-2021-42278 und CVE-2021-42287)
• Vermuteter DCShadow-Angriff (Domänencontroller-Heraufstufung)
• Verdacht auf DFSCoerce-Angriff mit dem Distributed File System Protocol 
• Vermuteter DCShadow-Angriff (Domänencontrollerreplikationsanforderung)
• Mutmaßliche Kontoübernahme mit Schattenanmeldeinformationen
• Verdacht auf SID-History Injektion
• Vermuteter AD FS DKM-Schlüssellesevorgang

Testen Sie die Warnungsfunktionalität, indem Sie riskante Aktivitäten in einer Testumgebung simulieren. Zum Beispiel:

• Markieren Sie ein Konto als Honeytoken-Konto, und versuchen Sie dann, sich über den aktivierten Domänencontroller beim Honeytoken-Konto anzumelden.
• Erstellen Sie einen verdächtigen Dienst auf Ihrem Domänencontroller.
• Führen Sie einen Remotebefehl auf Ihrem Domänencontroller als Administrator aus, der von Ihrer Arbeitsstation angemeldet ist.

Weitere Informationen finden Sie unter Untersuchen von Defender for Identity-Sicherheitswarnungen in Microsoft Defender XDR.

Testen von Wiederherstellungsaktionen

Testwartungsaktionen für einen Testbenutzer. Zum Beispiel:

1. Navigieren Sie im Defender-Portal zur Seite mit den Benutzerdetails für einen Testbenutzer.

2. Wählen Sie im Optionsmenü nacheinander eine oder alle der folgenden Optionen aus:

   • Deaktivieren des Benutzers in AD
   • Benutzer in AD aktivieren
   • Kennwortzurücksetzung erzwingen

3. Überprüfen Sie Active Directory auf die erwartete Aktivität.

Hinweis

Die aktuelle Version erfasst die Flags für die Benutzerkontensteuerung (User Account Control, UAC) nicht ordnungsgemäß. Deaktivierte Benutzer würden im Portal weiterhin als Aktiviert angezeigt.

Weitere Informationen finden Sie unter Wartungsaktionen in Microsoft Defender for Identity.

Deaktivieren von Defender for Identity-Funktionen auf Ihrem Domänencontroller

Wenn Sie Defender for Identity-Funktionen auf Ihrem Domänencontroller deaktivieren möchten, löschen Sie ihn auf der Seite Sensoren :

1. Wählen Sie im Defender-Portal Einstellungen > Identitäten > Sensoren aus.
2. Wählen Sie den Domänencontroller aus, für den Sie Defender for Identity-Funktionen deaktivieren möchten, wählen Sie Löschen aus, und bestätigen Sie Ihre Auswahl.

Wenn Sie Defender for Identity-Funktionen von Ihrem Domänencontroller deaktivieren, wird der Domänencontroller nicht aus Defender für Endpunkt entfernt. Weitere Informationen finden Sie in der Dokumentation zu Defender für Endpunkt.

Nächste Schritte

Weitere Informationen finden Sie unter Verwalten und Aktualisieren Microsoft Defender for Identity Sensoren.