Konfigurieren von Sensoren für AD FS, AD CS und Microsoft Entra Connect

Installieren Sie Defender for Identity-Sensoren auf Active Directory-Verbunddienste (AD FS) (AD FS), Active Directory Certificate Services (AD CS) und Microsoft Entra Connect-Servern, um sie vor lokalen und Hybridangriffen zu schützen. In diesem Artikel werden die Installationsschritte beschrieben.

Es gelten folgende Überlegungen:

• Für AD FS-Umgebungen werden Defender for Identity-Sensoren nur auf den Verbundservern unterstützt. Sie sind auf WAP-Servern (Web Anwendungsproxy) nicht erforderlich.
• Für AD CS-Umgebungen müssen Sie keine Sensoren auf AD CS-Servern installieren, die offline sind.
• Für Microsoft Entra Connect-Server müssen Sie die Sensoren sowohl auf aktiven als auch auf Stagingservern installieren.

Voraussetzungen

Die Voraussetzungen für die Installation von Defender for Identity-Sensoren auf AD FS-, AD CS- oder Microsoft Entra Connect-Servern sind identisch mit der Installation von Sensoren auf Domänencontrollern. Weitere Informationen finden Sie unter Microsoft Defender for Identity Voraussetzungen.

Ein sensor, der auf einem AD FS-, AD CS- oder Microsoft Entra Connect-Server installiert ist, kann das lokale Dienstkonto nicht verwenden, um eine Verbindung mit der Domäne herzustellen. Stattdessen müssen Sie ein Verzeichnisdienstkonto konfigurieren.

Darüber hinaus unterstützt der Defender for Identity-Sensor für AD CS nur AD CS-Server mit Zertifizierungsstellenrollendienst.

Konfigurieren der Ereignissammlung

Wenn Sie mit AD FS-, AD CS- oder Microsoft Entra Connect-Servern arbeiten, stellen Sie sicher, dass Sie die Überwachung nach Bedarf konfiguriert haben. Weitere Informationen finden Sie unter:

• AD FS:

  • Erforderliche AD FS-Ereignisse
  • Konfigurieren der Überwachung in AD FS

• AD CS:

  • Erforderliche AD CS-Ereignisse
  • Konfigurieren der Überwachung in AD CS

• Microsoft Entra Connect:

  • Erforderliche Microsoft Entra Connect-Ereignisse
  • Konfigurieren der Überwachung auf Microsoft Entra Connect

Konfigurieren von Leseberechtigungen für die AD FS-Datenbank

Damit Sensoren, die auf AD FS-Servern ausgeführt werden, Zugriff auf die AD FS-Datenbank haben, müssen Sie Leseberechtigungen (db_datareader) für das entsprechende Verzeichnisdienstkonto erteilen.

Wenn Sie über mehrere AD FS-Server verfügen, stellen Sie sicher, dass Sie diese Berechtigung für alle erteilen. Datenbankberechtigungen werden nicht serverübergreifend repliziert.

Konfigurieren Sie sql server so, dass das Verzeichnisdienstkonto mit den folgenden Berechtigungen für die AdfsConfiguration-Datenbank zugelassen wird :

• verbinden
• Anmelden
• lesen
• select

Hinweis

Wenn die AD FS-Datenbank auf einem dedizierten SQL-Server anstelle des lokalen AD FS-Servers ausgeführt wird und Sie ein gruppenverwaltetes Dienstkonto (Group Managed Service Account, gMSA) als Verzeichnisdienstkonto verwenden, stellen Sie sicher, dass Sie dem SQL Server die erforderlichen Berechtigungen zum Abrufen des Kennworts des gMSA erteilen.

Gewähren des Zugriffs auf die AD FS-Datenbank

Gewähren Sie Zugriff auf die AD FS-Datenbank mithilfe von SQL Server Management Studio, Transact-SQL (T-SQL) oder PowerShell.

Die folgenden Befehle können beispielsweise hilfreich sein, wenn Sie die interne Windows-Datenbank (WID) oder einen externen SQL Server verwenden.

In diesen Beispielcodes:

• [DOMAIN1\mdiSvc01] ist der Verzeichnisdienstbenutzer des Arbeitsbereichs. Wenn Sie mit einem gMSA arbeiten, fügen Sie an das Ende des Benutzernamens an $ . Beispiel: [DOMAIN1\mdiSvc01$].
• AdfsConfigurationV4 ist ein Beispiel für einen AD FS-Datenbanknamen und kann variieren.
• server=\.\pipe\MICROSOFT##WID\tsql\queryist die Verbindungszeichenfolge zur Datenbank, wenn Sie WID verwenden.

Tipp

Wenn Sie Ihre Verbindungszeichenfolge nicht kennen, führen Sie die Schritte in der Windows Server-Dokumentation aus.

So gewähren Sie dem Sensor mithilfe von T-SQL Zugriff auf die AD FS-Datenbank:

USE [master]
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
USE [AdfsConfigurationV4]
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]
GRANT CONNECT TO [DOMAIN1\mdiSvc01]
GRANT SELECT TO [DOMAIN1\mdiSvc01]
GO

So gewähren Sie dem Sensor mithilfe von PowerShell Zugriff auf die AD FS-Datenbank:

$ConnectionString = 'server=\\.\pipe\MICROSOFT##WID\tsql\query;database=AdfsConfigurationV4;trusted_connection=true;'
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [AdfsConfigurationV4]; 
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]; 
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]; 
GRANT CONNECT TO [DOMAIN1\mdiSvc01]; 
GRANT SELECT TO [DOMAIN1\mdiSvc01];
"@
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

Konfigurieren von Berechtigungen für die Datenbank Microsoft Entra Connect (ADSync)

Hinweis

Dieser Abschnitt gilt nur, wenn die Entra Connect-Datenbank auf einem externen SQL Server-instance gehostet wird.

Sensoren, die auf Microsoft Entra Connect-Servern ausgeführt werden, müssen Zugriff auf die ADSync-Datenbank haben und über Ausführungsberechtigungen für die relevanten gespeicherten Prozeduren verfügen. Wenn Sie über mehrere Microsoft Entra Connect-Server verfügen, stellen Sie sicher, dass Sie diesen serverübergreifend ausführen.

So erteilen Sie dem Sensor Berechtigungen für die Microsoft Entra Connect ADSync-Datenbank mithilfe von PowerShell:

$entraConnectServerDomain = $env:USERDOMAIN
$entraConnectServerComputerAccount = $env:COMPUTERNAME
$entraConnectDBName = (Get-ItemProperty 'registry::HKLM\SYSTEM\CurrentControlSet\Services\ADSync\Parameters' -Name 'DBName').DBName
$entraConnectSqlServer = (Get-ItemProperty 'registry::HKLM\SYSTEM\CurrentControlSet\Services\ADSync\Parameters' -Name 'Server').Server
$entraConnectSqlInstance = (Get-ItemProperty 'registry::HKLM\SYSTEM\CurrentControlSet\Services\ADSync\Parameters' -Name 'SQLInstance').SQLInstance

$ConnectionString = 'server={0}\{1};database={2};trusted_connection=true;' -f $entraConnectSqlServer, $entraConnectSqlInstance, $entraConnectDBName
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [{0}\{1}$] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [{2}];
CREATE USER [{0}\{1}$] FOR LOGIN [{0}\{1}$];
GRANT CONNECT TO [{0}\{1}$];
GRANT SELECT TO [{0}\{1}$];
GRANT EXECUTE ON OBJECT::{2}.dbo.mms_get_globalsettings TO [{0}\{1}$];
GRANT EXECUTE ON OBJECT::{2}.dbo.mms_get_connectors TO [{0}\{1}$];
"@ -f $entraConnectServerDomain, $entraConnectServerComputerAccount, $entraConnectDBName
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

Schritte nach der Installation (optional)

Während der Sensorinstallation auf einem AD FS-, AD CS- oder Microsoft Entra Connect-Server wird automatisch der nächstgelegene Domänencontroller ausgewählt. Führen Sie die folgenden Schritte aus, um den ausgewählten Domänencontroller zu überprüfen oder zu ändern:

1. Wechseln Sie Microsoft Defender XDR zu Einstellungen>Identitäten>Sensoren, um alle Defender for Identity-Sensoren anzuzeigen.

2. Suchen Sie den Sensor, den Sie auf dem Server installiert haben, und wählen Sie ihn aus.

3. Geben Sie im daraufhin geöffneten Bereich im Feld Domänencontroller (FQDN) den vollqualifizierten Domänennamen (FQDN) der Resolver-Domänencontroller ein. Wählen Sie + Hinzufügen aus, um den FQDN hinzuzufügen, und wählen Sie dann Speichern aus.

   

Die Initialisierung des Sensors kann einige Minuten dauern. Nach Abschluss des Vorgangs ändert sich der Dienst status des AD FS-, AD CS- oder Microsoft Entra Connect-Sensors von beendet in ausgeführt.

Überprüfen der erfolgreichen Bereitstellung

So überprüfen Sie, ob Sie erfolgreich einen Defender for Identity-Sensor auf einem AD FS- oder AD CS-Server bereitgestellt haben:

1. Überprüfen Sie, ob der Azure Advanced Threat Protection-Sensordienst ausgeführt wird. Nachdem Sie die Defender for Identity-Sensoreinstellungen gespeichert haben, kann es einige Sekunden dauern, bis der Dienst gestartet wird.

2. Wenn der Dienst nicht gestartet wird, überprüfen Sie die Datei, die Microsoft.Tri.sensor-Errors.log sich standardmäßig unter %programfiles%\Azure Advanced Threat Protection sensor\Version X\Logsbefindet.

3. Verwenden Sie AD FS oder AD CS, um einen Benutzer bei einer beliebigen Anwendung zu authentifizieren, und überprüfen Sie dann, ob Defender for Identity die Authentifizierung beobachtet hat.

   Wählen Sie beispielsweise Hunting>Advanced Hunting aus. Geben Sie im Bereich Abfrage eine der folgenden Abfragen ein, und führen Sie sie aus:

   • Für AD FS:

     IdentityLogonEvents | where Protocol contains 'Adfs'
     

     Der Ergebnisbereich sollte eine Liste der Ereignisse mit dem Wert LogonTypefür Anmeldung mit ADFS-Authentifizierung enthalten.

   • Für AD CS:

     IdentityDirectoryEvents | where Protocol == "Adcs"
     

     Im Ergebnisbereich wird eine Liste der Ereignisse der fehlgeschlagenen und erfolgreichen Zertifikatausstellung angezeigt. Wählen Sie eine bestimmte Zeile aus, um zusätzliche Details im Bereich Datensatz überprüfen anzuzeigen.

     

Verwandte Inhalte

Weitere Informationen finden Sie unter:

• Voraussetzungen für Microsoft Defender for Identity
• Installieren des Microsoft Defender for Identity-Sensors