Configuración de sensores para AD FS, AD CS y Microsoft Entra Connect

Instale sensores de Defender for Identity en servidores de Servicios de federación de Active Directory (AD FS), servidores de Servicios de certificados de Active Directory (AD CS) y servidores de Microsoft Entra Connect para protegerlos frente a ataques locales e híbridos. En este artículo se describen los pasos de instalación.

Se aplican algunas consideraciones:

• En el caso de los entornos de AD FS, los sensores de Defender for Identity solo se admiten en los servidores de federación. No son necesarios en los servidores de proxy de aplicación web (WAP).
• En el caso de los entornos de AD CS, no es necesario instalar sensores en ningún servidor de AD CS que esté sin conexión.
• Para los servidores de Microsoft Entra Connect, debe instalar los sensores en servidores activos y provisionales.

Requisitos previos

Los requisitos previos para instalar sensores de Defender for Identity en servidores de AD FS, AD CS o Microsoft Entra Connect son los mismos que para instalar sensores en controladores de dominio. Consulte Requisitos previos de Microsoft Defender for Identity para obtener más información.

Un sensor instalado en un servidor de AD FS, AD CS o Microsoft Entra Connect no puede usar la cuenta de servicio local para conectarse al dominio. En su lugar, deberá configurar una cuenta de servicio de directorio.

Además, el sensor de Defender for Identity para AD CS solo admite servidores de AD CS con el servicio de rol de entidad de certificación.

Configuración de la recopilación de eventos

Si está trabajando con servidores de AD FS, AD CS o Microsoft Entra Connect, asegúrese de que haya configurado la auditoría según sea necesario. Para más información, vea:

• AD FS:

  • Eventos de AD FS necesarios
  • Configuración de la auditoría en AD FS

• AD CS:

  • Eventos de AD CS necesarios
  • Configuración de la auditoría en AD CS

• Microsoft Entra Connect:

  • Eventos de Microsoft Entra Connect necesarios
  • Configuración de la auditoría en Microsoft Entra Connect

Configuración de permisos de lectura para la base de datos de AD FS

Para que los sensores que se ejecutan en servidores de AD FS tengan acceso a la base de datos de AD FS, debe conceder permisos de lectura (db_datareader) para la Cuenta de servicios de directorio correspondiente.

Si tiene más de un servidor de AD FS, asegúrese de conceder este permiso en todos ellos. Los permisos de base de datos no se replican entre servidores.

Configure el servidor SQL Server para permitir la cuenta de Servicio de directorio con los permisos siguientes para la base de datos AdfsConfiguration:

• connect
• Iniciar sesión
• read
• select

Nota:

Si la base de datos de AD FS se ejecuta en un servidor SQL Server dedicado en lugar del servidor de AD FS local y usa una cuenta de servicio administrada por grupo (gMSA) como Cuenta de servicios de directorio (DSA), asegúrese de conceder al servidor SQL los permisos necesarios para recuperar la contraseña de gMSA.

Concesión de acceso a la base de datos de AD FS

Conceda acceso a la base de datos de AD FS mediante SQL Server Management Studio, Transact-SQL (T-SQL) o PowerShell.

Por ejemplo, los comandos siguientes pueden resultar útiles si usa Windows Internal Database (WID) o un servidor SQL Server externo.

En estos códigos de ejemplo:

• [DOMAIN1\mdiSvc01] es el usuario de servicios de directorio del área de trabajo. Si está trabajando con una gMSA, anexe $ al final del nombre de usuario. Por ejemplo: [DOMAIN1\mdiSvc01$].
• AdfsConfigurationV4 es un ejemplo de un nombre de base de datos de AD FS y puede variar.
• server=\.\pipe\MICROSOFT##WID\tsql\query es la cadena de conexión a la base de datos si usa WID.

Sugerencia

Si no conoce la cadena de conexión, siga los pasos descritos en la documentación de Windows Server.

Para conceder al sensor acceso a la base de datos de AD FS mediante T-SQL:

USE [master]
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
USE [AdfsConfigurationV4]
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]
GRANT CONNECT TO [DOMAIN1\mdiSvc01]
GRANT SELECT TO [DOMAIN1\mdiSvc01]
GO

Para conceder al sensor acceso a la base de datos de AD FS mediante PowerShell:

$ConnectionString = 'server=\\.\pipe\MICROSOFT##WID\tsql\query;database=AdfsConfigurationV4;trusted_connection=true;'
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [AdfsConfigurationV4]; 
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]; 
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]; 
GRANT CONNECT TO [DOMAIN1\mdiSvc01]; 
GRANT SELECT TO [DOMAIN1\mdiSvc01];
"@
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

Configuración de permisos para la base de datos de Microsoft Entra Connect (ADSync)

Nota:

Esta sección solo es aplicable si la base de datos entra Connect está hospedada en una instancia externa de SQL Server.

Los sensores que se ejecutan en los servidores de Microsoft Entra Connect deben tener acceso a la base de datos de ADSync y tener permisos de ejecución para los procedimientos almacenados pertinentes. Si tiene más de un servidor de Microsoft Entra Connect, asegúrese de ejecutarlo en todos ellos.

Para conceder permisos de sensor a la base de datos ADSync de Microsoft Entra Connect mediante PowerShell:

$entraConnectServerDomain = $env:USERDOMAIN
$entraConnectServerComputerAccount = $env:COMPUTERNAME
$entraConnectDBName = (Get-ItemProperty 'registry::HKLM\SYSTEM\CurrentControlSet\Services\ADSync\Parameters' -Name 'DBName').DBName
$entraConnectSqlServer = (Get-ItemProperty 'registry::HKLM\SYSTEM\CurrentControlSet\Services\ADSync\Parameters' -Name 'Server').Server
$entraConnectSqlInstance = (Get-ItemProperty 'registry::HKLM\SYSTEM\CurrentControlSet\Services\ADSync\Parameters' -Name 'SQLInstance').SQLInstance

$ConnectionString = 'server={0}\{1};database={2};trusted_connection=true;' -f $entraConnectSqlServer, $entraConnectSqlInstance, $entraConnectDBName
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [{0}\{1}$] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [{2}];
CREATE USER [{0}\{1}$] FOR LOGIN [{0}\{1}$];
GRANT CONNECT TO [{0}\{1}$];
GRANT SELECT TO [{0}\{1}$];
GRANT EXECUTE ON OBJECT::{2}.dbo.mms_get_globalsettings TO [{0}\{1}$];
GRANT EXECUTE ON OBJECT::{2}.dbo.mms_get_connectors TO [{0}\{1}$];
"@ -f $entraConnectServerDomain, $entraConnectServerComputerAccount, $entraConnectDBName
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

Pasos posteriores a la instalación (opcional)

Durante la instalación del sensor en un servidor de AD FS, AD CS o Microsoft Entra Connect, se selecciona automáticamente el controlador de dominio más cercano. Siga estos pasos para comprobar o modificar el controlador de dominio seleccionado:

1. En Microsoft Defender XDR, vaya a Configuraciones>Identidades>Sensores para ver todos los sensores de Defender for Identity.

2. Busque y seleccione el sensor que instaló en el servidor.

3. En el panel que se abre, en el cuadro Controlador de dominio (FQDN), escriba el nombre de dominio completo (FQDN) de los controladores de dominio del solucionador. Seleccione + Agregar para agregar el FQDN y, a continuación, seleccione Guardar.

   

La inicialización del sensor puede tardar un par de minutos. Cuando finaliza, el estado del servicio del sensor de AD FS, AD CS o Microsoft Entra Connect cambia de detenido a en ejecución.

Validación correcta de la implementación

Para validar que ha implementado correctamente el sensor de Defender for Identity en un servidor AD FS o AD CS:

1. Compruebe que el servicio de sensor Azure Advanced Threat Protection se esté ejecutando. Después de guardar la configuración del sensor de Defender for Identity, el servicio puede tardar unos segundos en iniciarse.

2. Si el servicio no se inicia, revise el archivo Microsoft.Tri.sensor-Errors.log, ubicado de forma predeterminada en %programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs.

3. Use AD FS o AD CS para autenticar a un usuario en cualquier aplicación y, a continuación, compruebe que Defender for Identity haya observado la autenticación.

   Por ejemplo, seleccione Búsqueda>Búsqueda avanzada. En el panel Consulta, introduzca y ejecute las siguientes consultas:

   • Para AD FS:

     IdentityLogonEvents | where Protocol contains 'Adfs'
     

     El panel de resultados debe incluir una lista de eventos con un valor de logonType de Inicio de sesión con autenticación de ADFS.

   • Para AD CS:

     IdentityDirectoryEvents | where Protocol == "Adcs"
     

     El panel de resultados muestra una lista de eventos de emisión de certificados con errores y correctos. Seleccione una fila específica para ver detalles adicionales en el panel Inspeccionar registro.

     

Contenido relacionado

Para más información, vea:

• Requisitos previos de Microsoft Defender for Identity
• Instalación del sensor de Microsoft Defender for Identity