Configurare i sensori per AD FS, AD CS e Microsoft Entra Connect

Installare i sensori defender per identità in Active Directory Federation Services (AD FS), Servizi certificati Active Directory (AD CS) e Microsoft Entra Connettere i server per proteggerli da attacchi locali e ibridi. Questo articolo descrive i passaggi di installazione.

Queste considerazioni si applicano:

• Per gli ambienti AD FS, i sensori defender per identità sono supportati solo nei server federativi. Non sono necessari nei server web Application Proxy (WAP).
• Per gli ambienti di Servizi certificati Active Directory, non è necessario installare sensori in server Servizi certificati Active Directory offline.
• Per Microsoft Entra server Connect, è necessario installare i sensori sia nei server attivi che in quello di staging.

Prerequisiti

I prerequisiti per l'installazione dei sensori defender per identità nei server AD FS, AD CS o Microsoft Entra Connect sono gli stessi per l'installazione di sensori nei controller di dominio. Per altre informazioni, vedere Microsoft Defender per identità prerequisiti.

Un sensore installato in un server AD FS, AD CS o Microsoft Entra Connect non può usare l'account del servizio locale per connettersi al dominio. È invece necessario configurare un account del servizio directory.

Inoltre, il sensore Defender per identità per Servizi certificati Active Directory supporta solo i server servizi certificati Active Directory con servizio ruolo autorità di certificazione.

Configurare la raccolta di eventi

Se si lavora con i server AD FS, AD CS o Microsoft Entra Connect, assicurarsi di aver configurato il controllo in base alle esigenze. Per altre informazioni, vedere:

• AD FS:

  • Eventi AD FS obbligatori
  • Configurare il controllo in AD FS

• Servizi certificati Active Directory:

  • Eventi di Servizi certificati Active Directory obbligatori
  • Configurare il controllo in Servizi certificati Active Directory

• Microsoft Entra Connect:

  • Obbligatorio Microsoft Entra eventi Connect
  • Configurare il controllo in Microsoft Entra Connect

Configurare le autorizzazioni di lettura per il database AD FS

Per consentire ai sensori in esecuzione nei server AD FS di accedere al database AD FS, è necessario concedere autorizzazioni di lettura (db_datareader) per l'account del servizio directory pertinente.

Se si dispone di più di un server AD FS, assicurarsi di concedere questa autorizzazione a tutti. Le autorizzazioni del database non vengono replicate tra i server.

Configurare SQL Server per consentire l'account del servizio directory con le autorizzazioni seguenti per il database AdfsConfiguration :

• connettersi
• Accedi
• leggere
• selezionare

Nota

Se il database AD FS viene eseguito in un server SQL dedicato anziché nel server AD FS locale e si usa un account del servizio gestito di gruppo come account del servizio directory, assicurarsi di concedere al server SQL le autorizzazioni necessarie per recuperare la password del gMSA.

Concedere l'accesso al database AD FS

Concedere l'accesso al database AD FS usando SQL Server Management Studio, Transact-SQL (T-SQL) o PowerShell.

Ad esempio, i comandi seguenti potrebbero essere utili se si usa il Database interno di Windows (WID) o un server SQL esterno.

In questi codici di esempio:

• [DOMAIN1\mdiSvc01] è l'utente dei servizi directory dell'area di lavoro. Se si usa un account gMSA, aggiungere $ alla fine del nome utente. Ad esempio: [DOMAIN1\mdiSvc01$].
• AdfsConfigurationV4 è un esempio di nome di database AD FS e può variare.
• server=\.\pipe\MICROSOFT##WID\tsql\queryè il stringa di connessione al database se si usa WID.

Consiglio

Se non si conosce il stringa di connessione, seguire la procedura descritta nella documentazione di Windows Server.

Per concedere al sensore l'accesso al database AD FS tramite T-SQL:

USE [master]
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
USE [AdfsConfigurationV4]
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]
GRANT CONNECT TO [DOMAIN1\mdiSvc01]
GRANT SELECT TO [DOMAIN1\mdiSvc01]
GO

Per concedere al sensore l'accesso al database AD FS tramite PowerShell:

$ConnectionString = 'server=\\.\pipe\MICROSOFT##WID\tsql\query;database=AdfsConfigurationV4;trusted_connection=true;'
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [AdfsConfigurationV4]; 
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]; 
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]; 
GRANT CONNECT TO [DOMAIN1\mdiSvc01]; 
GRANT SELECT TO [DOMAIN1\mdiSvc01];
"@
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

Configurare le autorizzazioni per il database Microsoft Entra Connect (ADSync)

Nota

Questa sezione è applicabile solo se il database Entra Connect è ospitato in un'istanza di SQL Server esterna.

I sensori in esecuzione nei server Microsoft Entra Connect devono avere accesso al database ADSync e disporre delle autorizzazioni di esecuzione per le stored procedure pertinenti. Se si dispone di più di un Microsoft Entra server Connect, assicurarsi di eseguirlo in tutti.

Per concedere le autorizzazioni del sensore al database Microsoft Entra Connect ADSync tramite PowerShell:

$entraConnectServerDomain = $env:USERDOMAIN
$entraConnectServerComputerAccount = $env:COMPUTERNAME
$entraConnectDBName = (Get-ItemProperty 'registry::HKLM\SYSTEM\CurrentControlSet\Services\ADSync\Parameters' -Name 'DBName').DBName
$entraConnectSqlServer = (Get-ItemProperty 'registry::HKLM\SYSTEM\CurrentControlSet\Services\ADSync\Parameters' -Name 'Server').Server
$entraConnectSqlInstance = (Get-ItemProperty 'registry::HKLM\SYSTEM\CurrentControlSet\Services\ADSync\Parameters' -Name 'SQLInstance').SQLInstance

$ConnectionString = 'server={0}\{1};database={2};trusted_connection=true;' -f $entraConnectSqlServer, $entraConnectSqlInstance, $entraConnectDBName
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [{0}\{1}$] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [{2}];
CREATE USER [{0}\{1}$] FOR LOGIN [{0}\{1}$];
GRANT CONNECT TO [{0}\{1}$];
GRANT SELECT TO [{0}\{1}$];
GRANT EXECUTE ON OBJECT::{2}.dbo.mms_get_globalsettings TO [{0}\{1}$];
GRANT EXECUTE ON OBJECT::{2}.dbo.mms_get_connectors TO [{0}\{1}$];
"@ -f $entraConnectServerDomain, $entraConnectServerComputerAccount, $entraConnectDBName
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

Passaggi successivi all'installazione (facoltativo)

Durante l'installazione del sensore in un server AD FS, AD CS o Microsoft Entra Connect, viene selezionato automaticamente il controller di dominio più vicino. Per controllare o modificare il controller di dominio selezionato, seguire questa procedura:

1. In Microsoft Defender XDR passare a Impostazioni>Identità>Sensori per visualizzare tutti i sensori di Defender per identità.

2. Individuare e selezionare il sensore installato nel server.

3. Nel riquadro visualizzato, nella casella Controller di dominio (FQDN) immettere il nome di dominio completo (FQDN) dei controller di dominio del sistema di risoluzione. Selezionare + Aggiungi per aggiungere il nome di dominio completo e quindi selezionare Salva.

   

L'inizializzazione del sensore potrebbe richiedere alcuni minuti. Al termine, lo stato del servizio del sensore AD FS, AD CS o Microsoft Entra Connect passa dall'arrestoall'esecuzione.

Convalidare la distribuzione riuscita

Per verificare che sia stato distribuito correttamente un sensore Defender per identità in un server AD FS o AD CS:

1. Verificare che il servizio sensore Azure Advanced Threat Protection sia in esecuzione. Dopo aver salvato le impostazioni del sensore Defender per identità, l'avvio del servizio potrebbe richiedere alcuni secondi.

2. Se il servizio non viene avviato, esaminare il Microsoft.Tri.sensor-Errors.log file, disponibile per impostazione predefinita in %programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs.

3. Usare AD FS o AD CS per autenticare un utente in qualsiasi applicazione e quindi verificare che Defender per identità abbia osservato l'autenticazione.

   Ad esempio, selezionare Ricerca>ricerca avanzata. Nel riquadro Query immettere ed eseguire una delle query seguenti:

   • Per AD FS:

     IdentityLogonEvents | where Protocol contains 'Adfs'
     

     Il riquadro dei risultati deve includere un elenco di eventi con un valore LogonType di Accesso con autenticazione ADFS.

   • Per Servizi certificati Active Directory:

     IdentityDirectoryEvents | where Protocol == "Adcs"
     

     Il riquadro dei risultati mostra un elenco di eventi di rilascio del certificato non riuscito e con esito positivo. Selezionare una riga specifica per visualizzare altri dettagli nel riquadro Controlla record .

     

Contenuto correlato

Per altre informazioni, vedere:

• Prerequisiti di Microsoft Defender per identità
• Installare il sensore Microsoft Defender per identità