Aktivere Microsoft Defender for identitet funksjoner direkte på en domenekontroller

Microsoft Defender for endepunkt kunder som allerede har koblet domenekontrollerne sine til Defender for Endpoint, kan aktivere Microsoft Defender for identitet funksjoner direkte på en domenekontroller i stedet for å bruke en Microsoft Defender for identitet sensor.

Denne artikkelen beskriver hvordan du aktiverer og tester Microsoft Defender for identitet funksjoner på domenekontrolleren.

Viktig

Informasjonen i denne artikkelen er knyttet til en funksjon som for øyeblikket er begrenset tilgjengelig for et utvalgt sett med brukstilfeller. Hvis du ikke ble bedt om å bruke siden Defender for identitetsaktivering , bruker du vår primære distribusjonsveiledning i stedet.

Forutsetninger

Før du aktiverer Defender for Identity-funksjonene på domenekontrolleren, må du kontrollere at miljøet er i samsvar med forutsetningene i denne delen.

Defender for identitetssensorkonflikter

Konfigurasjonen som er beskrevet i denne artikkelen, støtter ikke side-ved-side-installasjon med en eksisterende Defender for Identity-sensor, og anbefales ikke som erstatning for Defender for Identity-sensoren.

Kontroller at domenekontrolleren der du planlegger å aktivere Defender for Identity-funksjoner, ikke har distribuert en Defender for Identity-sensor .

Systemkrav

Direct Defender for Identity-funksjoner støttes bare på domenekontrollere ved hjelp av ett av følgende operativsystemer:

• Windows Server 2019
• Windows Server 2022

Du må også ha kumulativ oppdatering for mars 2024 installert.

Viktig

Etter å ha installert den kumulative oppdateringen for mars 2024, kan LSASS oppleve en minnelekkasje på domenekontrollere når lokale og skybaserte Active Directory Domain Controllers-tjenesten Kerberos-godkjenningsforespørsler.

Dette problemet er løst i KB5037422 for ikke-båndoppdatering.

Defender for endepunktpålasting

Domenekontrolleren må være pålastet for å Microsoft Defender for endepunkt.

Hvis du vil ha mer informasjon, kan du se Om bord på en Windows-server.

Nødvendige tillatelser

Hvis du vil ha tilgang til aktiveringssiden for Defender for identitet, må du enten være sikkerhetsadministrator eller ha følgende Unified RBAC-tillatelser:

• Authorization and settings / System settings (Read and manage)
• Authorization and settings / Security setting (All permissions)

Hvis du vil ha mer informasjon, kan du se:

• Enhetlig rollebasert tilgangskontroll RBAC
• Opprette en rolle for å få tilgang til og behandle roller og tillatelser

Tilkoblingskrav

Defender for Identity-funksjoner direkte på domenekontrollere bruker Defender for endepunkt-URL-endepunkter for kommunikasjon, inkludert forenklede URL-adresser.

Hvis du vil ha mer informasjon, kan du se Konfigurere nettverksmiljøet for å sikre tilkobling med Defender for Endpoint.

Konfigurer Windows-overvåking

Defender for identitetsgjenkjenning er avhengig av bestemte oppføringer i Windows-hendelsesloggen for å forbedre gjenkjenninger og gi ekstra informasjon om brukerne som utfører bestemte handlinger, for eksempel NTLM-pålogginger og endringer i sikkerhetsgrupper.

Konfigurer Windows-hendelsessamlingen på domenekontrolleren for å støtte Defender for identitetsgjenkjenning. Hvis du vil ha mer informasjon, kan du se Hendelsessamling med Microsoft Defender for identitet og Konfigurere overvåkingspolicyer for Windows-hendelseslogger.

Du vil kanskje bruke PowerShell-modulen Defender for Identity til å konfigurere de nødvendige innstillingene. Hvis du vil ha mer informasjon, kan du se:

• DefenderForIdentity-modul
• Defender for identitet i PowerShell-galleriet

Følgende kommando definerer for eksempel alle innstillingene for domenet, oppretter gruppepolicyobjekter og kobler dem sammen.

Set-MDIConfiguration -Mode Domain -Configuration All

Aktiver Defender for identitetsfunksjoner

Når du har sikret at miljøet er fullstendig konfigurert, aktiverer du Microsoft Defender for identitet-funksjonene på domenekontrolleren.

1. Velg Aktivering av Innstillinger-identiteter >>i Defender-portalen.

   Aktiveringssiden viser alle registrerte og kvalifiserte domenekontrollere.

2. Velg domenekontrolleren der du vil aktivere Defender for Identitet-funksjonene, og velg deretter Aktiver. Bekreft valget når du blir bedt om det.

Når aktiveringen er fullført, vises et grønt banner for suksess. Velg Klikk her i banneret for å se de pålastede serverne for å gå til Innstillingeridentitetssensorer-siden >>, der du kan kontrollere sensortilstanden.

Test aktiverte funksjoner

Første gang du aktiverer Defender for Identity-funksjoner på domenekontrolleren, kan det ta opptil en time før den første sensoren vises som Kjører på Sensorer-siden . Påfølgende aktiveringer vises innen fem minutter.

Defender for Identity-funksjoner på domenekontrollere støtter for øyeblikket følgende Defender for Identity-funksjonalitet:

• Undersøkelsesfunksjoner på ITDR-instrumentbordet, identitetsbeholdningen og avansert jaktdata for identitet
• Anbefalte sikkerhetsstillingsanbefalinger
• Angitte varslingsgjenkjenninger
• Utbedringshandlinger
• Automatisk angrepsavbrudd

Bruk følgende fremgangsmåter for å teste miljøet for Defender for Identity-funksjoner på en domenekontroller.

Kontrollere ITDR-instrumentbordet

Velg Instrumentbord for identiteter > i Defender-portalen, og se gjennom detaljene som vises, og se etter forventede resultater fra miljøet.

Hvis du vil ha mer informasjon, kan du se Arbeide med Defender for Identitys ITDR-instrumentbord (forhåndsvisning).

Bekreft sidedetaljer for enhet

Bekreft at enheter, for eksempel domenekontrollere, brukere og grupper, fylles ut som forventet.

Se etter følgende detaljer i Defender-portalen:

• Enhetsenheter: Velg aktivaenheter>, og velg maskinen for den nye sensoren. Defender for Identity-hendelser vises på enhetens tidslinje.

• Brukerenheter. Velg Aktivabrukere>, og se etter brukere fra et nylig pålastet domene. Du kan også bruke alternativet globalt søk til å søke etter bestemte brukere. Sider med brukerdetaljer bør inneholde oversikt, observert i organisasjonen og tidslinjedata .

• Gruppeenheter: Bruk globalt søk til å finne en brukergruppe, eller pivotere fra en bruker- eller enhetsdetaljside der gruppedetaljer vises. Se etter detaljer om gruppemedlemskap, vis gruppebrukere og gruppetidslinjedata.

  Hvis det ikke finnes noen hendelsesdata på gruppetidslinjen, må du kanskje opprette noen manuelt. Du kan for eksempel gjøre dette ved å legge til og fjerne brukere fra gruppen i Active Directory.

Hvis du vil ha mer informasjon, kan du se Undersøke aktiva.

Test avanserte jakttabeller

Bruk følgende eksempelspørringer på Avansert jakt-siden i Defender-portalen for å kontrollere at dataene vises i relevante tabeller som forventet for miljøet ditt:

IdentityDirectoryEvents
| where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN

IdentityInfo 
| where AccountDomain contains "domain" // insert domain

IdentityQueryEvents 
| where DeviceName contains "DC_FQDN" // insert domain controller FQDN

Hvis du vil ha mer informasjon, kan du se Avansert jakt i Microsoft Defender-portalen.

Anbefalinger for Test Identity Security Posture Management (ISPM)

Defender for Identity-funksjoner på domenekontrollere støtter følgende ISPM-vurderinger:

• Installer Defender for identitetssensor på alle domenekontrollere
• Microsoft LAPS-bruk
• Løse usikre domenekonfigurasjoner
• Angi en honeytoken-konto
• Usikre kontoattributter
• Usikre SID-loggattributter

Vi anbefaler at du simulerer risikabel atferd i et testmiljø for å utløse støttede vurderinger og bekrefte at de vises som forventet. Eksempel:

1. Utløs en ny løsning for usikre domenekonfigurasjoner ved å angi Active Directory-konfigurasjonen til en ikke-kompatibel tilstand, og deretter returnere den til en kompatibel tilstand. Kjør for eksempel følgende kommandoer:

   Slik angir du en ikke-kompatibel tilstand

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}
   

   Slik returnerer du den til en kompatibel tilstand:

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}
   

   Slik kontrollerer du den lokale konfigurasjonen:

   Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuota
   

2. Velg Anbefalte handlinger i Microsoft Secure Score for å se etter en ny anbefaling for løs usikre domenekonfigurasjoner . Det kan være lurt å filtrere anbefalinger etter Defender for Identitet-produktet .

For mer informasjon, se Microsoft Defender for identitet sikkerhetsstillingsvurderinger

Test varslingsfunksjonalitet

Følgende varsler støttes av Defender for Identity-funksjoner på domenekontrollere:

• Rekognosering av kontoopplisting
• Active Directory-attributtene Rekognosering ved hjelp av LDAP
• Exchange Server ekstern kjøring av kode (CVE-2021-26855)
• Honeytoken-brukerattributter endret
• Honeytoken ble forespurt via LDAP
• Godkjenningsaktivitet for Honeytoken
• Medlemskap i Honeytoken-gruppen endret
• Forsøk på ekstern kjøring av kode
• Rekognosering av sikkerhetskontohaver (LDAP)
• Mistenkelig oppretting av tjeneste
• Mistenkt NTLM-videresendingsangrep (Exchange-konto)

• Mistenkelig endring av attributtet Ressursbasert avgrenset delegering av en maskinkonto
• Mistenkelige tillegg til sensitive grupper
• Mistenkelig endring av et dNSHostName-attributt (CVE-2022-26923)
• Mistenkelig endring av et sAMNameAccount-attributt (CVE-2021-42278 og CVE-2021-42287)
• Mistenkt DCShadow-angrep (nivåheving av domenekontroller)
• Mistenkt DFSCoerce-angrep ved hjelp av Distributed File System Protocol 
• Mistenkt DCShadow-angrep (forespørsel om replikering av domenekontroller)
• Mistenkt kontoovertakelse ved hjelp av skyggelegitimasjon
• Mistenkt SID-History injeksjon
• Mistenkt AD FS DKM-nøkkel lest

Test varselfunksjonalitet ved å simulere risikabel aktivitet i et testmiljø. Eksempel:

• Merk en konto som en honeytoken-konto, og prøv deretter å logge på honeytoken-kontoen mot den aktiverte domenekontrolleren.
• Opprett en mistenkelig tjeneste på domenekontrolleren.
• Kjør en ekstern kommando på domenekontrolleren som en administrator som er logget på fra arbeidsstasjonen.

Hvis du vil ha mer informasjon, kan du se Undersøke sikkerhetsvarsler for Defender for identitet i Microsoft Defender XDR.

Handlinger for testutbedring

Test utbedringshandlinger på en testbruker. Eksempel:

1. Gå til brukerdetaljersiden for en testbruker i Defender-portalen.

2. Velg ett eller alle av følgende fra Alternativer-menyen, én om gangen:

   • Deaktiver bruker i AD
   • Aktiver bruker i AD
   • Fremtving tilbakestilling av passord

3. Kontroller Active Directory for den forventede aktiviteten.

Obs!

Gjeldende versjon samler ikke inn brukerkontokontrollflaggene (UAC) på riktig måte. Så deaktiverte brukere vil fremdele vises som aktivert i portalen.

Hvis du vil ha mer informasjon, kan du se Utbedringshandlinger i Microsoft Defender for identitet.

Deaktiver Defender for Identitet-funksjoner på domenekontrolleren

Hvis du vil deaktivere Defender for Identity-funksjoner på domenekontrolleren, sletter du den fra Sensorer-siden:

1. Velg Innstillingeridentitetssensorer >>i Defender-portalen.
2. Velg domenekontrolleren der du vil deaktivere Defender for Identitet-funksjoner, velg Slett og bekreft valget.

Deaktivering av Defender for Identity-funksjoner fra domenekontrolleren fjerner ikke domenekontrolleren fra Defender for Endpoint. Hvis du vil ha mer informasjon, kan du se dokumentasjonen for Defender for Endpoint.

Neste trinn

Hvis du vil ha mer informasjon, kan du se Administrere og oppdatere Microsoft Defender for identitet sensorer.