Aktywowanie funkcji Microsoft Defender for Identity bezpośrednio na kontrolerze domeny

Ochrona punktu końcowego w usłudze Microsoft Defender klienci, którzy już włączyli swoje kontrolery domeny do usługi Defender for Endpoint, mogą aktywować Microsoft Defender for Identity możliwości bezpośrednio na kontrolerze domeny, zamiast korzystać z czujnik Microsoft Defender for Identity.

W tym artykule opisano sposób aktywowania i testowania możliwości Microsoft Defender for Identity na kontrolerze domeny.

Ważna

Informacje w tym artykule odnoszą się do funkcji, która jest obecnie w ograniczonej dostępności dla wybranego zestawu przypadków użycia. Jeśli nie zostałeś skierowany do korzystania ze strony aktywacji usługi Defender for Identity, zamiast tego skorzystaj z naszego głównego przewodnika wdrażania .

Wymagania wstępne

Przed uaktywnieniem funkcji usługi Defender for Identity na kontrolerze domeny upewnij się, że środowisko spełnia wymagania wstępne opisane w tej sekcji.

Konflikty czujnika usługi Defender for Identity

Konfiguracja opisana w tym artykule nie obsługuje instalacji równoległej z istniejącym czujnikiem usługi Defender for Identity i nie jest zalecana jako zamiennik czujnika usługi Defender for Identity.

Upewnij się, że kontroler domeny, na którym planujesz aktywować funkcje usługi Defender for Identity, nie ma wdrożonego czujnika usługi Defender for Identity .

Wymagania systemowe

Funkcje usługi Direct Defender for Identity są obsługiwane tylko na kontrolerach domeny przy użyciu jednego z następujących systemów operacyjnych:

• Windows Server 2019
• Windows Server 2022

Musisz również mieć zainstalowaną aktualizację zbiorczą z marca 2024 r.

Ważna

Po zainstalowaniu aktualizacji zbiorczej z marca 2024 r. w systemie LSASS może wystąpić przeciek pamięci na kontrolerach domeny, gdy żądania uwierzytelniania Kerberos w lokalnej i chmurowej usłudze domena usługi Active Directory Controllers.

Ten problem został rozwiązany w KB5037422 aktualizacji poza pasmem.

Dołączanie usługi Defender for Endpoint

Kontroler domeny musi być dołączony do Ochrona punktu końcowego w usłudze Microsoft Defender.

Aby uzyskać więcej informacji, zobacz Dołączanie serwera z systemem Windows.

Wymagane uprawnienia

Aby uzyskać dostęp do strony aktywacji usługi Defender for Identity, musisz być administratorem zabezpieczeń lub mieć następujące uprawnienia ujednoliconej kontroli dostępu opartej na rolach:

• Authorization and settings / System settings (Read and manage)
• Authorization and settings / Security setting (All permissions)

Więcej informacji można znaleźć w następujących artykułach:

• Ujednolicona kontrola dostępu oparta na rolach RBAC
• Tworzenie roli umożliwiającej dostęp do ról i uprawnień oraz zarządzanie nimi

Wymagania dotyczące łączności

Funkcje usługi Defender for Identity bezpośrednio na kontrolerach domeny używają punktów końcowych adresu URL punktu końcowego usługi Defender na potrzeby komunikacji, w tym uproszczonych adresów URL.

Aby uzyskać więcej informacji, zobacz Konfigurowanie środowiska sieciowego w celu zapewnienia łączności z usługą Defender for Endpoint.

Konfigurowanie inspekcji systemu Windows

Wykrywanie usługi Defender for Identity polega na określonych wpisach dziennika zdarzeń systemu Windows w celu ulepszenia wykrywania i udostępnienia dodatkowych informacji o użytkownikach wykonujących określone akcje, takie jak logowania NTLM i modyfikacje grup zabezpieczeń.

Skonfiguruj kolekcję zdarzeń systemu Windows na kontrolerze domeny, aby obsługiwać wykrywanie tożsamości w usłudze Defender. Aby uzyskać więcej informacji, zobacz Zbieranie zdarzeń za pomocą Microsoft Defender for Identity i Konfigurowanie zasad inspekcji dla dzienników zdarzeń systemu Windows.

Aby skonfigurować wymagane ustawienia, możesz użyć modułu Defender for Identity programu PowerShell. Więcej informacji można znaleźć w następujących artykułach:

• DefenderForIdentity Module
• Defender for Identity w Galeria programu PowerShell

Na przykład następujące polecenie definiuje wszystkie ustawienia domeny, tworzy obiekty zasad grupy i łączy je.

Set-MDIConfiguration -Mode Domain -Configuration All

Aktywowanie możliwości usługi Defender for Identity

Po upewnieniu się, że środowisko jest całkowicie skonfigurowane, aktywuj Microsoft Defender for Identity możliwości na kontrolerze domeny.

1. W portalu usługi Defender wybierz pozycję Ustawienia >Aktywacja tożsamości>.

   Na stronie Aktywacja są wyświetlane wszystkie wykryte i kwalifikujące się kontrolery domeny.

2. Wybierz kontroler domeny, na którym chcesz aktywować możliwości usługi Defender for Identity, a następnie wybierz pozycję Aktywuj. Potwierdź wybór po wyświetleniu monitu.

Po zakończeniu aktywacji zostanie wyświetlony zielony baner powodzenia. Na banerze wybierz pozycję Kliknij tutaj, aby wyświetlić dołączone serwery, aby przejść do strony Settings Identities Sensors (Czujniki tożsamości ustawień >>), na której można sprawdzić kondycję czujnika.

Testowe funkcje aktywowane

Po pierwszym aktywowaniu funkcji usługi Defender for Identity na kontrolerze domeny wyświetlenie pierwszego czujnika jako uruchomionego na stronie Czujniki może potrwać do godziny. Kolejne aktywacje są wyświetlane w ciągu pięciu minut.

Funkcje usługi Defender for Identity na kontrolerach domeny obsługują obecnie następujące funkcje usługi Defender for Identity:

• Funkcje badania na pulpicie nawigacyjnym ITDR, spisie tożsamości i zaawansowanych danych wyszukiwania zagrożeń tożsamości
• Określone zalecenia dotyczące stanu zabezpieczeń
• Określone wykrycia alertów
• Działania naprawcze
• Automatyczne zakłócenie ataku

Poniższe procedury umożliwiają przetestowanie środowiska pod kątem możliwości usługi Defender for Identity na kontrolerze domeny.

Sprawdzanie pulpitu nawigacyjnego ITDR

W portalu usługi Defender wybierz pozycję Pulpit nawigacyjny > tożsamości i przejrzyj wyświetlane szczegóły, sprawdzając oczekiwane wyniki ze środowiska.

Aby uzyskać więcej informacji, zobacz Praca z pulpitem nawigacyjnym ITDR usługi Defender for Identity (wersja zapoznawcza).

Potwierdzanie szczegółów strony jednostki

Upewnij się, że jednostki, takie jak kontrolery domeny, użytkownicy i grupy, są wypełniane zgodnie z oczekiwaniami.

W portalu usługi Defender sprawdź następujące szczegóły:

• Jednostki urządzenia: wybierz pozycję Urządzenia zasobów >i wybierz maszynę dla nowego czujnika. Zdarzenia usługi Defender for Identity są wyświetlane na osi czasu urządzenia.

• Jednostki użytkownika. Wybierz pozycję Użytkownicy zasobów > i sprawdź użytkowników z nowo dołączonych domen. Alternatywnie użyj opcji wyszukiwanie globalne, aby wyszukać określonych użytkowników. Strony szczegółów użytkownika powinny zawierać informacje przeglądowe, obserwowane w organizacji i dane osi czasu .

• Jednostki grupy: użyj wyszukiwanie globalne, aby znaleźć grupę użytkowników lub przestawić się na stronie szczegółów użytkownika lub urządzenia, na której są wyświetlane szczegóły grupy. Sprawdź szczegóły członkostwa w grupie, wyświetl użytkowników grupy i dane osi czasu grupy.

  Jeśli na osi czasu grupy nie znaleziono żadnych danych zdarzeń, może być konieczne utworzenie niektórych danych ręcznie. Na przykład należy to zrobić, dodając i usuwając użytkowników z grupy w usłudze Active Directory.

Aby uzyskać więcej informacji, zobacz Badanie zasobów.

Testowanie zaawansowanych tabel wyszukiwania zagrożeń

Na stronie Zaawansowane wyszukiwanie zagrożeń w portalu Defender użyj następujących przykładowych zapytań, aby sprawdzić, czy dane są wyświetlane w odpowiednich tabelach zgodnie z oczekiwaniami dla danego środowiska:

IdentityDirectoryEvents
| where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN

IdentityInfo 
| where AccountDomain contains "domain" // insert domain

IdentityQueryEvents 
| where DeviceName contains "DC_FQDN" // insert domain controller FQDN

Aby uzyskać więcej informacji, zobacz Zaawansowane wyszukiwanie zagrożeń w portalu Microsoft Defender.

Zalecenia dotyczące zarządzania stanem zabezpieczeń tożsamości (ISPM)

Funkcje usługi Defender for Identity na kontrolerach domeny obsługują następujące oceny programu ISPM:

• Instalowanie usługi Defender for Identity Sensor na wszystkich kontrolerach domeny
• Użycie usługi Microsoft LAPS
• Rozwiązywanie problemów z niezabezpieczonymi konfiguracjami domeny
• Ustawianie konta z honeytoken
• Niezabezpieczone atrybuty konta
• Niezabezpieczone atrybuty historii identyfikatorów SID

Zalecamy symulowanie ryzykownego zachowania w środowisku testowym w celu wyzwolenia obsługiwanych ocen i sprawdzenia, czy są one wyświetlane zgodnie z oczekiwaniami. Przykład:

1. Wyzwól nowe zalecenie Rozwiązywanie niezabezpieczonych konfiguracji domeny , ustawiając konfigurację usługi Active Directory na stan niezgodny, a następnie zwracając ją do stanu zgodnego. Na przykład uruchom następujące polecenia:

   Aby ustawić stan niezgodny

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}
   

   Aby przywrócić go do stanu zgodnego:

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}
   

   Aby sprawdzić konfigurację lokalną:

   Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuota
   

2. W obszarze Wskaźnik bezpieczeństwa firmy Microsoft wybierz pozycję Zalecane akcje , aby sprawdzić, czy nie ma nowego zalecenia dotyczącego rozwiązywania problemów z niezabezpieczonymi konfiguracjami domeny . Możesz filtrować rekomendacje według produktu Defender for Identity .

Aby uzyskać więcej informacji, zobacz oceny stanu zabezpieczeń Microsoft Defender for Identity

Testowanie funkcji alertów

Następujące alerty są obsługiwane przez funkcje usługi Defender for Identity na kontrolerach domeny:

• Rekonesans wyliczania konta
• Rekonesans atrybutów usługi Active Directory przy użyciu protokołu LDAP
• Exchange Server zdalne wykonywanie kodu (CVE-2021-26855)
• Zmodyfikowano atrybuty użytkownika z błędem Honeytoken
• Kwerenda o honeytoken była wysyłana za pośrednictwem protokołu LDAP
• Działanie uwierzytelniania w trybie honeytoken
• Zmieniono członkostwo w grupie honeytoken
• Zdalna próba wykonania kodu
• Rekonesans podmiotu zabezpieczeń (LDAP)
• Podejrzane tworzenie usługi
• Podejrzenie ataku przekaźnika NTLM (konto programu Exchange)

• Podejrzana modyfikacja atrybutu ograniczone delegowanie oparte na zasobach przez konto maszyny
• Podejrzane dodatki do grup poufnych
• Podejrzana modyfikacja atrybutu dNSHostName (CVE-2022-26923)
• Podejrzana modyfikacja atrybutu sAMNameAccount (CVE-2021-42278 i CVE-2021-42287)
• Podejrzenie ataku DCShadow (podwyższanie poziomu kontrolera domeny)
• Podejrzenie ataku DFSCoerce przy użyciu protokołu rozproszonego systemu plików 
• Podejrzenie ataku DCShadow (żądanie replikacji kontrolera domeny)
• Podejrzenie przejęcia konta przy użyciu poświadczeń w tle
• Podejrzenie wstrzyknięcia SID-History
• Podejrzenie odczytu klucza DKM usług AD FS

Testowanie funkcji alertów przez symulowanie ryzykownych działań w środowisku testowym. Przykład:

• Otaguj konto jako konto w stanie honeytoken, a następnie spróbuj zalogować się do konta honeytoken na aktywowanym kontrolerze domeny.
• Utwórz podejrzaną usługę na kontrolerze domeny.
• Uruchom polecenie zdalne na kontrolerze domeny jako administrator zalogowany ze stacji roboczej.

Aby uzyskać więcej informacji, zobacz Badanie alertów zabezpieczeń usługi Defender for Identity w Microsoft Defender XDR.

Testowanie akcji korygowania

Testowanie akcji korygowania dla użytkownika testowego. Przykład:

1. W portalu usługi Defender przejdź do strony szczegółów użytkownika testowego.

2. Z menu opcji wybierz dowolną lub wszystkie z następujących opcji, pojedynczo:

   • Wyłączanie użytkownika w usłudze AD
   • Włączanie użytkownika w usłudze AD
   • Wymuszanie resetowania hasła

3. Sprawdź usługę Active Directory pod kątem oczekiwanego działania.

Uwaga

Bieżąca wersja nie zbiera poprawnie flag kontroli konta użytkownika (UAC). W związku z tym wyłączoni użytkownicy nadal będą widoczni jako Włączone w portalu.

Aby uzyskać więcej informacji, zobacz Akcje korygowania w Microsoft Defender for Identity.

Dezaktywowanie funkcji usługi Defender for Identity na kontrolerze domeny

Jeśli chcesz dezaktywować funkcje usługi Defender for Identity na kontrolerze domeny, usuń je ze strony Czujniki :

1. W portalu usługi Defender wybierz pozycję Ustawienia > Czujniki tożsamości>.
2. Wybierz kontroler domeny, na którym chcesz dezaktywować funkcje usługi Defender for Identity, wybierz pozycję Usuń i potwierdź wybór.

Dezaktywowanie funkcji usługi Defender for Identity z kontrolera domeny nie powoduje usunięcia kontrolera domeny z usługi Defender for Endpoint. Aby uzyskać więcej informacji, zobacz dokumentację usługi Defender for Endpoint.

Następne kroki

Aby uzyskać więcej informacji, zobacz Zarządzanie czujnikami Microsoft Defender for Identity i aktualizowanie ich.