Konfigurowanie czujników dla usług AD FS, AD CS i Microsoft Entra Connect

Zainstaluj czujniki usługi Defender for Identity na serwerach Active Directory Federation Services (AD FS), Active Directory Certificate Services (AD CS) i Microsoft Entra Connect, aby chronić je przed atakami lokalnymi i hybrydowymi. W tym artykule opisano kroki instalacji.

Te zagadnienia mają zastosowanie:

• W przypadku środowisk usług AD FS czujniki usługi Defender for Identity są obsługiwane tylko na serwerach federacyjnych. Nie są one wymagane na serwerach sieci Web serwer proxy aplikacji (WAP).
• W przypadku środowisk AD CS nie trzeba instalować czujników na żadnych serwerach usług AD CS, które są w trybie offline.
• W przypadku serwerów Microsoft Entra Connect należy zainstalować czujniki na serwerach aktywnych i przejściowych.

Wymagania wstępne

Wymagania wstępne dotyczące instalowania czujników usługi Defender for Identity na serwerach usług AD FS, AD CS lub Microsoft Entra Connect są takie same jak w przypadku instalowania czujników na kontrolerach domeny. Aby uzyskać więcej informacji, zobacz Microsoft Defender for Identity wymagania wstępne.

Czujnik zainstalowany na serwerze usług AD FS, AD CS lub Microsoft Entra Connect nie może używać konta usługi lokalnej do nawiązywania połączenia z domeną. Zamiast tego należy skonfigurować konto usługi katalogowej.

Ponadto czujnik Defender for Identity dla usług AD CS obsługuje tylko serwery AD CS z usługą roli urzędu certyfikacji.

Konfigurowanie kolekcji zdarzeń

Jeśli pracujesz z serwerami usług AD FS, AD CS lub Microsoft Entra Connect, upewnij się, że inspekcja została skonfigurowana zgodnie z potrzebami. Więcej informacji można znaleźć w następujących artykułach:

• AD FS:

  • Wymagane zdarzenia usług AD FS
  • Konfigurowanie inspekcji w usługach AD FS

• AD CS:

  • Wymagane zdarzenia usługi AD CS
  • Konfigurowanie inspekcji w usłudze AD CS

• Microsoft Entra Connect:

  • Wymagane zdarzenia Microsoft Entra Connect
  • Konfigurowanie inspekcji w programie Microsoft Entra Connect

Konfigurowanie uprawnień do odczytu dla bazy danych usług AD FS

Aby czujniki działające na serwerach usług AD FS miały dostęp do bazy danych usług AD FS, należy udzielić uprawnień do odczytu (db_datareader) dla odpowiedniego konta usługi katalogowej.

Jeśli masz więcej niż jeden serwer usług AD FS, upewnij się, że przyznaj to uprawnienie we wszystkich z nich. Uprawnienia bazy danych nie są replikowane między serwerami.

Skonfiguruj serwer SQL, aby zezwolić na konto usługi katalogowej z następującymi uprawnieniami do bazy danych AdfsConfiguration :

• połączyć
• Zaloguj się
• czytać
• wybrać

Uwaga

Jeśli baza danych usług AD FS działa na dedykowanym serwerze SQL zamiast lokalnego serwera usług AD FS i używasz konta usługi zarządzanej grupy (gMSA) jako konta usługi katalogowej, upewnij się, że udzielasz serwerowi SQL wymaganych uprawnień do pobierania hasła gMSA.

Udzielanie dostępu do bazy danych usług AD FS

Udzielanie dostępu do bazy danych usług AD FS przy użyciu SQL Server Management Studio, Języka Transact-SQL (T-SQL) lub programu PowerShell.

Na przykład następujące polecenia mogą być przydatne, jeśli używasz wewnętrzna baza danych systemu Windows (WID) lub zewnętrznego serwera SQL.

W poniższych przykładowych kodach:

• [DOMAIN1\mdiSvc01] jest użytkownikiem usług katalogowych obszaru roboczego. Jeśli pracujesz z usługą gMSA, dołącz $ do końca nazwy użytkownika. Przykład: [DOMAIN1\mdiSvc01$].
• AdfsConfigurationV4 jest przykładem nazwy bazy danych usług AD FS i może się różnić.
• server=\.\pipe\MICROSOFT##WID\tsql\queryjest parametry połączenia do bazy danych, jeśli używasz WID.

Porada

Jeśli nie znasz parametry połączenia, wykonaj kroki opisane w dokumentacji Windows Server.

Aby udzielić czujnikowi dostępu do bazy danych usług AD FS przy użyciu języka T-SQL:

USE [master]
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
USE [AdfsConfigurationV4]
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]
GRANT CONNECT TO [DOMAIN1\mdiSvc01]
GRANT SELECT TO [DOMAIN1\mdiSvc01]
GO

Aby udzielić czujnikowi dostępu do bazy danych usług AD FS przy użyciu programu PowerShell:

$ConnectionString = 'server=\\.\pipe\MICROSOFT##WID\tsql\query;database=AdfsConfigurationV4;trusted_connection=true;'
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [AdfsConfigurationV4]; 
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]; 
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]; 
GRANT CONNECT TO [DOMAIN1\mdiSvc01]; 
GRANT SELECT TO [DOMAIN1\mdiSvc01];
"@
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

Konfigurowanie uprawnień dla bazy danych programu Microsoft Entra Connect (ADSync)

Uwaga

Ta sekcja ma zastosowanie tylko wtedy, gdy baza danych Entra Connect jest hostowana w zewnętrznym wystąpieniu serwera SQL.

Czujniki działające na serwerach Microsoft Entra Connect muszą mieć dostęp do bazy danych ADSync i mieć uprawnienia do wykonywania odpowiednich procedur składowanych. Jeśli masz więcej niż jeden serwer Microsoft Entra Connect, upewnij się, że jest on uruchamiany we wszystkich z nich.

Aby udzielić czujnikowi uprawnień do bazy danych Microsoft Entra Connect ADSync przy użyciu programu PowerShell:

$entraConnectServerDomain = $env:USERDOMAIN
$entraConnectServerComputerAccount = $env:COMPUTERNAME
$entraConnectDBName = (Get-ItemProperty 'registry::HKLM\SYSTEM\CurrentControlSet\Services\ADSync\Parameters' -Name 'DBName').DBName
$entraConnectSqlServer = (Get-ItemProperty 'registry::HKLM\SYSTEM\CurrentControlSet\Services\ADSync\Parameters' -Name 'Server').Server
$entraConnectSqlInstance = (Get-ItemProperty 'registry::HKLM\SYSTEM\CurrentControlSet\Services\ADSync\Parameters' -Name 'SQLInstance').SQLInstance

$ConnectionString = 'server={0}\{1};database={2};trusted_connection=true;' -f $entraConnectSqlServer, $entraConnectSqlInstance, $entraConnectDBName
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [{0}\{1}$] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [{2}];
CREATE USER [{0}\{1}$] FOR LOGIN [{0}\{1}$];
GRANT CONNECT TO [{0}\{1}$];
GRANT SELECT TO [{0}\{1}$];
GRANT EXECUTE ON OBJECT::{2}.dbo.mms_get_globalsettings TO [{0}\{1}$];
GRANT EXECUTE ON OBJECT::{2}.dbo.mms_get_connectors TO [{0}\{1}$];
"@ -f $entraConnectServerDomain, $entraConnectServerComputerAccount, $entraConnectDBName
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

Kroki po instalacji (opcjonalnie)

Podczas instalacji czujnika na serwerze usług AD FS, AD CS lub Microsoft Entra Connect jest automatycznie wybierany najbliższy kontroler domeny. Wykonaj następujące kroki, aby sprawdzić lub zmodyfikować wybrany kontroler domeny:

1. W Microsoft Defender XDR przejdź do pozycji Ustawienia>Czujniki tożsamości>, aby wyświetlić wszystkie czujniki usługi Defender for Identity.

2. Znajdź i wybierz czujnik zainstalowany na serwerze.

3. W otwartym okienku w polu Kontroler domeny (FQDN) wprowadź w pełni kwalifikowaną nazwę domeny (FQDN) kontrolerów domeny programu rozpoznawania nazw. Wybierz pozycję + Dodaj , aby dodać nazwę FQDN, a następnie wybierz pozycję Zapisz.

   

Inicjowanie czujnika może potrwać kilka minut. Po zakończeniu stan usługi usług AD FS, AD CS lub Microsoft Entra Połącz czujnik zmienia się z zatrzymanego na uruchomiony.

Weryfikowanie pomyślnego wdrożenia

Aby sprawdzić, czy czujnik usługi Defender for Identity został pomyślnie wdrożony na serwerze usług AD FS lub AD CS:

1. Sprawdź, czy usługa czujnika usługi Azure Advanced Threat Protection jest uruchomiona. Po zapisaniu ustawień czujnika usługi Defender for Identity uruchomienie usługi może potrwać kilka sekund.

2. Jeśli usługa nie zostanie uruchomiona, przejrzyj Microsoft.Tri.sensor-Errors.log plik znajdujący się domyślnie pod adresem %programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs.

3. Użyj usług AD FS lub AD CS, aby uwierzytelnić użytkownika w dowolnej aplikacji, a następnie sprawdź, czy usługa Defender for Identity zaobserwowała uwierzytelnianie.

   Na przykład wybierz pozycję Wyszukiwanie zagrożeń zaawansowanych>zagrożeń. W okienku Zapytanie wprowadź i uruchom jedno z następujących zapytań:

   • W przypadku usług AD FS:

     IdentityLogonEvents | where Protocol contains 'Adfs'
     

     Okienko wyników powinno zawierać listę zdarzeń z wartością LogonType logowania przy użyciu uwierzytelniania usługi ADFS.

   • W przypadku usługi AD CS:

     IdentityDirectoryEvents | where Protocol == "Adcs"
     

     W okienku wyników jest wyświetlana lista zdarzeń zakończonych niepowodzeniem i pomyślnym wystawieniem certyfikatu. Wybierz określony wiersz, aby wyświetlić dodatkowe szczegóły w okienku Inspekcja rekordu .

     

Zawartość pokrewna

Więcej informacji można znaleźć w następujących artykułach:

• Microsoft Defender for Identity wymagania wstępne
• Instalowanie czujnika Microsoft Defender for Identity