Instalar um sensor de Microsoft Defender para Identidade

Importante

O novo sensor é recomendado para clientes que pretendam implementar proteções de identidade principais em novos controladores de domínio com Windows Server 2019 ou mais recente. Para todas as outras infraestruturas de identidade ou para clientes que pretendam implementar as proteções de identidade mais robustas disponíveis a partir de Microsoft Defender para Identidade de hoje, recomendamos a implementação do sensor clássico. Saiba mais sobre o novo sensor

Este artigo descreve como instalar um sensor clássico Microsoft Defender para Identidade, incluindo um sensor autónomo. A recomendação predefinida é utilizar a IU. No entanto:

• Quando estiver a instalar o sensor no Windows Server Core ou a implementar o sensor através de um sistema de implementação de software, siga os passos para uma instalação silenciosa.

• Se estiver a utilizar um proxy, recomendamos que instale o sensor e configure o proxy em conjunto a partir da linha de comandos. Se precisar de atualizar as definições de proxy mais tarde, utilize o PowerShell ou a CLI do Azure. Para obter mais informações, veja Configurar o proxy de pontos finais e as definições de conectividade à Internet.

Pré-requisitos

Antes de começar, certifique-se de que tem:

• Uma cópia transferida do pacote de configuração do sensor do Defender para Identidade e da chave de acesso.

• O Microsoft .NET Framework 4.7 ou posterior instalado no computador. Se o Microsoft .NET Framework 4.7 ou posterior não estiver instalado, o pacote de configuração do sensor do Defender para Identidade instala-o. A instalação a partir do pacote de configuração pode exigir um reinício do servidor.

• Especificações de servidor relevantes e requisitos de rede. Para saber mais, confira:

  • Pré-requisitos do Microsoft Defender para Identidade
  • Configurar sensores para o AD FS, AD CS e Microsoft Entra Connect
  • Microsoft Defender para Identidade pré-requisitos do sensor autónomo

• Certificados de raiz fidedignos no seu computador. Se os certificados assinados pela AC de raiz fidedigna estiverem em falta, poderá receber um erro de ligação.

Instalar o sensor clássico com a IU

Execute os seguintes passos no controlador de domínio, no servidor Serviços de Federação do Active Directory (AD FS) (AD FS), no servidor dos Serviços de Certificados do Active Directory (AD CS) ou no servidor Entra Connect.

1. Verifique se o computador tem conectividade com os pontos finais de serviço cloud relevantes do Defender para Identidade.

2. Extraia os ficheiros de instalação do ficheiro .zip. Falha ao instalar diretamente a partir do ficheiro .zip.

3. Execute o sensor do Azure ATP setup.exe com privilégios elevados (Executar como administrador) e siga o assistente de configuração.

4. Na página De boas-vindas , selecione o seu idioma e, em seguida, selecione Seguinte.

   

   O assistente de instalação verifica automaticamente se o servidor é um controlador de domínio, um servidor do AD FS, um servidor do AD CS ou um servidor dedicado. O tipo de servidor determina o tipo de sensor:

   • Se o servidor for um controlador de domínio, servidor do AD FS ou servidor AD CS, o sensor do Defender para Identidade é instalado.
   • Se o servidor for dedicado, o sensor autónomo do Defender para Identidade é instalado.

   Por exemplo, o assistente apresenta a seguinte página para indicar que um sensor do Defender para Identidade está instalado nos controladores de domínio.

   

5. Selecione Avançar.

   O assistente emite um aviso se o controlador de domínio, o servidor do AD FS, o servidor do AD CS ou o servidor dedicado não cumprir os requisitos mínimos de hardware para a instalação.

   O aviso não impede que selecione Seguinte e continue com a instalação, que ainda pode ser a opção certa. Por exemplo, precisa de menos espaço para o armazenamento de dados quando está a instalar um pequeno ambiente de teste de laboratório.

   Para ambientes de produção, recomendamos vivamente que trabalhe com a ferramenta de dimensionamento do Defender para Identidade para garantir que os controladores de domínio ou os servidores dedicados cumprem os requisitos de capacidade.

6. Na página Configurar o sensor , introduza as seguintes informações para o pacote de configuração:

   • Caminho de instalação: a localização onde o sensor do Defender para Identidade está instalado. Por predefinição, o caminho é %programfiles%\Azure Advanced Threat Protection sensor. Deixe o valor padrão.
   • Chave de acesso: obtida a partir do portal Microsoft Defender num passo anterior.

   

7. Selecione Instalar. Os seguintes componentes são instalados e configurados durante a instalação do sensor do Defender para Identidade:

   • Serviço de sensor do Defender para Identidade e serviço de atualização do sensor do Defender para Identidade

   • Npcap OEM versão 1.0

     Importante

     O Npcap OEM versão 1.0 é instalado automaticamente se não existir outra versão do Npcap. Se já tiver o Npcap instalado devido a outros requisitos de software ou por qualquer outro motivo, certifique-se de que é a versão 1.0 ou posterior e de que tem as definições necessárias para o Defender para Identidade.

Ver versões do sensor

A partir da versão 2.176 do sensor, quando está a instalar o sensor a partir de um novo pacote, a versão em Adicionar/Remover Programas é apresentada com o número completo, como 2.176.x.y. Anteriormente, a versão era apresentada como a estática 2.0.0.0.

A versão instalada continua a aparecer mesmo depois de os serviços cloud do Defender para Identidade executarem atualizações automáticas.

Veja a versão real do sensor na página de definições do sensor Microsoft Defender XDR, no caminho executável ou na versão do ficheiro.

Executar uma instalação silenciosa do Defender para Identidade

A instalação automática do Defender para Identidade para sensores está configurada para reiniciar automaticamente o servidor no final da instalação, se necessário.

Agende uma instalação silenciosa apenas durante uma janela de manutenção. Devido a um erro do Windows Installer, não pode utilizar o norestart sinalizador de forma fiável para garantir que o servidor não é reiniciado.

Para monitorizar o progresso da implementação, monitorize os registos do instalador do Defender para Identidade no %localappdata%\Temp.

Instalação silenciosa através de um sistema de implementação

Quando estiver a implementar automaticamente um sensor do Defender para Identidade através do System Center Configuration Manager ou de outro sistema de implementação de software, recomendamos que crie dois pacotes de implementação:

• .NET Framework 4.7 ou posterior, o que pode incluir reiniciar o controlador de domínio
• Sensor do Defender para Identidade

Torne o pacote do sensor do Defender para Identidade dependente da implementação da implementação do pacote de .NET Framework. Se necessário, obtenha o pacote de implementação offline .NET Framework 4.7.

Comandos para executar uma instalação silenciosa

Utilize os seguintes comandos para efetuar uma instalação totalmente silenciosa do sensor do Defender para Identidade, utilizando a chave de acesso que copiou num passo anterior.

sintaxe cmd.exe

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"

Sintaxe do PowerShell

.\"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"

Observação

Quando estiver a utilizar a sintaxe do PowerShell, omitir o .\ prefácio resulta num erro que impede a instalação silenciosa.

Opções de instalação

Nome	Sintaxe	Obrigatório para instalação automática?	Descrição
Quiet	/quiet	Sim	Executa o instalador sem apresentar a IU ou pedidos.
Help	/help	Não	Fornece ajuda e referência rápida. Apresenta a utilização correta do comando de configuração, incluindo uma lista de todas as opções e comportamentos.
NetFrameworkCommandLineArguments="/q"	NetFrameworkCommandLineArguments="/q"	Sim	Especifica os parâmetros para a instalação do .NET Framework. Tem de ser definido para impor a instalação automática de .NET Framework.

Parâmetros de instalação

Nome	Sintaxe	Obrigatório para instalação automática?	Descrição
InstallationPath	InstallationPath=""	Não	Define o caminho para a instalação dos binários do sensor do Defender para Identidade. Caminho predefinido: %programfiles%\Azure Advanced Threat Protection Sensor.
AccessKey	AccessKey="\*\*"	Sim	Define a chave de acesso utilizada para registar o sensor do Defender para Identidade na área de trabalho do Defender para Identidade.
AccessKeyFile	AccessKeyFile=""	Não	Define a chave de acesso da área de trabalho a partir do caminho do ficheiro de texto fornecido.
DelayedUpdate	DelayedUpdate=true	Não	Define o mecanismo de atualização do sensor para atrasar a atualização durante 72 horas a partir do lançamento oficial de cada atualização de serviço. Para obter mais informações, veja Atualização atrasada do sensor.
LogsPath	LogsPath=""	Não	Define o caminho para os registos do sensor do Defender para Identidade. Caminho predefinido: %programfiles%\Azure Advanced Threat Protection Sensor.

Exemplos

Utilize os seguintes comandos para instalar automaticamente o sensor do Defender para Identidade:

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<access key value>"

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKeyFile="C:\Path\myAccessKeyFile.txt"

Comando para executar uma instalação automática com uma configuração de proxy

Utilize o seguinte comando para configurar o proxy juntamente com uma instalação automática:

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [ProxyUrl="http://proxy.internal.com"] [ProxyUserName="domain\proxyuser"] [ProxyUserPassword="ProxyPassword"]`

Observação

Se tiver configurado anteriormente o proxy através de opções legadas, incluindo o WinINet ou uma atualização de chave de registo, terá de efetuar quaisquer alterações com o mesmo método que utilizou originalmente. Para obter mais informações, veja Alterar a configuração do proxy com métodos legados.

Parâmetros de instalação

Nome	Sintaxe	Obrigatório para instalação automática?	Descrição
ProxyUrl	ProxyUrl="http://proxy.contoso.com:8080"	Não	Especifica o URL do proxy e o número da porta para o sensor do Defender para Identidade.
ProxyUserName	ProxyUserName="Contoso\ProxyUser"	Não	Se o seu serviço proxy precisar de autenticação, defina um nome de utilizador no DOMAIN\user formato.
ProxyUserPassword	ProxyUserPassword="P@ssw0rd"	Não	Especifica a palavra-passe do seu nome de utilizador proxy. O sensor do Defender para Identidade encripta as credenciais e armazena-as localmente.

Dica

Se precisar de atualizar as definições de proxy mais tarde, utilize o PowerShell ou a CLI do Azure. Para obter mais informações, veja Configurar o proxy de pontos finais e as definições de conectividade à Internet. Recomendamos que crie e utilize um registo DNS A personalizado para o servidor proxy. Em seguida, pode utilizar esse registo para alterar o endereço do servidor proxy quando necessário e utilizar o ficheiro de anfitriões para fins de teste.

Conteúdo relacionado

Depois de instalar um sensor, pode seguir passos adicionais:

• Se instalou o sensor num servidor do AD FS ou do AD CS, veja Passos de pós-instalação (opcional).

• Se instalou um sensor autónomo, consulte:

  • Escutar eventos SIEM no sensor autónomo do Defender para Identidade
  • Configurar o espelhamento de porta
  • Configurar o reencaminhamento de eventos do Windows para o sensor autónomo do Defender para Identidade

Próxima etapa

Configurar as definições do sensor Microsoft Defender para Identidade