Активация возможностей Microsoft Defender для удостоверений непосредственно на контроллере домена

Microsoft Defender для конечной точки клиенты, уже подключенные контроллеры домена к Defender для конечной точки, могут активировать возможности Microsoft Defender для удостоверений непосредственно на контроллере домена, а не использовать датчик Microsoft Defender для удостоверений.

В этой статье описывается активация и проверка возможностей Microsoft Defender для удостоверений на контроллере домена.

Важно!

Новый датчик рекомендуется клиентам, которые хотят развернуть основные средства защиты идентификации на новых контроллерах домена, работающих Windows Server 2019 или более поздней версии. Для любой другой инфраструктуры удостоверений или для клиентов, которые хотят развернуть самые надежные средства защиты идентификации, доступные из Microsoft Defender для удостоверений сегодня, мы рекомендуем развернуть классический датчик здесь.

Предварительные условия

Перед активацией возможностей Defender для удостоверений на контроллере домена убедитесь, что ваша среда соответствует предварительным требованиям, приведенным в этом разделе.

Конфликты датчиков Defender для удостоверений

Конфигурация, описанная в этой статье, не поддерживает параллельную установку с существующим датчиком Defender для удостоверений и не рекомендуется заменять датчик Defender для удостоверений.

Убедитесь, что контроллер домена, на котором вы планируете активировать возможности Defender для удостоверений, не имеет развернутого датчика Defender для удостоверений .

Требования к системе

Возможности Direct Defender для удостоверений поддерживаются только на контроллерах домена, используя одну из следующих операционных систем:

• Windows Server 2019 г. или более поздней версии
• Накопительное обновление за март 2024 г. или более поздней версии

Важно!

После установки накопительного обновления за март 2024 г. LSASS может столкнуться с утечкой памяти на контроллерах домена при запросах проверки подлинности Kerberos локальной и облачной службы контроллеров домен Active Directory.

Эта проблема устранена в KB5037422 обновления вне диапазона.

Подключение Defender для конечной точки

Контроллер домена должен быть подключен к Microsoft Defender для конечной точки.

Дополнительные сведения см. в разделе Подключение сервера Windows.

Необходимые разрешения

Чтобы получить доступ к странице Активация Defender для удостоверений, необходимо быть администратором безопасности или иметь следующие унифицированные разрешения RBAC:

• Authorization and settings / System settings (Read and manage)
• Authorization and settings / Security setting (All permissions)

Дополнительные сведения см. в разделе:

• Унифицированное управление доступом на основе ролей RBAC
• Создание роли для доступа к ролям и разрешениям и управления ими

Требования к подключению

Возможности Defender для удостоверений непосредственно на контроллерах домена используют конечные точки URL-адресов Defender для конечной точки для обмена данными, включая упрощенные URL-адреса.

Дополнительные сведения см. в статье Настройка сетевой среды для обеспечения подключения к Defender для конечной точки.

Настройка аудита Windows

Обнаружение Defender для удостоверений использует определенные записи журнала событий Windows для улучшения обнаружения и предоставления дополнительных сведений о пользователях, выполняющих определенные действия, таких как вход в NTLM и изменения групп безопасности.

Настройте коллекцию событий Windows на контроллере домена для поддержки обнаружения удостоверений Defender. Дополнительные сведения см. в разделах Сбор событий с помощью Microsoft Defender для удостоверений и Настройка политик аудита для журналов событий Windows.

Для настройки необходимых параметров может потребоваться использовать модуль PowerShell Defender для удостоверений. Дополнительные сведения см. в разделе:

• Модуль DefenderForIdentity
• Defender для удостоверений в коллекция PowerShell

Например, следующая команда определяет все параметры для домена, создает объекты групповой политики и связывает их.

Set-MDIConfiguration -Mode Domain -Configuration All

Активация возможностей Defender для удостоверений

Убедившись, что среда полностью настроена, активируйте возможности Microsoft Defender для удостоверений на контроллере домена.

1. На портале Defender выберите Параметры Активация> удостоверений>.

   На странице Активация перечислены все обнаруженные и допустимые контроллеры домена.

2. Выберите контроллер домена, на котором нужно активировать возможности Defender для удостоверений, а затем нажмите кнопку Активировать. Подтвердите выбор при появлении запроса.

По завершении активации отображается зеленый баннер успешного выполнения. В баннере выберите Щелкните здесь, чтобы просмотреть подключенные серверы, чтобы перейти на страницу Параметры > Датчики удостоверений>, где можно проверка работоспособности датчика.

Тестирование активированных возможностей

При первой активации возможностей Defender для удостоверений на контроллере домена для первого датчика может потребоваться до часа, чтобы на странице Датчики отображалось значение Работает. Последующие активации отображаются в течение пяти минут.

Возможности Defender для удостоверений в контроллерах домена в настоящее время поддерживают следующие функции Defender для удостоверений:

• Функции исследования на панели мониторинга ITDR, инвентаризация удостоверений и расширенные данные охоты на удостоверения
• Указанные рекомендации по обеспечению безопасности
• Указанные обнаружения оповещений
• Действия по исправлению
• Автоматическое прерывание атаки

Используйте следующие процедуры для тестирования возможностей Defender для удостоверений на контроллере домена.

Проверка панели мониторинга ITDR

На портале Defender выберите Панель мониторинга удостоверений > и просмотрите отображаемые сведения, проверив ожидаемые результаты из вашей среды.

Дополнительные сведения см. в разделе Работа с панелью мониторинга ITDR в Defender для удостоверений (предварительная версия).

Подтверждение сведений о странице сущности

Убедитесь, что сущности, такие как контроллеры домена, пользователи и группы, заполнены должным образом.

На портале Defender проверка для получения следующих сведений:

• Сущности устройств. Выберите Активы > Устройства и выберите компьютер для нового датчика. События Defender для удостоверений отображаются на временная шкала устройства.

• Сущности пользователей. Выберите Активы > Пользователи и проверка для пользователей из недавно подключенного домена. Кроме того, используйте параметр глобальный поиск для поиска конкретных пользователей. Страницы сведений о пользователях должны включать в себя обзор, наблюдаемое в организации и данные временной шкалы .

• Сущности группы. Используйте глобальный поиск для поиска группы пользователей или сводные сведения на странице сведений о пользователе или устройстве, где отображаются сведения о группе. Проверьте сведения о членстве в группах, просмотрите пользователей групп и временная шкала данных группы.

  Если на временная шкала группы данные о событиях не найдены, может потребоваться создать их вручную. Например, сделайте это, добавив и удалив пользователей из группы в Active Directory.

Дополнительные сведения см. в разделе Исследование ресурсов.

Тестирование таблиц расширенной охоты

На странице Расширенной охоты на портале Defender используйте следующие примеры запросов, чтобы проверка, что данные отображаются в соответствующих таблицах, как ожидалось для вашей среды:

IdentityDirectoryEvents
| where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN

IdentityInfo 
| where AccountDomain contains "domain" // insert domain

IdentityQueryEvents 
| where DeviceName contains "DC_FQDN" // insert domain controller FQDN

Дополнительные сведения см. в статье Расширенная охота на портале Microsoft Defender.

Рекомендации по управлению состоянием безопасности удостоверений (ISPM)

Рекомендуется имитировать рискованное поведение в тестовой среде, чтобы активировать поддерживаемые оценки и убедиться, что они отображаются должным образом. Например:

1. Запустите новую рекомендацию Разрешить небезопасные конфигурации домена , задав конфигурацию Active Directory в несоответствующее состояние, а затем возвратив ее в соответствующее состояние. Например, выполните следующие команды:

   Установка несоответствующего состояния

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}
   

   Чтобы вернуть его в соответствующее состояние, выполните приведенные далее действия.

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}
   

   Чтобы проверка локальную конфигурацию:

   Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuota
   

2. В разделе Оценка безопасности Майкрософт выберите Рекомендуемые действия, чтобы проверка для новой рекомендации По устранению небезопасных конфигураций домена. Вы можете отфильтровать рекомендации по продукту Defender для удостоверений .

Дополнительные сведения см. в статье Оценки состояния безопасности Microsoft Defender для удостоверений.

Проверка функциональности оповещений

Протестируйте функциональные возможности оповещений, имитируя рискованные действия в тестовой среде. Например:

• Пометьте учетную запись как учетную запись honeytoken, а затем попробуйте войти в учетную запись honeytoken на активированном контроллере домена.
• Создайте подозрительную службу на контроллере домена.
• Выполните удаленную команду на контроллере домена от имени администратора, выполнившего вход с рабочей станции.

Дополнительные сведения см. в статье Изучение оповещений системы безопасности Defender для удостоверений в Microsoft Defender XDR.

Тестирование действий по исправлению

Тестирование действий по исправлению для тестового пользователя. Например:

1. На портале Defender перейдите на страницу сведений о пользователе для тестового пользователя.

2. В меню Параметры выберите любое из доступных действий по исправлению.

3. Проверьте Active Directory на наличие ожидаемого действия.

Примечание.

Текущая версия неправильно собирает флаги контроля учетных записей (UAC). Таким образом, отключенные пользователи по-прежнему будут отображаться на портале как Включено.

Дополнительные сведения см. в разделе Действия по исправлению в Microsoft Defender для удостоверений.

Отключение возможностей Defender для удостоверений на контроллере домена

Если вы хотите отключить возможности Defender для удостоверений на контроллере домена, удалите их на странице Датчики :

1. На портале Defender выберите Параметры Датчики >> удостоверений.
2. Выберите контроллер домена, на котором вы хотите отключить возможности Defender для удостоверений, нажмите кнопку Удалить и подтвердите выбор.

Отключение возможностей Defender для удостоверений с контроллера домена не приводит к удалению контроллера домена из Defender для конечной точки. Дополнительные сведения см. в документации по Defender для конечной точки.

Дальнейшие действия

Дополнительные сведения см. в разделе Управление и обновление датчиков Microsoft Defender для удостоверений.