Установка датчика Microsoft Defender для удостоверений

В этой статье описывается установка датчика Microsoft Defender для удостоверений, включая автономный датчик. По умолчанию рекомендуется использовать пользовательский интерфейс. Однако:

• При установке датчика на Windows Server Core или для развертывания датчика через систему развертывания программного обеспечения выполните действия по автоматической установке.

• Если вы используете прокси-сервер, рекомендуется установить датчик и настроить его вместе из командной строки. Если вам потребуется обновить параметры прокси-сервера позже, используйте PowerShell или Azure CLI. Дополнительные сведения см. в разделе Настройка параметров прокси-сервера конечной точки и подключения к Интернету.

Предварительные условия

Перед началом работы убедитесь, что у вас есть:

• Скачаемая копия пакета установки датчика Defender для удостоверений и ключ доступа.

• Microsoft платформа .NET Framework 4.7 или более поздней версии, установленной на компьютере. Если microsoft платформа .NET Framework 4.7 или более поздней версии не установлен, пакет установки датчика Defender для удостоверений устанавливает его. Установка из пакета установки может потребовать перезагрузки сервера.

• Соответствующие спецификации сервера и требования к сети. Дополнительные сведения см. в разделе:

  • Обязательные требования для работы с Microsoft Defender для удостоверений
  • Настройка датчиков для AD FS, AD CS и Microsoft Entra Connect
  • Microsoft Defender для удостоверений предварительные требования к автономному датчику

• Доверенные корневые сертификаты на компьютере. Если сертификаты, подписанные доверенным корневым центром сертификации, отсутствуют, может возникнуть ошибка подключения.

Установка датчика с помощью пользовательского интерфейса

Выполните следующие действия на контроллере домена, сервере службы федерации Active Directory (AD FS) (AD FS) или сервере служб сертификатов Active Directory (AD CS).

1. Убедитесь, что компьютер подключен к соответствующим конечным точкам облачной службы Defender для удостоверений.

2. Извлеките файлы установки из файла .zip. Установка непосредственно из файла .zip завершается сбоем.

3. Запустите датчик Azure ATP setup.exe с повышенными привилегиями (запуск от имени администратора) и следуйте указаниям мастера установки.

4. На странице Приветствие выберите язык и нажмите кнопку Далее.

   

   Мастер установки автоматически проверяет, является ли сервер контроллером домена, сервером AD FS, сервером AD CS или выделенным сервером. Тип сервера определяет тип датчика:

   • Если сервер является контроллером домена, сервером AD FS или сервером AD CS, устанавливается датчик Defender для удостоверений.
   • Если сервер выделен, устанавливается автономный датчик Defender для удостоверений.

   Например, мастер отображает следующую страницу, чтобы указать, что датчик Defender для удостоверений установлен на контроллерах домена.

   

5. Нажмите кнопку Далее.

   Мастер выдает предупреждение, если контроллер домена, сервер AD FS, сервер AD CS или выделенный сервер не соответствуют минимальным требованиям к оборудованию для установки.

   Предупреждение не мешает нажать кнопку Далее и продолжить установку, которая по-прежнему может быть правильным вариантом. Например, требуется меньше места для хранения данных при установке небольшой тестовой среды лаборатории.

   Для рабочих сред настоятельно рекомендуется использовать средство определения размера Defender для удостоверений , чтобы убедиться, что контроллеры домена или выделенные серверы соответствуют требованиям к емкости.

6. На странице Настройка датчика введите следующие сведения для пакета установки:

   • Путь установки: расположение, в котором установлен датчик Defender для удостоверений. По умолчанию путь — %programfiles%\Azure Advanced Threat Protection sensor. Оставьте значение по умолчанию.
   • Ключ доступа: получен с портала Microsoft Defender на предыдущем шаге.

   

7. Нажмите кнопку Установить. Во время установки датчика Defender для удостоверений устанавливаются и настраиваются следующие компоненты:

   • Служба датчика Defender для удостоверений и служба обновления датчиков Defender для удостоверений

   • Npcap OEM версии 1.0

     Важно!

     Npcap OEM версии 1.0 устанавливается автоматически, если нет другой версии Npcap. Если вы уже установили Npcap из-за других требований к программному обеспечению или по какой-либо другой причине, убедитесь, что он имеет версию 1.0 или более позднюю и имеет необходимые параметры для Defender для удостоверений.

Просмотр версий датчика

Начиная с версии датчика 2.176 при установке датчика из нового пакета в разделе Установка и удаление программ отображается полный номер, например 2.176.x.y. Ранее версия отображалась как статическая 2.0.0.0.

Установленная версия продолжает отображаться даже после запуска автоматических обновлений облачных служб Defender для удостоверений.

Просмотрите реальную версию датчика на странице параметров датчика Microsoft Defender XDR, в пути к исполняемому файлу или в версии файла.

Автоматическая установка Defender для удостоверений

Автоматическая установка Defender для удостоверений для датчиков настроена для автоматического перезапуска сервера в конце установки, если это необходимо.

Запланируйте автоматическую установку только во время периода обслуживания. Из-за ошибки установщика Windows невозможно надежно использовать norestart флаг, чтобы убедиться, что сервер не перезагружается.

Чтобы отслеживать ход развертывания, отслеживайте журналы установщика Defender для удостоверений в %localappdata%\Temp.

Автоматическая установка через систему развертывания

При автоматическом развертывании датчика Defender для удостоверений с помощью System Center Configuration Manager или другой системы развертывания программного обеспечения рекомендуется создать два пакета развертывания:

• платформа .NET Framework 4.7 или более поздней версии, которая может включать перезапуск контроллера домена.
• Датчик Defender для удостоверений

Установите пакет датчика Defender для удостоверений в зависимости от развертывания пакета платформа .NET Framework. При необходимости получите пакет автономного развертывания платформа .NET Framework 4.7.

Команды для запуска автоматической установки

Используйте следующие команды, чтобы выполнить полностью автоматическую установку датчика Defender для удостоверений с помощью ключа доступа, скопированного на предыдущем шаге.

синтаксис cmd.exe

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"

Синтаксис PowerShell

.\"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"

Примечание.

При использовании синтаксиса PowerShell пропуск .\ предисловия приводит к ошибке, которая препятствует автоматической установке.

Параметры установки

Имя	Синтаксис	Обязательно для автоматической установки?	Описание
Quiet	/quiet	Да	Запускает установщик без отображения пользовательского интерфейса или запросов.
Help	/help	Нет	Предоставляет справку и краткие справочные материалы. Отображает правильное использование команды установки, включая список всех параметров и вариантов поведения.
NetFrameworkCommandLineArguments="/q"	NetFrameworkCommandLineArguments="/q"	Да	Задает параметры для установки платформа .NET Framework. Должен быть задан для принудительной автоматической установки платформа .NET Framework.

Параметры установки

Имя	Синтаксис	Обязательно для автоматической установки?	Описание
InstallationPath	InstallationPath=""	Нет	Задает путь для установки двоичных файлов датчика Defender для удостоверений. Путь по умолчанию: %programfiles%\Azure Advanced Threat Protection Sensor.
AccessKey	AccessKey="\*\*"	Да	Задает ключ доступа, используемый для регистрации датчика Defender для удостоверений в рабочей области Defender для удостоверений.
AccessKeyFile	AccessKeyFile=""	Нет	Задает ключ доступа к рабочей области из предоставленного пути к текстовому файлу.
DelayedUpdate	DelayedUpdate=true	Нет	Задает механизм обновления датчика, чтобы отложить обновление на 72 часа с момента официального выпуска каждого обновления службы. Дополнительные сведения см. в разделе Отложенное обновление датчика.
LogsPath	LogsPath=""	Нет	Задает путь для журналов датчиков Defender для удостоверений. Путь по умолчанию: %programfiles%\Azure Advanced Threat Protection Sensor.

Примеры

Используйте следующие команды для автоматической установки датчика Defender для удостоверений:

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<access key value>"

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKeyFile="C:\Path\myAccessKeyFile.txt"

Команда для запуска автоматической установки с конфигурацией прокси-сервера

Используйте следующую команду, чтобы настроить прокси-сервер вместе с автоматической установкой:

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [ProxyUrl="http://proxy.internal.com"] [ProxyUserName="domain\proxyuser"] [ProxyUserPassword="ProxyPassword"]`

Примечание.

Если вы ранее настроили прокси-сервер с помощью устаревших параметров, включая WinINet или обновление раздела реестра, необходимо внести любые изменения с помощью того же метода, который использовался изначально. Дополнительные сведения см. в статье Изменение конфигурации прокси-сервера с помощью устаревших методов.

Параметры установки

Имя	Синтаксис	Обязательно для автоматической установки?	Описание
ProxyUrl	ProxyUrl="http://proxy.contoso.com:8080"	Нет	Указывает URL-адрес прокси-сервера и номер порта для датчика Defender для удостоверений.
ProxyUserName	ProxyUserName="Contoso\ProxyUser"	Нет	Если службе прокси-сервера требуется проверка подлинности, определите DOMAIN\user имя пользователя в формате .
ProxyUserPassword	ProxyUserPassword="P@ssw0rd"	Нет	Указывает пароль для имени пользователя прокси-сервера. Датчик Defender для удостоверений шифрует учетные данные и сохраняет их локально.

Совет

Если вам потребуется обновить параметры прокси-сервера позже, используйте PowerShell или Azure CLI. Дополнительные сведения см. в разделе Настройка параметров прокси-сервера конечной точки и подключения к Интернету. Рекомендуется создать и использовать настраиваемую запись DNS A для прокси-сервера. Затем эту запись можно использовать для изменения адреса прокси-сервера при необходимости и использования файла hosts для тестирования.

Связанные материалы

После установки датчика можно выполнить дополнительные действия:

• Если вы установили датчик на сервере AD FS или AD CS, см. раздел Действия после установки (необязательно).

• Если вы установили автономный датчик, см. следующие статьи:

  • Прослушивание событий SIEM на автономном датчике Defender для удостоверений
  • Настройка зеркального отображения портов
  • Настройка переадресации событий Windows на автономный датчик Defender для удостоверений

Следующее действие

Настройка параметров датчика Microsoft Defender для удостоверений