Устранение Microsoft Defender для удостоверений известных проблем

В этой статье описывается устранение известных проблем в Microsoft Defender для удостоверений.

Не удается запустить службу датчика

Записи журнала датчика:

Warn DirectoryServicesClient CreateLdapConnectionAsync failed to retrieve group managed service account password. [DomainControllerDnsName=DC1.CONTOSO.LOCAL Domain=contoso.local UserName=mdiSvc01]

Причина 1

Контроллеру домена не предоставлены права на доступ к паролю учетной записи gMSA.

Решение 1:

Убедитесь, что контроллер домена получил права на доступ к паролю. У вас должна быть группа безопасности в Active Directory, которая содержит контроллеры домена, Entra Connect, серверы AD FS/ AD CS и автономные учетные записи компьютеров датчиков. Если она не существует, рекомендуется создать ее.

Вы можете использовать следующую команду, чтобы проверка, если в параметр добавлена учетная запись компьютера или группа безопасности. Замените mdiSvc01 созданным именем.

Get-ADServiceAccount mdiSvc01 -Properties PrincipalsAllowedToRetrieveManagedPassword

Результаты должны выглядеть следующим образом:

В этом примере мы видим, что добавлена группа с именем mdiSvc01Group . Если контроллер домена или группа безопасности не были добавлены, можно добавить его с помощью следующих команд. Замените mdiSvc01 именем gMSA, а DC1 — именем контроллера домена, а mdiSvc01Group — именем группы безопасности.

# To set the specific domain controller only:
$specificDC = Get-ADComputer -Identity DC1
Set-ADServiceAccount mdiSvc01 -PrincipalsAllowedToRetrieveManagedPassword $specificDC


# To set a security group that contains the relevant computer accounts:
$group = Get-ADGroup -Identity mdiSvc01Group
Set-ADServiceAccount mdiSvc01 -PrincipalsAllowedToRetrieveManagedPassword $group

Если контроллер домена или группа безопасности уже добавлены, но вы по-прежнему видите ошибку, попробуйте выполнить следующие действия:

• Перезагрузите сервер для синхронизации последних изменений
• Очистите билет Kerberos, заставив сервер запросить новый билет Kerberos. В командной строке администратора выполните следующую команду. klist -li 0x3e7 purge

Причина 2

Из-за известного сценария, связанного с безопасным временем заполнения, атрибуту gMSA PasswordLastSet можно задать дату в будущем, что приведет к невозможности запуска датчика.

Следующую команду можно использовать для подтверждения того, попадает ли учетная запись gMSA в сценарий, когда значения PasswordLastSet и LastLogonDate показывают будущую дату:

Get-ADServiceAccount mdiSvc01 -Properties PasswordLastSet, LastLogonDate

Решение 2:

В качестве промежуточного решения можно создать новую gMSA, которая будет иметь правильную дату для атрибута. Рекомендуется отправить запрос на поддержку со службами каталогов, чтобы определить первопричину и изучить варианты комплексного решения.

Ошибка связи с сбоем датчика

Если возникает следующая ошибка сбоя датчика:

System.Net.Http.HttpRequestException:
An error occurred while sending the request. ---> System.Net.WebException:
Unable to connect to the remote server --->
System.Net.Sockets.SocketException: A connection attempt failed because the
connected party did not properly respond after a period of time, or established
connection failed because connected host has failed to respond...

Решение:

Убедитесь, что связь не заблокирована для localhost, TCP-порта 444. Дополнительные сведения о предварительных требованиях Microsoft Defender для удостоверений см. в разделе Порты.

Расположение журнала развертывания

Журналы развертывания Defender для удостоверений находятся во временном каталоге пользователя, установившего продукт. В расположении установки по умолчанию его можно найти по адресу : C:\Users\Administrator\AppData\Local\Temp (или один каталог выше %temp%). Дополнительные сведения см. в статье Устранение неполадок Defender для удостоверений с помощью журналов.

Проблема проверки подлинности прокси-сервера возникает как ошибка лицензирования

Если во время установки датчика появляется следующая ошибка: Не удалось зарегистрировать датчик из-за проблем с лицензированием.

Записи журнала развертывания:

[1C60:1AA8][2018-03-24T23:59:13]i000: 2018-03-25 02:59:13.1237 Info InteractiveDeploymentManager ValidateCreateSensorAsync returned [validateCreateSensorResult=LicenseInvalid]] [1C60:1AA8][2018-03-24T23:59:56]i000: 2018-03-25 02:59:56.4856 Info InteractiveDeploymentManager ValidateCreateSensorAsync returned [validateCreateSensorResult=LicenseInvalid]] [1C60:1AA8][2018-03-25T00:27:56]i000: 2018-03-25 03:27:56.7399 Debug SensorBootstrapperApplication Engine.Quit [deploymentResultStatus=1602 isRestartRequired=False]] [1C60:15B8][2018-03-25T00:27:56]i500: Shutting down, exit code: 0x642

Причина:

В некоторых случаях при обмене данными через прокси-сервер во время проверки подлинности он может ответить датчику Defender для удостоверений ошибкой 401 или 403, а не ошибкой 407. Датчик Defender для удостоверений интерпретирует ошибку 401 или 403 как проблему лицензирования, а не как проблему проверки подлинности прокси-сервера.

Решение:

Убедитесь, что датчик может перейти к *.atp.azure.com через настроенный прокси-сервер без проверки подлинности. Дополнительные сведения см. в разделе Настройка прокси-сервера для включения связи.

Проблема с проверкой подлинности прокси-сервера возникает как ошибка подключения

Если во время установки датчика появляется следующая ошибка: Датчик не удалось подключиться к службе.

Причина:

Проблема может быть вызвана отсутствием сертификатов доверенных корневых центров сертификации, необходимых Defender для удостоверений.

Решение:

Выполните следующий командлет PowerShell, чтобы убедиться, что необходимые сертификаты установлены.

В следующем примере используйте сертификат DigiCert Baltimore Root для всех клиентов. Кроме того, используйте сертификат DigiCert Global Root G2 для коммерческих клиентов или сертификат DigiCert Global Root CA для государственных организаций США GCC High, как указано.

# Certificate for all customers
Get-ChildItem -Path "Cert:\LocalMachine\Root" | where { $_.Thumbprint -eq "D4DE20D05E66FC53FE1A50882C78DB2852CAE474"} | fl

# Certificate for commercial customers
Get-ChildItem -Path "Cert:\LocalMachine\Root" | where { $_.Thumbprint -eq "df3c24f9bfd666761b268073fe06d1cc8d4f82a4"} | fl

# Certificate for US Government GCC High customers
Get-ChildItem -Path "Cert:\LocalMachine\Root" | where { $_.Thumbprint -eq "a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436"} | fl

Выходные данные сертификата для всех клиентов:

Subject      : CN=Baltimore CyberTrust Root, OU=CyberTrust, O=Baltimore, C=IE
Issuer       : CN=Baltimore CyberTrust Root, OU=CyberTrust, O=Baltimore, C=IE
Thumbprint   : D4DE20D05E66FC53FE1A50882C78DB2852CAE474
FriendlyName : DigiCert Baltimore Root
NotBefore    : 5/12/2000 11:46:00 AM
NotAfter     : 5/12/2025 4:59:00 PM
Extensions   : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid}

Выходные данные сертификата для коммерческих клиентов:

Subject      : CN=DigiCert Global Root G2, OU=www.digicert.com, O=DigiCert Inc, C=US
Issuer       : CN=DigiCert Global Root G2, OU=www.digicert.com, O=DigiCert Inc, C=US
Thumbprint   : DF3C24F9BFD666761B268073FE06D1CC8D4F82A4
FriendlyName : DigiCert Global Root G2
NotBefore    : 01/08/2013 15:00:00
NotAfter     : 15/01/2038 14:00:00
Extensions   : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid}

Выходные данные для сертификатов для клиентов GCC Высокого уровня для государственных организаций США:

Subject      : CN=DigiCert Global Root CA, OU=www.digicert.com, O=DigiCert Inc, C=US
Issuer       : CN=DigiCert Global Root CA, OU=www.digicert.com, O=DigiCert Inc, C=US
Thumbprint   : A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436
FriendlyName : DigiCert
NotBefore    : 11/9/2006 4:00:00 PM
NotAfter     : 11/9/2031 4:00:00 PM
Extensions   : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid}

Если ожидаемые выходные данные не отображаются, выполните следующие действия.

1. Скачайте следующие сертификаты на компьютер server Core. Для всех клиентов скачайте корневой сертификат Baltimore CyberTrust .

   Кроме того:

   • Для коммерческих клиентов скачайте глобальный корневой сертификат G2 DigiCert .
   • Для государственных организаций США GCC High скачайте сертификат Глобального корневого ЦС DigiCert

2. Выполните следующий командлет PowerShell, чтобы установить сертификат.

   # For all customers, install certificate
   Import-Certificate -FilePath "<PATH_TO_CERTIFICATE_FILE>\bc2025.crt" -CertStoreLocation Cert:\LocalMachine\Root
   
   # For commercial customers, install certificate
   Import-Certificate -FilePath "<PATH_TO_CERTIFICATE_FILE>\DigiCertGlobalRootG2.crt" -CertStoreLocation Cert:\LocalMachine\Root
   
   # For US Government GCC High customers, install certificate
   Import-Certificate -FilePath "<PATH_TO_CERTIFICATE_FILE>\DigiCertGlobalRootCA.crt" -CertStoreLocation Cert:\LocalMachine\Root
   

Ошибка автоматической установки при попытке использовать PowerShell

Если во время автоматической установки датчика вы пытаетесь использовать PowerShell и получаете следующую ошибку:

"Azure ATP sensor Setup.exe" "/quiet" NetFrameworkCommandLineArguments="/q" Acce ... Unexpected token '"/quiet"' in expression or statement."

Причина:

Если при использовании PowerShell не указать префикс ./, необходимый для установки, это приводит к этой ошибке.

Решение:

Для успешной установки используйте команду complete.

./"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"

Проблема объединения сетевых карт датчика Defender для удостоверений

При установке датчика Defender для удостоверений на компьютере, настроенном с помощью адаптера объединения сетевых карт и драйвера Winpcap, возникает ошибка установки. Если вы хотите установить датчик Defender для удостоверений на компьютере, настроенном с помощью объединения сетевых карт, обязательно замените драйвер Winpcap на Npcap, выполнив приведенные здесь инструкции.

Режим группы с несколькими процессорами

В операционных системах Windows 2008R2 и 2012 датчик Defender для удостоверений не поддерживается в режиме группы с несколькими процессорами.

Предлагаемые возможные обходные пути:

• Если включена технология Hyper Threading, отключите ее. Это может уменьшить количество логических ядер, достаточное для того, чтобы избежать необходимости запуска в режиме группы многопроцессоров .

• Если компьютер имеет менее 64 логических ядер и работает на узле HP, возможно, вы сможете изменить параметр BIOS оптимизации размера группы NUMA со значения по умолчанию Clustered на Flat.

Проблема с датчиком виртуальной машины VMware

Если у вас есть датчик Defender для удостоверений на виртуальных машинах VMware, вы можете получить оповещение о работоспособности Некоторые сетевые данные не анализируются. Это может произойти из-за несоответствия конфигурации в VMware.

Устранение проблемы:

В гостевой ОС задайте для параметра Отключено в конфигурации сетевой карты виртуальной машины значение Разгрузка TSO IPv4.

Используйте следующую команду, чтобы проверка, включена или отключена большая разгрузка отправки (LSO):

Get-NetAdapterAdvancedProperty | Where-Object DisplayName -Match "^Large*"

Если LSO включен, используйте следующую команду, чтобы отключить его:

Disable-NetAdapterLso -Name {name of adapter}

Примечание.

• В зависимости от конфигурации эти действия могут привести к кратковременной потере сетевого подключения.
• Чтобы эти изменения вступили в силу, может потребоваться перезапустить компьютер.
• Эти действия могут отличаться в зависимости от версии VMWare. Сведения о том, как отключить LSO/TSO для своей версии VMWare, см. в документации по VMWare.

Датчику не удалось получить учетные данные групповой управляемой учетной записи службы (gMSA)

Если вы получаете следующее оповещение о работоспособности: учетные данные пользователей служб каталогов неверны

Записи журнала датчика:

2020-02-17 14:01:36.5315 Info ImpersonationManager CreateImpersonatorAsync started [UserName=account_name Domain=domain1.test.local IsGroupManagedServiceAccount=True] 2020-02-17 14:01:36.5750 Info ImpersonationManager CreateImpersonatorAsync finished [UserName=account_name Domain=domain1.test.local IsSuccess=False]

Записи журнала обработчика датчиков:

2020-02-17 14:02:19.6258 Warn GroupManagedServiceAccountImpersonationHelper GetGroupManagedServiceAccountAccessTokenAsync failed GMSA password could not be retrieved [errorCode=AccessDenied AccountName=account_name DomainDnsName=domain1.test.local]

Датчику не удалось получить пароль учетной записи gMSA.

Причина 1

Контроллеру домена не предоставлено разрешение на получение пароля учетной записи gMSA.

Решение 1.

Убедитесь, что компьютеру, на котором запущен датчик, предоставлены разрешения на получение пароля учетной записи gMSA. Дополнительные сведения см. в статье Предоставление разрешений на получение пароля учетной записи gMSA.

Причина 2

Служба датчика выполняется как LocalService и выполняет олицетворение учетной записи службы каталогов.

Если политика назначения прав пользователя Вход в качестве службы настроена для этого контроллера домена, олицетворение завершается ошибкой, если учетной записи gMSA не предоставлено разрешение Вход в качестве службы .

Решение 2.

Настройка входа в качестве службы для учетных записей gMSA, если политика назначения прав пользователя Вход в качестве службы настроена на затронутом контроллере домена. Дополнительные сведения см. в статье Проверка наличия у учетной записи gMSA необходимых прав.

Причина 3

Если билет Kerberos контроллера домена был выдан до добавления контроллера домена в группу безопасности с соответствующими разрешениями, эта группа не будет входить в билет Kerberos. Таким образом, ему не удается получить пароль учетной записи gMSA.

Решение 3.

Чтобы устранить эту проблему, выполните одно из следующих действий.

• Перезагрузите контроллер домена.

• Очистите билет Kerberos, заставив контроллер домена запросить новый билет Kerberos. В командной строке администратора на контроллере домена выполните следующую команду:

  klist -li 0x3e7 purge

• Назначьте разрешение на получение пароля gMSA группе, в которую уже входит контроллер домена, например группе "Контроллеры домена".

Доступ к разделу реестра "Global" запрещен

Служба датчика не запускается, и журнал датчиков содержит запись, аналогичную следующей:

2021-01-19 03:45:00.0000 Error RegistryKey System.UnauthorizedAccessException: Access to the registry key 'Global' is denied.

Причина:

GMSA, настроенная для этого контроллера домена или сервера AD FS/ AD CS, не имеет разрешений на доступ к разделам реестра счетчика производительности.

Решение:

Добавьте gMSA в группу Монитор производительности Пользователи на сервере.

Скачивание отчета не может содержать более 300 000 записей

Defender для удостоверений не поддерживает скачивание отчетов, содержащих более 300 000 записей на отчет. Отчеты отображаются как неполные, если включено более 300 000 записей.

Причина:

Это инженерное ограничение.

Решение:

Нет известного разрешения.

Датчику не удается перечислить журналы событий

Если вы наблюдаете ограниченное количество оповещений о событиях безопасности или логических действий в консоли Defender для удостоверений, но проблемы со работоспособностью не активируются.

Записи журнала датчика:

Error EventLogException System.Diagnostics.Eventing.Reader.EventLogException: The handle is invalid at void System.Diagnostics.Eventing.Reader.EventLogException.Throw(int errorCode) at object System.Diagnostics.Eventing.Reader.NativeWrapper.EvtGetEventInfo(EventLogHandle handle, EvtEventPropertyId enumType) at string System.Diagnostics.Eventing.Reader.EventLogRecord.get_ContainerLog()

Причина:

Список дискреционных контроль доступа ограничивает доступ к требуемым журналам событий учетной записью локальной службы.

Решение:

Убедитесь, что список дискреционных контроль доступа (DACL) содержит следующую запись (это идентификатор безопасности службы AATPSensor).

(A;;0x1;;;S-1-5-80-818380073-2995186456-1411405591-3990468014-3617507088)

Проверьте, настроен ли DACL для журнала событий безопасности с помощью объекта групповой политики:

Policies > Administrative Templates > Windows Components > Event Log Service > Security > Configure log access

Добавьте указанную выше запись в существующую политику. Запустите C:\Windows\System32\wevtutil.exe gl security после этого, чтобы убедиться, что запись была добавлена.

Теперь в локальных журналах Defender для удостоверений должно отображаться следующее:

Info WindowsEventLogReader EnableEventLogWatchers EventLogWatcher enabled [name=Security]

Ошибка "ПрименитьИнтернал" с ошибкой двустороннего SSL-подключения к службе

Если во время установки датчика появляется следующее сообщение об ошибке: ApplyInternal завершилось сбоем двустороннего SSL-подключения к службе и в журнале датчика содержится запись, аналогичная:

2021-01-19 03:45:00.0000 Error CommunicationWebClient+\<SendWithRetryAsync\>d__9`1 ApplyInternal не удалось установить двустороннее SSL-подключение к службе. Проблема может быть вызвана прокси-сервером с включенной проверкой SSL. [_workspaceApplicationSensorApiEndpoint=Не указано/contoso.atp.azure.com:443 Отпечаток=7C039DA47E81E51F3DA3DF3DA7B5E1899B5B5B4AD0]'

Причина:

Проблема может быть вызвана тем, что для значений реестра SystemDefaultTlsVersions или SchUseStrongCrypto не задано значение по умолчанию 1.

Решение:

Убедитесь, что для значений реестра SystemDefaultTlsVersions и SchUseStrongCrypto задано значение 1:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319] 
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
 
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

Проблема с установкой датчика в Windows Server 2019 с установленным KB5009557 или на сервере с защищенными разрешениями EventLog

Установка датчика может завершиться сбоем с сообщением об ошибке:

System.UnauthorizedAccessException: Attempted to perform an unauthorized operation.

Решение:

Существует два возможных обходных решения этой проблемы:

1. Установите датчик с помощью PSExec:

   psexec -s -i "C:\MDI\Azure ATP Sensor Setup.exe"
   

2. Установите датчик с запланированной задачей, настроенной для запуска как LocalSystem. Используемый синтаксис командной строки описан в разделе Автоматическая установка датчика Defender для удостоверений.

Сбой установки датчика из-за клиента управления сертификатами

Если установка датчика завершается сбоем, и файл Microsoft.Tri.Sensor.Deployment.Deployer.log содержит запись, аналогичную следующей:

2022-07-15 03:45:00.0000 Error IX509CertificateRequestCertificate2 Deployer failed [arguments=128Ve980dtms0035h6u3Bg==] System.Runtime.InteropServices.COMException (0x80090008): CertEnroll::CX509CertificateRequestCertificate::Encode: Invalid algorithm specified. 0x80090008 (-2146893816 NTE_BAD_ALGID)

Причина:

Эта проблема может быть вызвана тем, что клиент управления сертификатами, например Поставщик безопасности Entrust Entelligence (EESP), не позволяет установке датчика создать самозаверяющий сертификат на компьютере.

Решение:

Удалите клиент управления сертификатами, установите датчик Defender для удостоверений, а затем переустановите клиент управления сертификатами.

Примечание.

Самозаверяющий сертификат обновляется каждые 2 года, и процесс автоматического продления может завершиться ошибкой, если клиент управления сертификатами предотвратит создание самозаверяющего сертификата. Это приведет к тому, что датчик перестанет взаимодействовать с серверной частью, что потребует переустановки датчика с помощью обходного решения, упомянутого выше.

Сбой установки датчика из-за проблем с сетевым подключением

Если установка датчика завершается сбоем с кодом ошибки 0x80070643, а файл журнала установки содержит запись, аналогичную следующей:

[22B8:27F0][2016-06-09T17:21:03]e000: Error 0x80070643: Failed to install MSI package.

Причина:

Проблема может быть вызвана тем, что процессу установки не удается получить доступ к облачным службам Defender для удостоверений для регистрации датчика.

Решение:

Убедитесь, что датчик может перейти по адресу *.atp.azure.com напрямую или через настроенный прокси-сервер. При необходимости задайте параметры прокси-сервера для установки с помощью командной строки:

"Azure ATP sensor Setup.exe" [ProxyUrl="http://proxy.internal.com"] [ProxyUserName="domain\proxyuser"] [ProxyUserPassword="ProxyPassword"]

Дополнительные сведения см. в разделах Запуск автоматической установки с конфигурацией прокси-сервера и Установка датчика Microsoft Defender для удостоверений.

Важно!

Корпорация Майкрософт рекомендует использовать наиболее безопасный поток проверки подлинности. Поток проверки подлинности, описанный в этой процедуре, требует очень высокой степени доверия к приложению и несет риски, которые отсутствуют в других потоках. Этот поток следует использовать только в том случае, если другие более безопасные потоки, такие как управляемые удостоверения, не являются жизнеспособными.

Не удалось запустить службу датчика и остается в начальном состоянии

В системном журнале в средстве просмотра событий появятся следующие ошибки:

• Процедура Open для службы ". NETFramework" в библиотеке DLL "C:\Windows\system32\mscoree.dll" завершился сбоем с кодом ошибки Доступ запрещен. Данные о производительности для этой службы будут недоступны.
• Сбой процедуры Open для службы "Lsa" в библиотеке DLL "C:\Windows\System32\Secur32.dll" с кодом ошибки Доступ запрещен. Данные о производительности для этой службы будут недоступны.
• Сбой процедуры Open для службы "WmiApRpl" в библиотеке DLL "C:\Windows\system32\wbem\wmiaprpl.dll" с кодом ошибки "Устройство не готово". Данные о производительности для этой службы будут недоступны.

Microsoft.TriSensorError.log будет содержать следующую ошибку:

Microsoft.Tri.Sensor.DirectoryServicesClient.TryCreateLdapConnectionAsync(DomainControllerConnectionData domainControllerConnectionData, bool isGlobalCatalog, bool isTraversing) 2021-07-13 14:56:20.2976 Error DirectoryServicesClient Microsoft.Tri.Infrastructure.ExtendedException: Failed to communicate with configured domain controllers at new Microsoft.Tri.Sensor.DirectoryServicesClient(IConfigurationManager

Причина:

NT Service\All Services не имеют права на вход в качестве службы.

Решение:

Добавьте политику контроллера домена с помощью входа в качестве службы. Дополнительные сведения см. в статье Проверка наличия у учетной записи gMSA необходимых прав.

Ваша рабочая область не создана, так как группа безопасности с тем же именем уже существует в Microsoft Entra ID

Причина:

Проблема может возникнуть по истечении срока действия лицензии рабочей области Defender для удостоверений и удаления по истечении срока хранения, но Microsoft Entra группы не были удалены.

Решение:

1. Перейдите к портал Azure ->Microsoft Entra ID ->Группы
2. Переименуйте следующие три группы (где workspaceName — это имя вашей рабочей области), добавив к ним суффикс " - old".
   • "Azure ATP workspaceName Administrators" —> "Azure ATP workspace Administrators - old"
   • "Azure ATP workspaceName Viewers" -> "Azure ATP workspaceName Viewers - old"
   • "Azure ATP workspaceName Users" —> "Azure ATP workspaceName Users - old"
3. Затем вы можете вернуться на портале Microsoft Defender в раздел Параметры ->Удостоверения, чтобы создать новую рабочую область для Defender для удостоверений.

Дальнейшие действия

• Предварительные требования к Defender для удостоверений
• Планирование емкости Defender для удостоверений
• Настройка сбора событий
• Настройка переадресации событий Windows
• Посетите форум Defender для удостоверений!