Konfigurera sensorer för AD FS, AD CS och Microsoft Entra Connect
Installera Defender för identitetssensorer på Active Directory Federation Services (AD FS) (AD FS), Active Directory Certificate Services (AD CS) och Microsoft Entra Connect-servrar för att skydda dem mot lokala attacker och hybridattacker. I den här artikeln beskrivs installationsstegen.
Dessa överväganden gäller:
- För AD FS-miljöer stöds Defender for Identity-sensorer endast på federationsservrarna. De krävs inte på WAP-servrar (Web Programproxy).
- För AD CS-miljöer behöver du inte installera sensorer på ad CS-servrar som är offline.
- För Microsoft Entra Connect-servrar måste du installera sensorerna på både aktiva servrar och mellanlagringsservrar.
Förhandskrav
Kraven för att installera Defender för identitetssensorer på AD FS, AD CS eller Microsoft Entra Connect-servrar är desamma som för att installera sensorer på domänkontrollanter. Mer information finns i Microsoft Defender for Identity förutsättningar.
En sensor som är installerad på en AD FS, AD CS eller Microsoft Entra Connect-servern kan inte använda det lokala tjänstkontot för att ansluta till domänen. I stället måste du konfigurera ett katalogtjänstkonto.
Dessutom stöder Defender for Identity-sensorn för AD CS endast AD CS-servrar med rolltjänsten Certifikatutfärdare.
Konfigurera händelsesamling
Om du arbetar med AD FS, AD CS eller Microsoft Entra Connect-servrar kontrollerar du att du har konfigurerat granskning efter behov. Mer information finns i:
AD FS:
AD CS:
Microsoft Entra Connect:
Konfigurera läsbehörigheter för AD FS-databasen
För att sensorer som körs på AD FS-servrar ska ha åtkomst till AD FS-databasen måste du bevilja läsbehörigheter (db_datareader) för det relevanta katalogtjänstkontot.
Om du har fler än en AD FS-server måste du bevilja den här behörigheten för alla. Databasbehörigheter replikeras inte mellan servrar.
Konfigurera SQL-servern så att katalogtjänstkontot tillåts med följande behörigheter till databasen AdfsConfiguration :
- ansluta
- Logga in
- läsa
- utvald
Obs!
Om AD FS-databasen körs på en dedikerad SQL-server i stället för den lokala AD FS-servern och du använder ett grupphanterat tjänstkonto (gMSA) som katalogtjänstkonto kontrollerar du att du ger SQL-servern de behörigheter som krävs för att hämta gMSA-lösenordet.
Bevilja åtkomst till AD FS-databasen
Bevilja åtkomst till AD FS-databasen med hjälp av SQL Server Management Studio, Transact-SQL (T-SQL) eller PowerShell.
Följande kommandon kan till exempel vara användbara om du använder Intern Windows-databas (WID) eller en extern SQL-server.
I följande exempelkoder:
-
[DOMAIN1\mdiSvc01]är arbetsytans katalogtjänstanvändare. Om du arbetar med en gMSA lägger du$till i slutet av användarnamnet. Till exempel:[DOMAIN1\mdiSvc01$]. -
AdfsConfigurationV4är ett exempel på ett AD FS-databasnamn och kan variera. -
server=\.\pipe\MICROSOFT##WID\tsql\queryär anslutningssträng till databasen om du använder WID.
Tips
Om du inte känner till din anslutningssträng följer du stegen i Windows Server-dokumentationen.
Så här ger du sensorn åtkomst till AD FS-databasen med hjälp av T-SQL:
USE [master]
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
USE [AdfsConfigurationV4]
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]
GRANT CONNECT TO [DOMAIN1\mdiSvc01]
GRANT SELECT TO [DOMAIN1\mdiSvc01]
GO
Så här beviljar du sensoråtkomst till AD FS-databasen med hjälp av PowerShell:
$ConnectionString = 'server=\\.\pipe\MICROSOFT##WID\tsql\query;database=AdfsConfigurationV4;trusted_connection=true;'
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master];
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [AdfsConfigurationV4];
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01];
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01];
GRANT CONNECT TO [DOMAIN1\mdiSvc01];
GRANT SELECT TO [DOMAIN1\mdiSvc01];
"@
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()
Konfigurera behörigheter för databasen Microsoft Entra Connect (ADSync)
Obs!
Det här avsnittet gäller endast om Entra Connect-databasen finns på en extern SQL Server-instans.
Sensorer som körs på Microsoft Entra Connect-servrar måste ha åtkomst till ADSync-databasen och ha körbehörighet för relevanta lagrade procedurer. Om du har fler än en Microsoft Entra Connect-server ska du köra detta på alla.
Så här beviljar du sensorbehörigheter till Microsoft Entra Connect ADSync-databasen med hjälp av PowerShell:
$entraConnectServerDomain = $env:USERDOMAIN
$entraConnectServerComputerAccount = $env:COMPUTERNAME
$entraConnectDBName = (Get-ItemProperty 'registry::HKLM\SYSTEM\CurrentControlSet\Services\ADSync\Parameters' -Name 'DBName').DBName
$entraConnectSqlServer = (Get-ItemProperty 'registry::HKLM\SYSTEM\CurrentControlSet\Services\ADSync\Parameters' -Name 'Server').Server
$entraConnectSqlInstance = (Get-ItemProperty 'registry::HKLM\SYSTEM\CurrentControlSet\Services\ADSync\Parameters' -Name 'SQLInstance').SQLInstance
$ConnectionString = 'server={0}\{1};database={2};trusted_connection=true;' -f $entraConnectSqlServer, $entraConnectSqlInstance, $entraConnectDBName
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master];
CREATE LOGIN [{0}\{1}$] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [{2}];
CREATE USER [{0}\{1}$] FOR LOGIN [{0}\{1}$];
GRANT CONNECT TO [{0}\{1}$];
GRANT SELECT TO [{0}\{1}$];
GRANT EXECUTE ON OBJECT::{2}.dbo.mms_get_globalsettings TO [{0}\{1}$];
GRANT EXECUTE ON OBJECT::{2}.dbo.mms_get_connectors TO [{0}\{1}$];
"@ -f $entraConnectServerDomain, $entraConnectServerComputerAccount, $entraConnectDBName
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()
Steg efter installationen (valfritt)
Under sensorinstallationen på en AD FS-, AD CS- eller Microsoft Entra Connect-server väljs automatiskt den närmaste domänkontrollanten. Använd följande steg för att kontrollera eller ändra den valda domänkontrollanten:
I Microsoft Defender XDR går du till Inställningar>Identitetssensorer> för att visa alla dina Defender för identitetssensorer.
Leta upp och välj den sensor som du installerade på servern.
I fönstret som öppnas i rutan Domänkontrollant (FQDN) anger du det fullständigt kvalificerade domännamnet (FQDN) för matcharens domänkontrollanter. Välj + Lägg till för att lägga till FQDN och välj sedan Spara.
Det kan ta några minuter att initiera sensorn. När den är klar ändras tjänststatusen för AD FS, AD CS eller Microsoft Entra Connect-sensorn från stoppad till att köras.
Verifiera lyckad distribution
Så här verifierar du att du har distribuerat en Defender for Identity-sensor på en AD FS- eller AD CS-server:
Kontrollera att Azure Advanced Threat Protection-sensortjänsten körs. När du har sparat inställningarna för Defender for Identity-sensorn kan det ta några sekunder innan tjänsten startas.
Om tjänsten inte startar granskar du
Microsoft.Tri.sensor-Errors.logfilen som finns som standard på%programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs.Använd AD FS eller AD CS för att autentisera en användare till alla program och kontrollera sedan att Defender for Identity observerade autentiseringen.
Välj till exempel Jakt>avancerad jakt. I fönstret Fråga anger och kör du en av följande frågor:
För AD FS:
IdentityLogonEvents | where Protocol contains 'Adfs'Resultatfönstret bör innehålla en lista över händelser med värdet LogonType för inloggning med ADFS-autentisering.
För AD CS:
IdentityDirectoryEvents | where Protocol == "Adcs"Resultatfönstret visar en lista över händelser med misslyckade och lyckade certifikatutfärdanden. Välj en specifik rad om du vill se ytterligare information i fönstret Inspektera post .
Relaterat innehåll
Mer information finns i: