Aktivera Microsoft Defender för identitetsfunktioner direkt på en domänkontrollant

Microsoft Defender för Endpoint kunder, som redan har registrerat sina domänkontrollanter till Defender för Endpoint, kan aktivera Microsoft Defender för identitetsfunktioner direkt på en domänkontrollant i stället för att använda en Microsoft Defender för identitetssensor.

Den här artikeln beskriver hur du aktiverar och testar microsoft Defender för identitetsfunktioner på domänkontrollanten.

Viktigt!

Informationen i den här artikeln gäller en funktion som för närvarande är i begränsad tillgänglighet för en viss uppsättning användningsfall. Om du inte har instruerats att använda sidan Defender för identitetsaktivering använder du vår huvudsakliga distributionsguide i stället.

Förutsättningar

Innan du aktiverar funktionerna i Defender for Identity på domänkontrollanten kontrollerar du att din miljö uppfyller kraven i det här avsnittet.

Konflikter mellan Defender för identitetssensorer

Konfigurationen som beskrivs i den här artikeln stöder inte installation sida vid sida med en befintlig Defender för identitetssensor och rekommenderas inte som ersättning för Defender for Identity-sensorn.

Kontrollera att domänkontrollanten där du planerar att aktivera Defender for Identity-funktioner inte har en Defender for Identity-sensor distribuerad.

Systemkrav

Direct Defender för identitetsfunktioner stöds endast på domänkontrollanter med något av följande operativsystem:

• Windows Server 2019
• Windows Server 2022

Du måste också ha den kumulativa uppdateringen för mars 2024 installerad.

Viktigt!

När du har installerat den kumulativa uppdateringen mars 2024 kan LSASS uppleva en minnesläcka på domänkontrollanter när lokala och molnbaserade Active Directory-domän Controllers-tjänsten Kerberos-autentiseringsbegäranden.

Det här problemet åtgärdas i out-of-band-uppdateringen KB5037422.

Registrering av Defender för Endpoint

Domänkontrollanten måste registreras för att Microsoft Defender för Endpoint.

Mer information finns i Registrera en Windows-server.

Behörigheter som krävs

För att få åtkomst till sidan Defender för identitetsaktivering måste du antingen vara säkerhetsadministratör eller ha följande enhetliga RBAC-behörigheter:

• Authorization and settings / System settings (Read and manage)
• Authorization and settings / Security setting (All permissions)

Mer information finns i:

• RBAC för enhetlig rollbaserad åtkomstkontroll
• Skapa en roll för att komma åt och hantera roller och behörigheter

Anslutningskrav

Defender for Identity-funktioner direkt på domänkontrollanter använder Defender för Slutpunkts-URL-slutpunkter för kommunikation, inklusive förenklade URL:er.

Mer information finns i Konfigurera din nätverksmiljö för att säkerställa anslutningen med Defender för Endpoint.

Konfigurera Windows-granskning

Defender för identitetsidentifieringar förlitar sig på specifika Windows-händelseloggposter för att förbättra identifieringarna och ge extra information om de användare som utför specifika åtgärder, till exempel NTLM-inloggningar och ändringar av säkerhetsgrupper.

Konfigurera Windows-händelsesamling på domänkontrollanten för att stödja Identifiering av Defender för identiteter. Mer information finns i Händelseinsamling med Microsoft Defender för identitet och Konfigurera granskningsprinciper för Windows-händelseloggar.

Du kanske vill använda PowerShell-modulen Defender för identitet för att konfigurera de inställningar som krävs. Mer information finns i:

• DefenderForIdentity-modul
• Defender för identitet i PowerShell-galleriet

Följande kommando definierar till exempel alla inställningar för domänen, skapar grupprincipobjekt och länkar dem.

Set-MDIConfiguration -Mode Domain -Configuration All

Aktivera Defender för identitetsfunktioner

När du har kontrollerat att din miljö är helt konfigurerad aktiverar du funktionerna i Microsoft Defender for Identity på domänkontrollanten.

1. I Defender-portalen väljer du Inställningar > Identiteter> Aktivering.

   På sidan Aktivering visas alla identifierade och berättigade domänkontrollanter.

2. Välj den domänkontrollant där du vill aktivera funktionerna i Defender för identitet och välj sedan Aktivera. Bekräfta ditt val när du uppmanas att göra det.

När aktiveringen är klar visas en grön lyckad banderoll. I banderollen väljer du Klicka här för att se de registrerade servrarna för att gå till sidan Inställningar > identitetssensorer>, där du kan kontrollera sensorhälsan.

Testa aktiverade funktioner

Första gången du aktiverar Defender för identitetsfunktioner på domänkontrollanten kan det ta upp till en timme innan den första sensorn visas som Körs på sidan Sensorer . Efterföljande aktiveringar visas inom fem minuter.

Defender for Identity-funktioner på domänkontrollanter stöder för närvarande följande Defender for Identity-funktioner:

• Undersökningsfunktioner på ITDR-instrumentpanelen, identitetsinventering och identitetsdata för avancerad jakt
• Angivna rekommendationer för säkerhetsstatus
• Angivna aviseringsidentifieringar
• Reparationsåtgärder
• Automatisk attackstörning

Använd följande procedurer för att testa din miljö för Defender för identitetsfunktioner på en domänkontrollant.

Kontrollera ITDR-instrumentpanelen

I Defender-portalen väljer du Instrumentpanel för identiteter > och granskar informationen som visas och söker efter förväntade resultat från din miljö.

Mer information finns i Arbeta med Defender för identitetens ITDR-instrumentpanel (förhandsversion).

Bekräfta information om entitetssidan

Bekräfta att entiteter, till exempel domänkontrollanter, användare och grupper, fylls i som förväntat.

I Defender-portalen söker du efter följande information:

• Enhetsentiteter: Välj Tillgångar > Enheter och välj datorn för den nya sensorn. Defender for Identity-händelser visas på enhetens tidslinje.

• Användarentiteter. Välj Tillgångar > Användare och sök efter användare från en nyligen registrerad domän. Alternativt kan du använda alternativet global sökning för att söka efter specifika användare. Sidor med användarinformation bör innehålla översiktsdata, observerade i organisationen och tidslinjedata .

• Gruppentiteter: Använd global sökning för att hitta en användargrupp eller pivotering från en användar- eller enhetsinformationssida där gruppinformation visas. Sök efter information om gruppmedlemskap, visa gruppanvändare och tidslinjedata för grupper.

  Om inga händelsedata hittas på gruppens tidslinje kan du behöva skapa några manuellt. Gör till exempel detta genom att lägga till och ta bort användare från gruppen i Active Directory.

Mer information finns i Undersöka tillgångar.

Testa avancerade jakttabeller

På sidan Avancerad jakt i Defender-portalen använder du följande exempelfrågor för att kontrollera att data visas i relevanta tabeller som förväntat för din miljö:

IdentityDirectoryEvents
| where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN

IdentityInfo 
| where AccountDomain contains "domain" // insert domain

IdentityQueryEvents 
| where DeviceName contains "DC_FQDN" // insert domain controller FQDN

Mer information finns i Avancerad jakt i Microsoft Defender-portalen.

Testa ISPM-rekommendationer (Identity Security Posture Management)

Defender for Identity-funktioner på domänkontrollanter stöder följande ISPM-utvärderingar:

• Installera Defender för identitetssensor på alla domänkontrollanter
• Microsoft LAPS-användning
• Lösa osäkra domänkonfigurationer
• Ange ett honeytoken-konto
• Osäkra kontoattribut
• Osäkra SID-historikattribut

Vi rekommenderar att du simulerar riskfyllt beteende i en testmiljö för att utlösa utvärderingar som stöds och kontrollera att de visas som förväntat. Till exempel:

1. Utlös en ny rekommendation om att lösa osäkra domänkonfigurationer genom att ange active directory-konfigurationen till ett icke-kompatibelt tillstånd och sedan returnera den till ett kompatibelt tillstånd. Kör till exempel följande kommandon:

   Så här anger du ett icke-kompatibelt tillstånd

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}
   

   Så här returnerar du det till ett kompatibelt tillstånd:

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}
   

   Så här kontrollerar du din lokala konfiguration:

   Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuota
   

2. I Microsoft Secure Score väljer du Rekommenderade åtgärder för att söka efter en ny rekommendation om att lösa osäkra domänkonfigurationer . Du kanske vill filtrera rekommendationer efter Defender for Identity-produkten .

Mer information finns i Microsoft Defender för identitetens säkerhetsstatusutvärderingar

Testa aviseringsfunktioner

Följande aviseringar stöds av Defender for Identity-funktioner på domänkontrollanter:

• Kontouppräkningsspaning
• Rekognosering av Active Directory-attribut med LDAP
• Fjärrkodkörning för Exchange Server (CVE-2021-26855)
• Honeytoken-användarattribut har ändrats
• Honeytoken efterfrågades via LDAP
• Honeytoken-autentiseringsaktivitet
• Honeytoken-gruppmedlemskap har ändrats
• Körningsförsök för fjärrkod
• Rekognosering av säkerhetsobjekt (LDAP)
• Misstänkt tjänstskapande
• Misstänkt NTLM-reläattack (Exchange-konto)

• Misstänkt ändring av attributet Resursbaserad begränsad delegering av ett datorkonto
• Misstänkta tillägg till känsliga grupper
• Misstänkt ändring av ett dNSHostName-attribut (CVE-2022-26923)
• Misstänkt ändring av ett sAMNameAccount-attribut (CVE-2021-42278 och CVE-2021-42287)
• Misstänkt DCShadow-attack (befordran av domänkontrollant)
• Misstänkt DFSCoerce-attack med distribuerat filsystemprotokoll 
• Misstänkt DCShadow-attack (replikeringsbegäran för domänkontrollant)
• Misstänkt kontoövertagande med skuggautentiseringsuppgifter
• Misstänkt SID-historikinmatning
• Misstänkt AD FS DKM-nyckel läses

Testa aviseringsfunktioner genom att simulera riskfylld aktivitet i en testmiljö. Till exempel:

• Tagga ett konto som ett honeytoken-konto och försök sedan logga in på honeytoken-kontot mot den aktiverade domänkontrollanten.
• Skapa en misstänkt tjänst på domänkontrollanten.
• Kör ett fjärrkommando på domänkontrollanten som administratör som är inloggad från din arbetsstation.

Mer information finns i Undersöka Säkerhetsaviseringar för Defender för identiteter i Microsoft Defender XDR.

Testa reparationsåtgärder

Testa reparationsåtgärder på en testanvändare. Till exempel:

1. I Defender-portalen går du till sidan med användarinformation för en testanvändare.

2. På alternativmenyn väljer du något eller allt av följande, ett i taget:

   • Inaktivera användare i AD
   • Aktivera användare i AD
   • Framtvinga lösenordsåterställning

3. Kontrollera Den förväntade aktiviteten i Active Directory.

Kommentar

Den aktuella versionen samlar inte in UAC-flaggorna (User Account Control) korrekt. Därför visas inaktiverade användare fortfarande som Aktiverade i portalen.

Mer information finns i Reparationsåtgärder i Microsoft Defender för identitet.

Inaktivera Defender för identitetsfunktioner på domänkontrollanten

Om du vill inaktivera Defender for Identity-funktioner på domänkontrollanten tar du bort den från sidan Sensorer :

1. I Defender-portalen väljer du Inställningar Identitetssensorer>.>
2. Välj den domänkontrollant där du vill inaktivera Defender för identitetsfunktioner, välj Ta bort och bekräfta ditt val.

Om du inaktiverar Defender för identitetsfunktioner från domänkontrollanten tar du inte bort domänkontrollanten från Defender för Endpoint. Mer information finns i Dokumentation om Defender för Endpoint.

Nästa steg

Mer information finns i Hantera och uppdatera Microsoft Defender för identitetssensorer.