直接在域控制器上激活Microsoft Defender for Identity功能

Microsoft Defender for Endpoint已将域控制器载入 Defender for Endpoint 的客户可以直接在域控制器上激活Microsoft Defender for Identity功能，而无需使用Microsoft Defender for Identity传感器。

本文介绍如何在域控制器上激活和测试Microsoft Defender for Identity功能。

重要

本文中的信息与一组选定用例目前可用性有限的功能有关。 如果未指示使用 Defender for Identity Activation 页面，请改用我们的 main 部署指南。

先决条件

在域控制器上激活 Defender for Identity 功能之前，请确保环境符合本部分中的先决条件。

Defender for Identity 传感器冲突

本文中所述的配置不支持与现有 Defender for Identity 传感器并行安装，建议不要作为 Defender for Identity 传感器的替代品。

确保计划在其中激活 Defender for Identity 功能的域控制器未部署 Defender for Identity 传感器 。

系统要求

Direct Defender for Identity 功能仅在域控制器上受支持，使用以下操作系统之一：

• Windows Server 2019
• Windows Server 2022

还必须安装 2024 年 3 月累积更新 。

重要

安装 2024 年 3 月累积更新后，当本地和基于云的Active Directory 域控制器服务 Kerberos 身份验证请求时，LSASS 可能会在域控制器上遇到内存泄漏。

此问题在带外更新 KB5037422中得到解决。

Defender for Endpoint 载入

域控制器必须载入到Microsoft Defender for Endpoint。

有关详细信息，请参阅 载入 Windows 服务器。

所需权限

若要访问 Defender for Identity Activation 页面，你必须是 安全管理员，或者具有以下统一 RBAC 权限：

• Authorization and settings / System settings (Read and manage)
• Authorization and settings / Security setting (All permissions)

有关更多信息，请参阅：

• 统一的基于角色的访问控制 RBAC
• 创建角色以访问和管理角色和权限

连接要求

域控制器上的 Defender for Identity 功能直接使用 Defender for Endpoint URL 终结点进行通信，包括简化的 URL。

有关详细信息，请参阅 配置网络环境以确保与 Defender for Endpoint 的连接。

配置 Windows 审核

Defender for Identity 检测依赖于特定的 Windows 事件日志条目来增强检测，并提供有关用户执行特定操作（例如 NTLM 登录和安全组修改）的额外信息。

在域控制器上配置 Windows 事件集合以支持 Defender for Identity 检测。 有关详细信息，请参阅使用Microsoft Defender for Identity事件集合和配置 Windows 事件日志的审核策略。

你可能想要使用 Defender for Identity PowerShell 模块来配置所需的设置。 有关更多信息，请参阅：

• DefenderForIdentity 模块
• PowerShell 库中的 Defender for Identity

例如，以下命令定义域的所有设置，创建组策略对象并链接它们。

Set-MDIConfiguration -Mode Domain -Configuration All

激活 Defender for Identity 功能

确保环境已完全配置后，请在域控制器上激活Microsoft Defender for Identity功能。

1. 在 Defender 门户中，选择 “设置 > 标识 >激活”。

   “ 激活 ”页列出了所有检测到的和符合条件的域控制器。

2. 选择要在其中激活 Defender for Identity 功能的域控制器，然后选择“ 激活”。 出现提示时确认你的选择。

激活完成后，会显示绿色成功横幅。 在横幅中，选择“单击此处查看载入的服务器”，跳转到“设置>标识>传感器”页，可在其中检查传感器运行状况。

测试激活的功能

首次在域控制器上激活 Defender for Identity 功能时，第一个传感器可能需要长达一个小时才能在“传感器”页上显示为“正在运行”。 后续激活将在五分钟内显示。

域控制器上的 Defender for Identity 功能目前支持以下 Defender for Identity 功能：

• 有关 ITDR 仪表板、标识清单和标识高级搜寻数据的调查功能
• 指定安全态势建议
• 指定的警报检测
• 修正操作
• 自动攻击中断

使用以下过程在域控制器上测试 Defender for Identity 功能的环境。

检查 ITDR 仪表板

在 Defender 门户中，选择“ 标识 > 仪表板” 并查看显示的详细信息，检查环境中的预期结果。

有关详细信息，请参阅使用 Defender for Identity 的 ITDR 仪表板 (预览版) 。

确认实体页详细信息

确认实体（如域控制器、用户和组）已按预期填充。

在 Defender 门户中，检查以下详细信息：

• 设备实体：选择“ 资产 > 设备”，然后选择新传感器的计算机。 Defender for Identity 事件显示在设备时间线上。

• 用户实体。 为新加入的域中的用户选择“资产>用户”和“检查”。 或者，使用“全局搜索”选项搜索特定用户。 用户详细信息页应包括“概述”、“在组织中观察到”和“时间线”数据。

• 组实体：使用全局搜索查找用户组，或者从显示组详细信息的用户或设备详细信息页透视。 检查组成员身份、查看组用户和组时间线数据的详细信息。

  如果在组时间线上找不到事件数据，则可能需要手动创建一些数据。 例如，通过在 Active Directory 的组中添加和删除用户来执行此操作。

有关详细信息，请参阅 调查资产。

测试高级搜寻表

在 Defender 门户的“高级搜寻”页中，使用以下示例查询检查该数据按环境预期显示在相关表中：

IdentityDirectoryEvents
| where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN

IdentityInfo 
| where AccountDomain contains "domain" // insert domain

IdentityQueryEvents 
| where DeviceName contains "DC_FQDN" // insert domain controller FQDN

有关详细信息，请参阅 Microsoft Defender 门户中的高级搜寻。

测试标识安全态势管理 (ISPM) 建议

域控制器上的 Defender for Identity 功能支持以下 ISPM 评估：

• 在所有域控制器上安装 Defender for Identity Sensor
• Microsoft LAPS 使用情况
• 解决不安全的域配置
• 设置蜜标帐户
• 不安全的帐户属性
• 不安全的 SID 历史记录属性

建议在测试环境中模拟风险行为，以触发支持的评估并验证它们是否按预期显示。 例如：

1. 通过将 Active Directory 配置设置为不合规状态，然后将其返回到合规状态，来触发新的 “解决不安全的域配置 ”建议。 例如，运行以下命令：

   设置不合规状态

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}
   

   若要将其返回到合规状态，可：

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}
   

   若要检查本地配置，请执行以下操作：

   Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuota
   

2. 在“Microsoft安全功能分数”中，选择“建议的操作”以检查新的“解决不安全的域配置”建议。 你可能希望按 Defender for Identity 产品筛选建议。

有关详细信息，请参阅Microsoft Defender for Identity的安全状况评估

测试警报功能

域控制器上的 Defender for Identity 功能支持以下警报：

• 帐户枚举侦查
• 使用 LDAP 的 Active Directory 属性侦查
• Exchange Server远程代码执行 (CVE-2021-26855)
• 修改了 Honeytoken 用户属性
• 通过 LDAP 查询了 Honeytoken
• Honeytoken 身份验证活动
• Honeytoken 组成员身份已更改
• 远程代码执行尝试
• 安全主体侦查 (LDAP)
• 可疑服务创建
• 可疑的 NTLM 中继攻击 (Exchange 帐户)

• 计算机帐户对基于资源的约束委派属性的可疑修改
• 对敏感组的可疑添加
• 可疑修改 dNSHostName 属性 (CVE-2022-26923)
• sAMNameAccount 属性的可疑修改 (CVE-2021-42278 和 CVE-2021-42287)
• 可疑 DCShadow 攻击 (域控制器升级)
• 使用分布式文件系统协议的可疑 DFSCoerce 攻击 
• 域控制器复制请求 (可疑 DCShadow 攻击)
• 使用影子凭据的可疑帐户接管
• 可疑 SID-History 注入
• 可疑的 AD FS DKM 密钥读取

通过模拟测试环境中的风险活动来测试警报功能。 例如：

• 将帐户标记为蜜标帐户，然后尝试针对激活的域控制器登录到 honeytoken 帐户。
• 在域控制器上创建可疑服务。
• 以管理员身份从工作站登录，在域控制器上运行远程命令。

有关详细信息，请参阅调查 Microsoft Defender XDR 中的 Defender for Identity 安全警报。

测试修正操作

对测试用户测试修正操作。 例如：

1. 在 Defender 门户中，转到测试用户的用户详细信息页。

2. 从“选项”菜单中，选择以下任一项或全部选项，一次选择一项：

   • 在 AD 中禁用用户
   • 在 AD 中启用用户
   • 强制密码重置

3. 检查 Active Directory 中是否有预期活动。

注意

当前版本未正确收集用户帐户控制 (UAC) 标志。 因此，禁用的用户在门户中仍显示为“已启用”。

有关详细信息，请参阅 Microsoft Defender for Identity 中的修正操作。

在域控制器上停用 Defender for Identity 功能

如果要在域控制器上停用 Defender for Identity 功能，请从 “传感器 ”页中删除它：

1. 在 Defender 门户中，选择 “设置 > 标识 > 传感器”。
2. 选择要在其中停用 Defender for Identity 功能的域控制器，选择“ 删除”，然后确认选择。

从域控制器中停用 Defender for Identity 功能不会从 Defender for Endpoint 中删除域控制器。 有关详细信息，请参阅 Defender for Endpoint 文档。

后续步骤

有关详细信息，请参阅管理和更新Microsoft Defender for Identity传感器。