直接在域控制器上啟用 適用於身分識別的 Microsoft Defender 功能

適用於端點的 Microsoft Defender 已將其域控制器上線至適用於端點的Defender的客戶，可以直接在域控制器上啟用 適用於身分識別的 Microsoft Defender功能，而不是使用 適用於身分識別的 Microsoft Defender傳統感測器。

本文說明如何在域控制器上啟用和測試 適用於身分識別的 Microsoft Defender 功能。

重要事項

建議將適用於身分識別的新 Defender 感測器 (3.x 版) ，供想要將核心身分識別保護部署至執行 2019 Windows Server 或更新版本的新域控制器的客戶使用。 對於所有其他身分識別基礎結構，或是想要部署目前可從 適用於身分識別的 Microsoft Defender 取得之最強固身分識別保護的客戶，建議您在這裡部署傳統感測器。

必要條件

在域控制器上啟用適用於身分識別的 Defender 功能之前，請確定您的環境符合本節中的必要條件。

適用於身分識別的Defender感測器衝突

本文所述的設定不支援與現有的適用於身分識別的 Defender 感測器並存安裝，也不建議取代適用於身分識別的 Defender 傳統感測器。

請確定您打算啟用適用於身分識別的Defender功能的域控制器未部署 適用於身分識別的Defender感測器 。

系統需求

只有使用下列其中一個作系統，域控制器才支援適用於身分識別的 Direct Defender 功能：

• Windows Server 2019 或更新版本
• 2024 年 3 月累積更新 或更新版本

重要事項

安裝 2024 年 3 月累積更新之後，當內部部署和雲端式 Active Directory 網域 控制器服務 Kerberos 驗證要求時，LSASS 可能會在域控制器上發生記憶體流失。

此問題已在頻外更新 KB5037422中解決。

適用於端點的Defender上線

您的域控制器必須上線才能 適用於端點的 Microsoft Defender。

如需詳細資訊， 請參閱將 Windows 伺服器上線。

許可權需求

若要存取適用於身分識別 的 Defender 啟用 頁面，您必須是 安全性系統管理員，或具有下列整合 RBAC 許可權：

• Authorization and settings / System settings (Read and manage)
• Authorization and settings / Security setting (All permissions)

如需詳細資訊，請參閱：

• 整合角色型訪問控制 RBAC
• 建立角色以存取和管理角色和許可權

連線要求

適用於身分識別的 Defender 功能會直接在域控制器上使用適用於端點的 Defender URL 端點進行通訊，包括簡化的 URL。

如需詳細資訊， 請參閱設定您的網路環境以確保與適用於端點的 Defender 連線。

設定 Windows 稽核

適用於身分識別的 Defender 偵測依賴特定的 Windows 事件記錄檔專案來增強偵測，並提供執行特定動作之使用者的額外資訊，例如 NTLM 登入和安全組修改。

在域控制器上設定 Windows 事件集合，以支援適用於身分識別的 Defender 偵測。 如需詳細資訊，請參閱使用 適用於身分識別的 Microsoft Defender 事件收集和設定 Windows 事件記錄檔的稽核原則。

您可能想要使用適用於身分識別的Defender PowerShell模組來設定必要的設定。 如需詳細資訊，請參閱：

• DefenderForIdentity 模組
• PowerShell 資源庫 中適用於身分識別的Defender

例如，下列命令會定義網域的所有設定、建立組策略物件，並鏈接它們。

Set-MDIConfiguration -Mode Domain -Configuration All

啟用適用於身分識別的Defender功能

確保您的環境已完全設定之後，請在域控制器上啟用 適用於身分識別的 Microsoft Defender 功能。

從 Microsoft Defender 入口網站啟用適用於身分識別的Defender。

1. 流覽至 [系統>設定身分>識別>啟用]。

   [啟用] 頁面會列出在裝置清查中探索到並識別為合格域控制器的伺服器。

2. 選取您要啟用適用於身分識別的Defender功能的域控制器，然後選取[ 啟用]。 出現提示時，請確認您的選擇。

   

   注意事項

   您可以選擇自動啟用合格的域控制器，其中適用於身分識別的 Defender 會在探索到它們時立即啟動它們，或手動從合格伺服器清單中選取特定域控制器。

3. 啟用完成時，會顯示綠色成功橫幅。 在橫幅中，選取 [按兩下這裡查看已上線的伺服器] 以跳至 [設定身>>分識別感測器] 頁面，您可以在其中檢查感測器健康情況。

   

上線確認

若要確認感測器已上線：

1. 流覽至 [系統>設定身分>識別>感測器]。

2. 檢查已上線的域控制器是否已列出。

注意事項

啟用不需要重新啟動/重新啟動。 第一次在域控制器上啟用適用於身分識別的Defender功能時，可能需要一小時的時間，第一個感測器才會在 [感測器] 頁面上顯示 為 [正在 執行] 。 後續啟用會在五分鐘內顯示。

測試啟動的功能

第一次在域控制器上啟用適用於身分識別的Defender功能時，可能需要一小時的時間，第一個感測器才會在 [感測器] 頁面上顯示 為 [正在 執行] 。 後續啟用會在五分鐘內顯示。

域控制器上的適用於身分識別的 Defender 功能目前支援下列適用於身分識別的 Defender 功能：

• ITDR 儀錶板上的調查功能、身分識別清查和身分識別進階搜捕數據
• 指定的安全性狀態建議
• 指定的警示偵測
• 補救動作
• 自動攻擊中斷

使用下列程式在域控制器上測試適用於身分識別的Defender功能的環境。

檢查 ITDR 儀錶板

在 Defender 入口網站中，選取 [ 身分識別>儀錶板]，然後檢閱顯示的詳細數據，檢查您的環境是否預期會產生結果。

如需詳細資訊，請 參閱使用適用於身分識別的DefenderITDR儀錶板。

確認實體頁面詳細數據

確認如預期般填入域控制器、使用者和群組等實體。

在Defender入口網站中，檢查下列詳細數據：

• 裝置實體：選取 [資產 > 裝置]，然後選取新感測器的計算機。 適用於身分識別的 Defender 事件會顯示在裝置時間軸上。

• 用戶實體：選取 [資產 > 使用者 ]，並檢查新上線網域中的使用者。 或者，使用 [全域搜尋] 選項來搜尋特定使用者。 使用者詳細數據頁面應包含 [概觀]、[ 在組織中觀察到] 和 [ 時程表 數據]。

• 群組實體：使用 全域搜尋 來尋找使用者群組，或從顯示群組詳細數據的使用者或裝置詳細數據頁面進行樞紐分析。 檢查群組成員資格、檢視群組使用者和群組時程表數據的詳細數據。

  如果在群組時間軸上找不到事件數據，您可能需要手動建立一些事件數據。 例如，在 Active Directory 中新增和移除群組中的用戶來執行此動作。

如需詳細資訊，請 參閱調查資產。

測試進階搜捕數據表

在 Defender 入口網站的 [ 進階搜捕 ] 頁面中，使用下列範例查詢來檢查數據是否如您環境預期般出現在相關數據表中：

IdentityDirectoryEvents
| where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN

IdentityInfo 
| where AccountDomain contains "domain" // insert domain

IdentityQueryEvents 
| where DeviceName contains "DC_FQDN" // insert domain controller FQDN

如需詳細資訊，請參閱 Microsoft Defender 入口網站中的進階搜捕。

測試身分識別安全性狀態管理 (ISPM) 建議

建議您模擬測試環境中的風險行為，以觸發支援的評定，並確認評定是否如預期般顯示。 例如：

1. 觸發新的 解決不安全的網域設定 建議，方法是將 Active Directory 組態設定為不符合規範的狀態，然後將它傳回符合規範的狀態。 例如，執行下列命令：

   若要設定不符合規範的狀態

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}
   

   若要將它傳回符合規範的狀態：

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}
   

   若要檢查您的本機設定：

   Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuota
   

2. 在 [Microsoft 安全分數] 中，選取 [建議的動作 ] 以檢查是否有新的 解決不安全的網域設定 建議。 您可能想要篩選 適用於身分識別的Defender 產品的建議。

如需詳細資訊，請參閱 適用於身分識別的 Microsoft Defender 的安全性狀態評估

測試警示功能

藉由模擬測試環境中有風險的活動來測試警示功能。 例如：

• 將帳戶標記為 honeytoken 帳戶，然後嘗試針對已啟用的域控制器登入 honeytoken 帳戶。
• 在域控制器上建立可疑的服務。
• 以系統管理員身分從您的工作站登入，在域控制器上執行遠端命令。

如需詳細資訊，請參閱在 Microsoft Defender 全面偵測回應 中調查適用於身分識別的Defender安全性警示。

測試補救動作

測試使用者的補救動作。 例如：

1. 在 Defender 入口網站中，移至測試使用者的使用者詳細數據頁面。

2. 從 [ 選項] 功能表中，選取任何可用的補救動作。

3. 檢查 Active Directory 是否有預期的活動。

如需詳細資訊，請參閱 適用於身分識別的 Microsoft Defender 中的補救動作。

在域控制器上停用適用於身分識別的Defender功能

如果您想要在域控制器上停用適用於身分識別的 Defender 功能，請從 [ 感測器 ] 頁面刪除它：

1. 在 Defender 入口網站中，選取 [ 設定身>分識別>感測器]。

2. 選取您要停用適用於身分識別的 Defender 功能的域控制器，選取 [ 刪除]，然後確認您的選擇。

   

從域控制器停用適用於身分識別的Defender功能並不會從適用於端點的Defender 移除域控制器。 如需詳細資訊，請參閱 適用於端點的Defender檔。

後續步驟

如需詳細資訊，請參閱管理和更新 適用於身分識別的 Microsoft Defender 感測器。