直接在域控制器上啟用 適用於身分識別的 Microsoft Defender 功能

適用於端點的 Microsoft Defender 已將其域控制器上線至適用於端點的Defender的客戶，可以直接在域控制器上啟用 適用於身分識別的 Microsoft Defender功能，而不是使用 適用於身分識別的 Microsoft Defender感測器。

本文說明如何在域控制器上啟用和測試 適用於身分識別的 Microsoft Defender 功能。

重要事項

本文中的資訊與一組選取的使用案例目前可用性有限的功能有關。 如果您未被導向使用適用於身分識別的 Defender 啟用 頁面，請改用我們 的主要部署指南 。

必要條件

在域控制器上啟用適用於身分識別的 Defender 功能之前，請確定您的環境符合本節中的必要條件。

適用於身分識別的Defender感測器衝突

本文所述的設定不支援與現有的適用於身分識別的 Defender 感測器並存安裝，也不建議取代適用於身分識別的 Defender 感測器。

請確定您打算啟用適用於身分識別的Defender功能的域控制器未部署 適用於身分識別的Defender感測器 。

系統需求

只有使用下列其中一個操作系統，域控制器才支援適用於身分識別的 Direct Defender 功能：

• Windows Server 2019
• Windows Server 2022

您也必須安裝 2024 年 3 月的累積更新 。

重要事項

安裝 2024 年 3 月累積更新之後，當內部部署和雲端式 Active Directory 網域 控制器服務 Kerberos 驗證要求時，LSASS 可能會在域控制器上發生記憶體流失。

此問題已在頻外更新 KB5037422中解決。

適用於端點的Defender上線

您的域控制器必須上線才能 適用於端點的 Microsoft Defender。

如需詳細資訊， 請參閱將 Windows 伺服器上線。

必要權限

若要存取適用於身分識別 的 Defender 啟用 頁面，您必須是 安全性系統管理員，或具有下列整合 RBAC 許可權：

• Authorization and settings / System settings (Read and manage)
• Authorization and settings / Security setting (All permissions)

如需詳細資訊，請參閱：

• 整合角色型訪問控制 RBAC
• 建立角色以存取和管理角色和許可權

連線要求

適用於身分識別的 Defender 功能會直接在域控制器上使用適用於端點的 Defender URL 端點進行通訊，包括簡化的 URL。

如需詳細資訊， 請參閱設定您的網路環境以確保與適用於端點的 Defender 連線。

設定 Windows 稽核

適用於身分識別的 Defender 偵測依賴特定的 Windows 事件記錄檔專案來增強偵測，並提供執行特定動作之使用者的額外資訊，例如 NTLM 登入和安全組修改。

在域控制器上設定 Windows 事件集合，以支援適用於身分識別的 Defender 偵測。 如需詳細資訊，請參閱使用 適用於身分識別的 Microsoft Defender 事件收集和設定 Windows 事件記錄檔的稽核原則。

您可能想要使用適用於身分識別的Defender PowerShell模組來設定必要的設定。 如需詳細資訊，請參閱：

• DefenderForIdentity 模組
• PowerShell 資源庫 中適用於身分識別的Defender

例如，下列命令會定義網域的所有設定、建立組策略物件，並鏈接它們。

Set-MDIConfiguration -Mode Domain -Configuration All

啟用適用於身分識別的Defender功能

確保您的環境已完全設定之後，請在域控制器上啟用 適用於身分識別的 Microsoft Defender 功能。

1. 在 Defender 入口網站中，選取 [ 設定身 > 分識別 >啟用]。

   [ 啟用] 頁面會列出任何偵測到且符合資格的域控制器。

2. 選取您要啟用適用於身分識別的Defender功能的域控制器，然後選取[ 啟用]。 出現提示時，請確認您的選擇。

啟用完成時，會顯示綠色成功橫幅。 在橫幅中，選取 [按兩下這裡查看已上線的伺服器] 以跳至 [設定身>>分識別感測器] 頁面，您可以在其中檢查感測器健康情況。

測試啟動的功能

第一次在域控制器上啟用適用於身分識別的Defender功能時，可能需要一小時的時間，第一個感測器才會在 [感測器] 頁面上顯示 為 [正在 執行] 。 後續啟用會在五分鐘內顯示。

域控制器上的適用於身分識別的 Defender 功能目前支援下列適用於身分識別的 Defender 功能：

• ITDR 儀錶板上的調查功能、身分識別清查和身分識別進階搜捕數據
• 指定的安全性狀態建議
• 指定的警示偵測
• 補救動作
• 自動攻擊中斷

使用下列程式在域控制器上測試適用於身分識別的Defender功能的環境。

檢查 ITDR 儀錶板

在 Defender 入口網站中，選取 [ 身分識別 > 儀錶板 ]，並檢閱顯示的詳細數據，並檢查您的環境預期結果。

如需詳細資訊， 請參閱使用適用於身分識別的DefenderITDR儀錶板 (預覽) 。

確認實體頁面詳細數據

確認如預期般填入域控制器、使用者和群組等實體。

在Defender入口網站中，檢查下列詳細數據：

• 裝置實體：選取 [資產 > 裝置]，然後選取新感測器的計算機。 適用於身分識別的 Defender 事件會顯示在裝置時間軸上。

• 用戶實體。 選取 [資產 > 使用者 ]，並檢查新上線網域中的使用者。 或者，使用 [全域搜尋] 選項來搜尋特定使用者。 使用者詳細數據頁面應包含 [概觀]、[ 在組織中觀察到] 和 [ 時程表 數據]。

• 群組實體：使用 全域搜尋 來尋找使用者群組，或從顯示群組詳細數據的使用者或裝置詳細數據頁面進行樞紐分析。 檢查群組成員資格、檢視群組使用者和群組時程表數據的詳細數據。

  如果在群組時間軸上找不到事件數據，您可能需要手動建立一些事件數據。 例如，在 Active Directory 中新增和移除群組中的用戶來執行此動作。

如需詳細資訊，請 參閱調查資產。

測試進階搜捕數據表

在 Defender 入口網站的 [ 進階搜捕 ] 頁面中，使用下列範例查詢來檢查數據是否如您環境預期般出現在相關數據表中：

IdentityDirectoryEvents
| where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN

IdentityInfo 
| where AccountDomain contains "domain" // insert domain

IdentityQueryEvents 
| where DeviceName contains "DC_FQDN" // insert domain controller FQDN

如需詳細資訊，請參閱 Microsoft Defender 入口網站中的進階搜捕。

測試身分識別安全性狀態管理 (ISPM) 建議

域控制器上適用於身分識別的 Defender 功能支援下列 ISPM 評定：

• 在所有域控制器上安裝適用於身分識別感測器的Defender
• Microsoft LAPS 使用量
• 解決不安全的網域設定
• 設定 honeytoken 帳戶
• 不安全的帳戶屬性
• 不安全的 SID 記錄屬性

建議您模擬測試環境中的風險行為，以觸發支援的評定，並確認評定是否如預期般顯示。 例如：

1. 觸發新的 解決不安全的網域設定 建議，方法是將 Active Directory 組態設定為不符合規範的狀態，然後將它傳回符合規範的狀態。 例如，執行下列命令：

   若要設定不符合規範的狀態

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}
   

   若要將它傳回符合規範的狀態：

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}
   

   若要檢查您的本機設定：

   Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuota
   

2. 在 [Microsoft 安全分數] 中，選取 [建議的動作 ] 以檢查是否有新的 解決不安全的網域設定 建議。 您可能想要篩選 適用於身分識別的Defender 產品的建議。

如需詳細資訊，請參閱 適用於身分識別的 Microsoft Defender 的安全性狀態評估

測試警示功能

域控制器上的適用於身分識別的Defender功能支援下列警示：

• 帳戶列舉偵察
• 使用LDAP的Active Directory屬性偵察
• Exchange Server 遠端程式代碼執行 (CVE-2021-26855)
• Honeytoken 用戶屬性已修改
• Honeytoken 是透過LDAP查詢
• Honeytoken 驗證活動
• Honeytoken 群組成員資格已變更
• 遠端程式代碼執行嘗試
• LDAP) (安全性主體偵察
• 可疑的服務建立
• 可疑的 NTLM 轉送攻擊 (Exchange 帳戶)

• 計算機帳戶對資源型限制委派屬性的可疑修改
• 敏感性群組的可疑新增
• CVE-2022-26923 (dNSHostName 屬性的可疑修改)
• 可疑修改 CVE-2021-42278 和 CVE-2021-42287 (sAMNameAccount 属性)
• 域控制器升級 (可疑的DCShadow攻擊)
• 使用分散式文件系統通訊協定的可疑 DFSCoerce 攻擊 
• 域控制器複寫要求 (可疑的DCShadow攻擊)
• 使用陰影認證的可疑帳戶接管
• 可疑的 SID-History 插入
• 可疑的AD FS DKM 金鑰讀取

藉由模擬測試環境中有風險的活動來測試警示功能。 例如：

• 將帳戶標記為 honeytoken 帳戶，然後嘗試針對已啟用的域控制器登入 honeytoken 帳戶。
• 在域控制器上建立可疑的服務。
• 以系統管理員身分從您的工作站登入，在域控制器上執行遠端命令。

如需詳細資訊，請參閱在 Microsoft Defender 全面偵測回應 中調查適用於身分識別的Defender安全性警示。

測試補救動作

測試使用者的補救動作。 例如：

1. 在 Defender 入口網站中，移至測試使用者的使用者詳細數據頁面。

2. 從 [選項] 功能表中，選取下列任一或所有專案，一次一個：

   • 在 AD 中停用使用者
   • 在 AD 中啟用使用者
   • 強制重設密碼

3. 檢查 Active Directory 是否有預期的活動。

注意事項

目前的版本不會正確收集用戶帳戶控制 (UAC) 旗標。 因此，已停用的使用者在入口網站中仍會顯示為 [已啟用]。

如需詳細資訊，請參閱 適用於身分識別的 Microsoft Defender 中的補救動作。

在域控制器上停用適用於身分識別的Defender功能

如果您想要在域控制器上停用適用於身分識別的 Defender 功能，請從 [ 感測器 ] 頁面刪除它：

1. 在 Defender 入口網站中，選取 [ 設定身 > 分識別 > 感測器]。
2. 選取您要停用適用於身分識別的 Defender 功能的域控制器，選取 [ 刪除]，然後確認您的選擇。

從域控制器停用適用於身分識別的Defender功能並不會從適用於端點的Defender 移除域控制器。 如需詳細資訊，請參閱 適用於端點的Defender檔。

後續步驟

如需詳細資訊，請參閱管理和更新 適用於身分識別的 Microsoft Defender 感測器。