Konfigurieren von Sensoren für AD FS und AD CS
Installieren Sie Defender for Identity-Sensoren auf Active Directory-Verbunddienste (AD FS) (AD FS) und Active Directory Certificate Services (AD CS)-Servern, um sie vor lokalen Angriffen zu schützen.
In diesem Artikel werden die Schritte beschrieben, die beim Installieren von Defender for Identity-Sensoren auf AD FS- oder AD CS-Servern erforderlich sind.
Hinweis
Für AD FS-Umgebungen wird der Defender for Identity-Sensor nur auf den Verbundservern unterstützt und ist auf den Web-Anwendungsproxy-Servern (WAP) nicht erforderlich. Für AD CS-Umgebungen müssen Sie den Sensor nicht auf ad CS-Servern installieren, die offline sind.
Voraussetzungen
Voraussetzungen für die Installation von Defender for Identity-Sensoren auf AD FS- oder AD CS-Servern sind identisch mit der Installation von Sensoren auf do Standard-Controllern. Weitere Informationen finden Sie unter Voraussetzungen für Microsoft Defender for Identity.
Beachten Sie, dass ein auf einem AD FS/AD CS-Server installierter Sensor das lokale Dienstkonto nicht zum Herstellen einer Verbindung mit der Domäne verwenden kann. Stattdessen müssen Sie ein Verzeichnisdienstkonto konfigurieren.
Darüber hinaus unterstützt der Defender for Identity-Sensor für AD CS nur AD CS-Server mit Rollendienst der Zertifizierungsstelle.
Konfigurieren der ausführlichen Protokollierung für AD FS-Ereignisse
Sensoren, die auf AD FS-Servern ausgeführt werden, müssen über die Überwachungsstufe "Ausführlich" für relevante Ereignisse verfügen. Verwenden Sie beispielsweise den folgenden Befehl, um die Überwachungsstufe ausführlich zu konfigurieren:
Set-AdfsProperties -AuditLevel Verbose
Weitere Informationen finden Sie unter:
- Erforderliche Ereignisse für Active Directory-Verbunddienste (AD FS)
- Konfigurieren der Active Directory-Verbunddienste (AD FS)
- Problembehandlung bei Active Directory-Verbunddienste (AD FS) mit Ereignissen und Protokollierung
Konfigurieren von Leseberechtigungen für die AD FS-Datenbank
Für Sensoren, die auf AD FS-Servern ausgeführt werden, um Zugriff auf die AD FS-Datenbank zu haben, müssen Sie Leseberechtigungen (db_datareader) für das entsprechende Verzeichnisdienstekonto erteilen.
Wenn Sie über mehrere AD FS-Server verfügen, stellen Sie sicher, dass Sie diese Berechtigung für alle benutzerübergreifend erteilen, da Datenbankberechtigungen nicht auf Servern repliziert werden.
Konfigurieren Sie den SQL Server so, dass das Verzeichnisdienstkonto mit den folgenden Berechtigungen für die AdfsConfiguration-Datenbank zugelassen wird:
- connect
- Anmelden
- read
- select
Hinweis
Wenn die AD FS-Datenbank auf einem dedizierten SQL-Server anstelle des lokalen AD FS-Servers ausgeführt wird und Sie ein gruppenverwaltetes Dienstkonto (gMSA) als Verzeichnisdienstekonto (Directory Services Account, DSA) verwenden, stellen Sie sicher, dass Sie dem SQL-Server die erforderlichen Berechtigungen zum Abrufen des gMSA-Kennworts erteilen.
Gewähren des Zugriffs auf die AD FS-Datenbank
Gewähren Des Zugriffs auf die Datenbank mithilfe von SQL Server Management Studio, TSQL oder PowerShell.
Die unten aufgeführten Befehle können beispielsweise hilfreich sein, wenn Sie die interne Windows-Datenbank (WID) oder einen externen SQL-Server verwenden.
In diesen Beispielcodes:
- [DOMAIN1\mdiSvc01] ist der Verzeichnisdienstbenutzer des Arbeitsbereichs. Wenn Sie mit einem gMSA arbeiten, fügen Sie am Ende des Benutzernamens $ hinzu. Beispiel: [DOMAIN1\mdiSvc01$]
- AdfsConfigurationV4 ist ein Beispiel für einen AD FS-Datenbanknamen und kann variieren.
- server=.\pipe\MICROSOFT##WID\tsql\query – ist die Verbindungszeichenfolge für die Datenbank, wenn Sie WID verwenden
Tipp
Wenn Sie Ihre Verbindungszeichenfolge nicht kennen, führen Sie die Schritte in der Windows Server-Dokumentation aus.
So gewähren Sie dem Sensor Zugriff auf die AD FS-Datenbank mithilfe von TSQL:
USE [master]
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
USE [AdfsConfigurationV4]
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]
GRANT CONNECT TO [DOMAIN1\mdiSvc01]
GRANT SELECT TO [DOMAIN1\mdiSvc01]
GO
So gewähren Sie den Sensorzugriff auf die AD FS-Datenbank mithilfe von PowerShell:
$ConnectionString = 'server=\\.\pipe\MICROSOFT##WID\tsql\query;database=AdfsConfigurationV4;trusted_connection=true;'
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master];
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [AdfsConfigurationV4];
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01];
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01];
GRANT CONNECT TO [DOMAIN1\mdiSvc01];
GRANT SELECT TO [DOMAIN1\mdiSvc01];
"@
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()
Konfigurieren der Ereignissammlung für AD FS/AD CS-Server
Wenn Sie mit AD FS/AD CS-Servern arbeiten, stellen Sie sicher, dass Sie die Überwachung nach Bedarf konfiguriert haben. Weitere Informationen finden Sie unter:
AD FS:
AD CS:
Überprüfen der erfolgreichen Bereitstellung auf AD FS/AD CS-Servern
So überprüfen Sie, ob der Defender for Identity-Sensor erfolgreich auf einem AD FS-Server bereitgestellt wurde:
Überprüfen Sie, ob der Azure Advanced Threat Protection-Sensordienst ausgeführt wird. Nachdem Sie die Einstellungen für den Defender for Identity-Sensor gespeichert haben, kann es ein paar Sekunden dauern, bis der Dienst gestartet wird.
Wenn der Dienst nicht gestartet wird, überprüfen Sie die
Microsoft.Tri.sensor-Errors.log
Datei standardmäßig unter:%programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs
Verwenden Sie AD FS oder AD CS, um einen Benutzer bei einer beliebigen Anwendung zu authentifizieren, und überprüfen Sie dann, ob die Authentifizierung von Defender for Identity beobachtet wurde.
Wählen Sie z. B. "Erweiterte>Suche suchen" aus. Geben Sie im Bereich Abfrage eine der folgenden Abfragen ein und führen Sie sie aus:
Für AD FS:
IdentityLogonEvents | where Protocol contains 'Adfs'
Der Ergebnisbereich sollte eine Liste von Ereignissen mit einem Anmeldetyp mit ADFS-Authentifizierung enthalten.
Für AD CS:
IdentityDirectoryEvents | where Protocol == "Adcs"
Der Ergebnisbereich sollte eine Liste der Ereignisse fehlgeschlagener und erfolgreicher Zertifikatausstellung enthalten. Wählen Sie eine bestimmte Zeile aus, um weitere Details im linken Bereich "Datensatz prüfen" anzuzeigen. Zum Beispiel:
Schritte nach der Installation für AD FS/AD CS-Server (optional)
Durch die Installation des Sensors auf einem AD FS/AD CS-Server wird automatisch der nächstgelegene Do Standard Controller ausgewählt. Führen Sie die folgenden Schritte aus, um den ausgewählten Do Standard controller zu überprüfen oder zu ändern.
Wechseln Sie in Microsoft Defender XDR zu Einstellungen> Identities>Sensors, um alle Ihre Defender for Identity-Sensoren anzuzeigen.
Suchen Sie den Sensor, den Sie auf einem AD FS/AD CS-Server installiert haben, und wählen Sie ihn aus.
Geben Sie im daraufhin geöffneten Bereich im Feld "Do Standard Controller (FQDN) den FQDN der Resolver-Do Standard controller ein. Wählen Sie +Hinzufügen aus, um den FQDN hinzuzufügen, und wählen Sie dann "Speichern" aus. Zum Beispiel:
Die Initialisierung des Sensors kann einige Minuten dauern, zu dem sich der AD FS/AD CS-Sensordienststatus von "Angehalten" in "Ausgeführt" ändern sollte.
Zugehöriger Inhalt
Weitere Informationen finden Sie unter:
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter:Einreichen und Feedback anzeigen für