Microsoft Defender for Identity auf Active Directory-Verbunddienste (AD FS) (AD FS)

Defender for Identity schützt die Active Directory-Verbunddienste (AD FS) (AD FS) in Ihrer Umgebung, indem lokale Angriffe auf AD FS-Server erkannt werden. Dieser Artikel enthält eine Kurzübersicht zum Installieren von Microsoft Defender for Identity auf Ihren Active Directory-Verbunddienste (AD FS)-Servern.

Serverspezifikationen

Der Defender for Identity-Sensor unterstützt die Installation auf Active Directory-Verbunddienste (AD FS) -Servern (AD FS), wie in der folgenden Tabelle gezeigt:

Betriebssystemversion Server mit Desktopumgebung Server Core Nano Server
Windows Server 2016
Windows Server 2019
Windows Server 2022

Hinweis

Der Defender for Identity-Sensor wird nur auf den Verbundservern unterstützt. Dies ist auf den WAP-Servern (Web Anwendungsproxy) nicht erforderlich.

Informationen zu Hardwareanforderungen finden Sie unter Defender for Identity-Serverspezifikationen.

Netzwerkanforderungen

Damit Sensoren, die auf AD FS-Servern ausgeführt werden, mit dem Defender for Identity-Clouddienst kommunizieren können, müssen Sie Port 443 in Ihren Firewalls und Proxys für <your-instance-name>sensorapi.atp.azure.comöffnen, z. B. contoso-corpsensorapi.atp.azure.com. Weitere Informationen finden Sie unter Konfigurieren von Endpunktproxy- und Internetkonnektivitätseinstellungen für Ihren Microsoft Defender for Identity Sensor.

AD FS-Windows-Ereignisprotokolle

Konfigurieren Sie für Sensoren, die auf AD FS-Servern ausgeführt werden, die Überwachungsebene mit dem folgenden Befehl auf Ausführlich :

Set-AdfsProperties -AuditLevel Verbose

Informationen zum Konfigurieren der Überwachungsstufe finden Sie unter Informationen zur Ereignisüberwachung für AD FS. Die folgenden Ereignisse sollten nachverfolgt werden:

  • 1202: Der Verbunddienst hat eine neue Anmeldeinformation validiert.
  • 1203: Der Verbunddienst konnte eine neue Anmeldeinformation nicht validieren.
  • 4624: Ein Konto wurde erfolgreich angemeldet.
  • 4625: Fehler beim Anmelden eines Kontos.

AD FS-Datenbankberechtigungen

Damit Sensoren, die auf AD FS-Servern ausgeführt werden, Zugriff auf die AD FS-Datenbank haben, müssen Sie leseberechtigungen (db_datareader) für das entsprechende konfigurierte Verzeichnisdienstekonto erteilen. Wenn Sie über mehrere AD FS-Server verfügen, sollte dies für alle ausgeführt werden, da die Datenbankberechtigungen nicht zwischen ihnen repliziert werden.

Hinweis

Wenn die AD FS-Datenbank auf einem dedizierten SQL-Server und nicht auf dem lokalen AD FS-Server ausgeführt wird und Sie ein gruppenverwaltetes Dienstkonto (Group Managed Service Account, gMSA) als Verzeichnisdienstkonto (Directory Services Account, DSA) verwenden, stellen Sie sicher, dass Sie sql Server die erforderlichen Berechtigungen zum Abrufen des Kennworts des gMSA erteilen.

Gewusst wie zugriff auf die AD FS-Datenbank über TSQL oder PowerShell gewähren?

Anstatt SQL Server Management Studio zu verwenden, können Sie zugriff auf die AD FS-Datenbank entweder über TSQL oder über PowerShell gewähren. Wenn Sie beispielsweise die interne Windows-Datenbank (WID) oder einen externen SQL-Server verwenden, können diese Befehle hilfreich sein.

So gewähren Sie dem Sensor mithilfe von TSQL Zugriff auf die AD FS-Datenbank:

USE [master]
CREATE LOGIN [DOMAIN1\triservice] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
USE [AdfsConfigurationV4]
CREATE USER [DOMAIN1\triservice] FOR LOGIN [DOMAIN1\triservice]
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\triservice]
GRANT CONNECT TO [DOMAIN1\triservice]
GRANT SELECT TO [DOMAIN1\triservice]
GO

So gewähren Sie dem Sensor mithilfe von PowerShell Zugriff auf die AD FS-Datenbank:

$ConnectionString = 'server=\\.\pipe\MICROSOFT##WID\tsql\query;database=AdfsConfigurationV4;trusted_connection=true;'
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [DOMAIN1\triservice] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [AdfsConfigurationV4]; 
CREATE USER [DOMAIN1\triservice] FOR LOGIN [DOMAIN1\triservice]; 
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\triservice]; 
GRANT CONNECT TO [DOMAIN1\triservice]; 
GRANT SELECT TO [DOMAIN1\triservice];
"@
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

Hinweis

  • [DOMAIN1\triservice] – der Verzeichnisdienstbenutzer des Arbeitsbereichs
  • AdfsConfigurationV4 : Der Name der AD FS-Datenbank (kann variieren)
  • server=.\pipe\MICROSOFT##WID\tsql\query – die Verbindungszeichenfolge für die Datenbank, wenn Sie WID verwenden
  • Wenn Sie Ihre AD FS-Verbindungszeichenfolge nicht kennen, lesen Sie So rufen Sie die SQL-Verbindungszeichenfolge ab.

Installieren des Sensors

Voraussetzungen

Konfigurieren Sie bei Sensorinstallationen auf AD FS-Servern (Active Directory-Verbunddienste) die SQL Server-Instanz so, dass für das Verzeichnisdienstkonto (Konfiguration>Verzeichnisdienste>Benutzername) die Berechtigungen Verbinden, Anmelden, Lesen und Auswählen für die AdfsConfiguration-Datenbank zugelassen werden.

Installieren des Microsoft Defender for Identity-Sensors in AD FS

Informationen zum Installieren des Microsoft Defender for Identity Sensors auf dem AD FS-Sensor finden Sie unter Installieren des Defender for Identity-Sensors.

Schritte nach der Installation für AD FS-Server

Führen Sie die folgenden Schritte aus, um Defender for Identity zu konfigurieren, sobald Sie die Installation des Sensors auf dem AD FS-Server abgeschlossen haben.

  1. Wechseln Sie in Microsoft 365 Defender zu Einstellungen und dann zu Identitäten.

    Wechseln Sie zu Einstellungen und dann zu Identitäten.

  2. Wählen Sie die Seite Sensoren aus, auf der alle Defender for Identity-Sensoren angezeigt werden.

    Liste der Defender for Identity-Sensoren

  3. Wählen Sie den Sensor aus, den Sie auf dem AD FS Server installiert haben.

  4. Geben Sie im daraufhin geöffneten Bereich im Feld Domänencontroller (FQDN) den FQDN der Resolverdomänencontroller ein, wählen Sie dann das Pluszeichen (+) und dann Speichern aus.

    Defender for Identity konfigurieren AD FS Sensor Resolver

    Die Initialisierung des Sensors kann einige Minuten dauern. Zu diesem Zeitpunkt sollte sich der Status des AD FS-Sensordiensts von beendet in wird ausgeführt ändern.

Häufig gestellte Fragen zu AD FS

Müssen sowohl der Defender for Identity-Sensor als auch der Defender für Endpunkt-Sensor auf Domänencontrollern oder Active Directory-Verbunddienste (AD FS)-Servern (AD FS) installiert werden?

Wenn Sie beide Produkte verwenden, müssen die beiden Sensoren installiert sein, um sowohl den Server als auch Active Directory zu schützen.

Weitere Informationen