Installieren eines Microsoft Defender for Identity-Sensors

In diesem Artikel wird beschrieben, wie Sie einen Microsoft Defender for Identity-Sensor installieren, einschließlich eines eigenständigen Sensors. Die Standardempfehlung ist die Verwendung der Benutzeroberfläche. Allerdings:

• Wenn Sie den Sensor unter Windows Server Core installieren oder den Sensor über ein Softwarebereitstellungssystem bereitstellen möchten, führen Sie stattdessen die Schritte für die automatische Installation aus.

• Wenn Sie einen Proxy verwenden, empfehlen wir, den Sensor zu installieren und Ihren Proxy zusammen über die Befehlszeile zu konfigurieren. Wenn Sie Ihre Proxyeinstellungen später aktualisieren müssen, verwenden Sie PowerShell oder Azure CLI. Weitere Informationen finden Sie unter Konfigurieren der Endpunkt-Proxy- und Internetverbindungseinstellungen.

Voraussetzungen

Stellen Sie zunächst sicher, dass Sie über Folgendes verfügen:

• Eine heruntergeladene Kopie des Defender for Identity-Sensorsetuppakets und den Zugriffsschlüssel.

• Microsoft .NET Framework 4.7 oder höher ist auf dem Rechner installiert. Wenn Microsoft .NET Framework 4.7 oder höher nicht installiert ist, wird es vom Einrichtungspaket für Microsoft Defender for Identity-Sensoren installiert. Die Installation aus dem Einrichtungspaket erfordert möglicherweise einen Neustart des Servers.

• Relevante Serverspezifikationen und Netzwerkanforderungen. Weitere Informationen finden Sie unter:

  • Voraussetzungen für Microsoft Defender for Identity
  • Konfigurieren von Sensoren für AD FS, AD CS und Microsoft Entra Connect
  • Voraussetzungen für eigenständige Microsoft Defender for Identity-Sensoren

• Vertrauenswürdige Stammzertifikate auf Ihrem Computer. Wenn Ihre vertrauenswürdigen Zertifikate für die Stammzertifizierungsstelle fehlen, erhalten Sie möglicherweise einen Verbindungsfehler.

Installieren des Sensors mithilfe der Benutzeroberfläche

Führen Sie die folgenden Schritte auf dem Domänencontroller, einem Active Directory-Verbunddienste-(AD FS-) oder auf Active Directory Certificate Services-(AD CS-)Server aus.

1. Stellen Sie sicher, dass der Computer mit den relevanten Endpunkten des Defender for Identity-Clouddienstendpunkte verbunden ist.

2. Extrahieren Sie die Dateien aus der ZIP-Datei. Die direkte Installation aus der ZIP-Datei schlägt fehl.

3. Führen Sie azure ATP sensor setup.exe mit erhöhten Berechtigungen (Als Administrator ausführen) aus, und folgen Sie dem Setup-Assistenten.

4. Wählen Sie auf der Willkommensseite eine Sprache, und klicken Sie auf Weiter.

   

   Der Installations-Assistent überprüft automatisch, ob der Server ein Domänencontroller, ein AD FS-Server, ein AD CS-Server oder ein dedizierter Server ist. Der Servertyp bestimmt den Sensortyp:

   • Wenn der Server ein Domänencontroller / AD FS-Server / AD CS-Server ist, ist der Defender for Identity-Sensor installiert.
   • Wenn es sich um einen dedizierten Server handelt, wird der eigenständige Defender for Identity-Sensor installiert.

   Der Assistent zeigt beispielsweise die folgende Seite an, um anzugeben, dass ein Defender for Identity-Sensor auf Domänencontrollern installiert ist.

   

5. Wählen Sie Weiter aus.

   Der Assistent gibt eine Warnung wird aus, wenn der Domänencontroller / AD FS-Server / AD CS oder der dedizierte Server nicht die Mindestanforderungen an die Hardware für die Installation erfüllt.

   Die Warnung verhindert nicht, dass Sie "Weiter" auswählen und mit der Installation fortfahren. Dies ist möglicherweise weiterhin die richtige Option. Sie benötigen beispielsweise weniger Speicherplatz für die Datenspeicherung, wenn Sie eine kleine Testumgebung für Labore installieren.

   Für Produktionsumgebungen wird empfohlen, mit dem Defender for Identity-Dimensionierungstool zu arbeiten, um sicherzustellen, dass Domänencontroller oder dedizierte Server den nötigen Kapazitätsanforderungen entsprechen.

6. Geben Sie auf der Seite Sensor konfigurieren die folgenden Informationen für das Setuppaket ein:

   • Installationspfad: Der Speicherort, an dem der Defender for Identity-Sensor installiert ist. Der Standardpfad lautet %programfiles%\Azure Advanced Threat Protection sensor. Behalten Sie den Standardwert bei.
   • Zugriffsschlüssel: Wird im vorherigen Schritt aus dem Defender for Identity-Portal abgerufen.

   

7. Wählen Sie Installieren aus. Die folgenden Komponenten werden während der Installation des Defender for Identity-Sensors installiert und konfiguriert:

   • Defender for Identity Sensor Updater Service startet den Defender for Identity Sensor Service neu

   • Npcap OEM Version 1.0

     Wichtig

     Npcap OEM Version 1.0 wird automatisch installiert, wenn keine andere Version von Npcap vorhanden ist. Wenn Sie Npcap aufgrund anderer Softwareanforderungen oder aus anderen Gründen bereits installiert haben, müssen Sie sicherstellen, dass es sich um Version 1.0 oder höher handelt und dass es mit den erforderlichen Einstellungen für Defender for Identity installiert wurden.

Anzeigen von Sensorversionen

Ab Sensor Version 2.176 wird bei der Installation des Sensors aus einem neuen Paket die Version des Sensors unter Programme hinzufügen/entfernen mit der vollständigen Versionsnummer angezeigt, z. B. 2.176.x.y, anstatt der statischen 2.0.0.0, die zuvor angezeigt wurde.

Die installierte Version wird auch nach der Ausführung automatischer Updates von den Defender for Identity-Clouddiensten weiterhin angezeigt.

Zeigen Sie die reale Version des Sensors auf der Microsoft Defender XDR-Sensoreinstellungsseite, im ausführbaren Pfad oder in der Dateiversion an.

Automatische Installation des Defender for Identity-Sensors durchführen

Die automatische Installation von Defender for Identity-Sensoren ist so konfiguriert, dass der Server bei Bedarf automatisch neu gestartet wird.

Planen Sie eine automatische Installation nur während eines Wartungsfensters. Aufgrund eines Windows Installer-Fehlers kann das norestart-Flag nicht zuverlässig verwendet werden, um sicherzustellen, dass der Server nicht neu gestartet wird.

Um den Bereitstellungsfortschritt nachzuverfolgen, überwachen Sie die Defender for Identity-Installationsprotokolle in %localappdata%\Temp.

Automatische Installation über ein Bereitstellungssystem

Wenn Sie den Defender for Identity-Sensor im Hintergrund über den System Center Configuration Manager oder ein anderes Softwarebereitstellungssystem bereitstellen, empfehlen wir das Erstellen von zwei Bereitstellungspaketen:

• .NET Framework 4.7 oder höher, das u. U. den Neustart des Domänencontrollers umfassen kann
• Defender for Identity-Sensor

Machen Sie das Defender for Identity-Sensorpaket abhängig von der Bereitstellung der .NET Framework-Paketbereitstellung. Holen Sie sich bei Bedarf das Offline-Bereitstellungspaket für .NET Framework 4.7.

Befehle zum Ausführen einer automatischen Installation

Verwenden Sie die folgenden Befehle, um eine vollständig automatische Installation des Defender for Identity-Sensors auszuführen, indem Sie den in einem vorherigen Schritt kopierten Zugriffsschlüssel verwenden.

cmd.exe Syntax

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"

PowerShell-Syntax

.\"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"

Hinweis

Wenn Sie die PowerShell-Syntax verwenden, führt das Auslassen des Vorworts zu einem Fehler, der .\ die automatische Installation verhindert.

Installationsoptionen

Name	Syntax	Obligatorisch für die stille Installation?	Beschreibung
Quiet	/quiet	Ja	Führt das Installationsprogramm aus, ohne die Benutzeroberfläche oder die Eingabeaufforderungen anzuzeigen.
Help	/help	No	Bietet Hilfe und Schnellreferenz. Displays the correct use of the setup command, including a list of all options and behaviors.
NetFrameworkCommandLineArguments="/q"	NetFrameworkCommandLineArguments="/q"	Ja	Gibt die Parameter für die .NET Framework-Installation an. Muss festgelegt sein, um die automatische Installation von .NET Framework zu erzwingen.

Installationsparameter

Name	Syntax	Obligatorisch für die stille Installation?	Beschreibung
InstallationPath	InstallationPath=""	No	Legt den Pfad für die Installation von Binärdateien des Defender for Identity-Sensoren fest. Standardpfad: %programfiles%\Azure Advanced Threat Protection Sensor
AccessKey	AccessKey="\*\*"	Ja	Legt den Zugriffsschlüssel fest, der zum Registrieren des Defender for Identity-Sensors beim Defender for Identity-Arbeitsbereich verwendet wird.
AccessKeyFile	AccessKeyFile=""	No	Legt den Zugriffsschlüssel des Arbeitsbereichs aus dem bereitgestellten Textdateipfad fest.
DelayedUpdate	DelayedUpdate=true	No	Legt den Updatemechanismus des Sensors fest, um das Update 72 Stunden ab der offiziellen Veröffentlichung jedes Dienstupdates zu verzögern. Weitere Informationen finden Sie unter Verzögertes Sensor-Update.
LogsPath	LogsPath=""	No	Legt den Pfad für die Defender for Identity-Sensorprotokolle fest. Standardpfad: %programfiles%\Azure Advanced Threat Protection Sensor

Beispiele

Verwenden Sie die folgenden Befehle, um den Defender for Identity-Sensor automatisch zu installieren:

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<access key value>"

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKeyFile="C:\Path\myAccessKeyFile.txt"

Befehl zum Ausführen einer automatischen Installation mit einer Proxykonfiguration

Verwenden Sie den folgenden Befehl, um Ihren Proxy zusammen mit einer automatischen Installation zu konfigurieren:

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [ProxyUrl="http://proxy.internal.com"] [ProxyUserName="domain\proxyuser"] [ProxyUserPassword="ProxyPassword"]`

Hinweis

Wenn Sie Ihren Proxy zuvor mithilfe von Legacyoptionen konfiguriert haben, einschließlich WinINet oder einer Aktualisierung eines Registrierungsschlüssels, müssen Sie alle Änderungen mit der gleichen Methode vornehmen, die Sie ursprünglich verwendet haben. Weitere Informationen finden Sie unter Ändern der Proxykonfiguration mithilfe von Legacymethoden.

Installationsparameter

Name	Syntax	Obligatorisch für die stille Installation?	Beschreibung
ProxyUrl	ProxyUrl="http://proxy.contoso.com:8080"	No	Gibt die Proxy-URL und die Portnummer für den Defender for Identity-Sensor an.
ProxyUserName	ProxyUserName="Contoso\ProxyUser"	No	Wenn Ihr Proxydienst eine Authentifizierung erfordert, definieren Sie einen Benutzernamen im DOMAIN\user Format.
ProxyUserPassword	ProxyUserPassword="P@ssw0rd"	No	Gibt das Kennwort für Ihren Proxybenutzernamen an. Anmeldeinformationen werden vom Defender for Identity-Sensor verschlüsselt und lokal gespeichert.

Tipp

Wenn Sie Ihre Proxyeinstellungen später aktualisieren müssen, verwenden Sie PowerShell oder Azure CLI. Weitere Informationen finden Sie unter Konfigurieren der Endpunkt-Proxy- und Internetverbindungseinstellungen. Es wird empfohlen, einen benutzerdefinierten DNS A-Eintrag für den Proxyserver zu erstellen und zu verwenden. Sie können diesen Eintrag dann verwenden, um die Adresse des Proxyservers bei Bedarf zu ändern und die hosts-Datei zu Testzwecken zu verwenden.

Zugehöriger Inhalt

Nachdem Sie einen Sensor installiert haben, können Sie zusätzliche Schritte ausführen:

• Wenn Sie den Sensor auf einem AD FS- oder AD CS-Server installiert haben, lesen Sie Schritte nach der Installation (optional).

• Wenn Sie einen eigenständigen Sensor installiert haben, lesen Sie:

  • Überwachen von SIEM-Ereignissen auf Ihrem eigenständigen Defender for Identity-Sensor
  • Konfigurieren der Portspiegelung
  • Konfigurieren der Windows-Ereignisweiterleitung an ihren eigenständigen Defender for Identity-Sensor

Nächster Schritt

Konfigurieren der Sensorseinstellungen in Microsoft Defender for Identity