Érzékelők konfigurálása az AD FS-hez és az AD CS-hez

Telepítse a Defender for Identity-érzékelőket Active Directory összevonási szolgáltatások (AD FS) (AD FS) és Active Directory Tanúsítványszolgáltatások (AD CS) kiszolgálókra, hogy megvédje őket a helyszíni támadásoktól.

Ez a cikk a Defender for Identity-érzékelők AD FS- vagy AD CS-kiszolgálókra való telepítésekor szükséges lépéseket ismerteti.

Feljegyzés

Az AD FS-környezetek esetében a Defender for Identity érzékelő csak az összevonási kiszolgálókon támogatott, és nem szükséges a webes alkalmazásproxy (WAP) kiszolgálókon. AD CS-környezetek esetén nem kell telepítenie az érzékelőt az offline AD CS-kiszolgálókra.

Előfeltételek

A Defender for Identity-érzékelők AD FS- vagy AD CS-kiszolgálókra való telepítésének előfeltételei megegyeznek az érzékelők tartományvezérlőkre való telepítésével. További információ: Microsoft Defender for Identity előfeltételei.

Emellett az AD CS Defender for Identity érzékelője csak a hitelesítésszolgáltatói szerepkör-szolgáltatással rendelkező AD CS-kiszolgálókat támogatja.

Részletes naplózás konfigurálása AD FS-eseményekhez

Az AD FS-kiszolgálókon futó érzékelőknek részletes naplózási szinttel kell rendelkezniük a releváns eseményekhez. Például a következő paranccsal konfigurálja a naplózási szintet részletesre:

Set-AdfsProperties -AuditLevel Verbose

További információkért lásd:

• Kötelező Active Directory összevonási szolgáltatások (AD FS) (AD FS) események
• Naplózás konfigurálása Active Directory összevonási szolgáltatások (AD FS) (AD FS)
• Active Directory összevonási szolgáltatások (AD FS) hibaelhárítása események és naplózás esetén

Olvasási engedélyek konfigurálása az AD FS-adatbázishoz

Ahhoz, hogy az AD FS-kiszolgálókon futó érzékelők hozzáférhessenek az AD FS-adatbázishoz, olvasási (db_datareader) engedélyeket kell adnia a megfelelő címtárszolgáltatás-fiókhoz konfigurálva.

Ha több AD FS-kiszolgálóval rendelkezik, mindenképpen adja meg ezt az engedélyt mindegyikhez, mivel az adatbázis-engedélyek nem replikálódnak a kiszolgálók között.

Konfigurálja az SQL Servert úgy, hogy engedélyezze az AdfsConfiguration-adatbázishoz a következő engedélyekkel rendelkező címtárszolgáltatás-fiókot:

• Csatlakoztassa
• bejelentkezés
• Olvasni
• Válassza ki

Feljegyzés

Ha az AD FS-adatbázis a helyi AD FS-kiszolgáló helyett dedikált SQL-kiszolgálón fut, és ön egy csoport által felügyelt szolgáltatásfiókot (gMSA) használ címtárszolgáltatás-fiókként (DSA), győződjön meg arról, hogy megadja az SQL-kiszolgálónak a szükséges engedélyeket a gMSA jelszavának lekéréséhez.

Hozzáférés biztosítása az AD FS-adatbázishoz

Adjon hozzáférést az adatbázishoz az SQL Server Management Studio, a TSQL vagy a PowerShell használatával.

Az alábbi parancsok például hasznosak lehetnek, ha a belső Windows-adatbázis (WID) vagy egy külső SQL-kiszolgálót használ.

Az alábbi mintakódokban:

• [DOMAIN1\mdiSvc01] a munkaterület címtárszolgáltatás-felhasználója. Ha gMSA-val dolgozik, fűzze hozzá $ a felhasználónevet a végéhez. Például: [DOMAIN1\mdiSvc01$]
• Az AdfsConfigurationV4 egy példa egy AD FS-adatbázis nevére, és változhat
• server=.\pipe\MICROSOFT##WID\tsql\query – az adatbázis kapcsolati sztring, ha WID-t használ

Tipp.

Ha nem ismeri a kapcsolati sztring, kövesse a Windows Server dokumentációjának lépéseit.

Az érzékelő hozzáférésének biztosítása az AD FS-adatbázishoz a TSQL használatával:

USE [master]
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
USE [AdfsConfigurationV4]
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]
GRANT CONNECT TO [DOMAIN1\mdiSvc01]
GRANT SELECT TO [DOMAIN1\mdiSvc01]
GO

Az érzékelő hozzáférésének biztosítása az AD FS-adatbázishoz a PowerShell használatával:

$ConnectionString = 'server=\\.\pipe\MICROSOFT##WID\tsql\query;database=AdfsConfigurationV4;trusted_connection=true;'
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [AdfsConfigurationV4]; 
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]; 
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]; 
GRANT CONNECT TO [DOMAIN1\mdiSvc01]; 
GRANT SELECT TO [DOMAIN1\mdiSvc01];
"@
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

Eseménygyűjtemény konfigurálása AD FS/AD CS-kiszolgálókhoz

Ha AD FS/AD CS-kiszolgálókkal dolgozik, győződjön meg arról, hogy szükség szerint konfigurálta a naplózást. További információkért lásd:

• AD FS:

  • Kötelező Active Directory összevonási szolgáltatások (AD FS) (AD FS) események
  • Naplózás konfigurálása Active Directory összevonási szolgáltatások (AD FS) (AD FS)

• AD CS:

  • Az Active Directory Tanúsítványszolgáltatások (AD CS) szükséges eseményei
  • Naplózás konfigurálása az Active Directory tanúsítványszolgáltatásokhoz (AD CS)

Sikeres üzembe helyezés ellenőrzése AD FS/AD CS-kiszolgálókon

Annak ellenőrzése, hogy a Defender for Identity érzékelő sikeresen üzembe lett-e helyezve egy AD FS-kiszolgálón:

1. Ellenőrizze, hogy fut-e az Azure Advanced Threat Protection érzékelőszolgáltatás . A Defender for Identity érzékelő beállításainak mentése után eltarthat néhány másodpercig, amíg a szolgáltatás elindul.

2. Ha a szolgáltatás nem indul el, tekintse át a Microsoft.Tri.sensor-Errors.log fájlt, amely alapértelmezés szerint a következő helyen található: %programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs

3. Az AD FS vagy az AD CS használatával hitelesíthet egy felhasználót bármely alkalmazáson, majd ellenőrizheti, hogy a Defender for Identity betartotta-e a hitelesítést.

   Válassza például a Hunting Advanced Hunting (Speciális vadászat)>lehetőséget. A Lekérdezés panelen adja meg és futtassa az alábbi lekérdezések egyikét:

   AD FS esetén:

   IdentityLogonEvents | where Protocol contains 'Adfs'
   

   Az eredménypanelnek tartalmaznia kell az ADFS-hitelesítéssel rendelkező bejelentkezési logonTípusú események listáját

   AD CS esetén:

   IdentityDirectoryEvents | where Protocol == "Adcs"
   

   Az eredménypanelnek tartalmaznia kell a sikertelen és sikeres tanúsítványkiállítás eseményeinek listáját. Jelöljön ki egy adott sort, ha további részleteket szeretne látni a Rekord vizsgálata bal oldali panelen. Példa:

   

Az AD FS/AD CS-kiszolgálók telepítés utáni lépései (nem kötelező)

Az érzékelő AD FS/AD CS-kiszolgálón való telepítése automatikusan kiválasztja a legközelebbi tartományvezérlőt. A kijelölt tartományvezérlő ellenőrzéséhez vagy módosításához kövesse az alábbi lépéseket.

1. A Microsoft Defender XDR-ben nyissa meg a Gépház> Adentitás-érzékelők> lehetőséget az összes Identitáshoz készült Defender-érzékelő megtekintéséhez.

2. Keresse meg és válassza ki az AD FS/AD CS-kiszolgálón telepített érzékelőt.

3. A megnyíló panelen, a Tartományvezérlő (FQDN) mezőben adja meg a feloldó tartományvezérlők teljes tartománynevét. Válassza a + Hozzáadás lehetőséget a teljes tartománynév hozzáadásához, majd válassza a Mentés lehetőséget. Példa:

   

Az érzékelő inicializálása eltarthat néhány percig, amikor az AD FS/AD CS érzékelő szolgáltatás állapotának leállításról futásra kell változnia.

Kapcsolódó tartalom

További információkért lásd:

• A Microsoft Defender for Identity előfeltételei
• A Microsoft Defender for Identity érzékelő telepítése