Mengonfigurasi sensor untuk Layanan Federasi Direktori Aktif dan AD CS

Instal sensor Defender for Identity di server Layanan Federasi Direktori Aktif (AD FS) dan Layanan Sertifikat Direktori Aktif (AD CS) untuk melindunginya dari serangan lokal.

Artikel ini menjelaskan langkah-langkah yang diperlukan saat menginstal sensor Defender for Identity di server AD FS atau AD CS.

Catatan

Untuk lingkungan Layanan Federasi Direktori Aktif, sensor Defender for Identity hanya didukung di server federasi, dan tidak diperlukan di server Web Proksi Aplikasi (WAP). Untuk lingkungan AD CS, Anda tidak perlu menginstal sensor di server AD CS apa pun yang offline.

Prasyarat

Prasyarat untuk menginstal sensor Defender for Identity di server AD FS atau AD CS sama dengan untuk menginstal sensor pada pengontrol domain. Untuk informasi selengkapnya, lihat prasyarat Microsoft Defender untuk Identitas.

Selain itu, sensor Defender for Identity untuk AD CS hanya mendukung server AD CS dengan Layanan Peran Otoritas Sertifikasi.

Mengonfigurasi pengelogan Verbose untuk peristiwa Layanan Federasi Direktori Aktif

Sensor yang berjalan di server Layanan Federasi Direktori Aktif harus memiliki tingkat audit yang diatur ke Verbose untuk peristiwa yang relevan. Misalnya, gunakan perintah berikut untuk mengonfigurasi tingkat audit ke Verbose:

Set-AdfsProperties -AuditLevel Verbose

Untuk informasi selengkapnya, lihat:

• Peristiwa Layanan Federasi Direktori Aktif (AD FS) yang diperlukan
• Mengonfigurasi audit pada Layanan Federasi Direktori Aktif (AD FS)
• Memecahkan masalah Layanan Federasi Direktori Aktif dengan peristiwa dan pengelogan

Mengonfigurasi izin baca untuk database Layanan Federasi Direktori Aktif

Agar sensor yang berjalan di server Layanan Federasi Direktori Aktif memiliki akses ke database Layanan Federasi Direktori Aktif, Anda perlu memberikan izin baca (db_datareader) untuk Akun Layanan Direktori yang relevan yang dikonfigurasi.

Jika Anda memiliki lebih dari satu server Layanan Federasi Direktori Aktif, pastikan untuk memberikan izin ini di semua server karena izin database tidak direplikasi di seluruh server.

Konfigurasikan server SQL untuk mengizinkan akun layanan Direktori dengan izin berikut ke database AdfsConfiguration :

• Menghubungkan
• Masuk
• baca
• pilih

Catatan

Jika database Layanan Federasi Direktori Aktif berjalan di server SQL khusus alih-alih server Layanan Federasi Direktori Aktif lokal, dan Anda menggunakan akun layanan yang dikelola grup (gMSA) sebagai Akun Layanan Direktori (DSA), pastikan Anda memberikan server SQL izin yang diperlukan untuk mengambil kata sandi gMSA.

Memberikan akses ke database Layanan Federasi Direktori Aktif

Berikan akses ke database menggunakan SQL Server Management Studio, TSQL, atau PowerShell.

Misalnya, perintah yang tercantum di bawah ini mungkin berguna jika Anda menggunakan Database Internal Windows (WID) atau server SQL eksternal.

Dalam kode sampel ini:

• [DOMAIN1\mdiSvc01] adalah pengguna layanan direktori ruang kerja. Jika Anda bekerja dengan gMSA, tambahkan $ ke akhir nama pengguna. Misalnya: [DOMAIN1\mdiSvc01$]
• AdfsConfigurationV4 adalah contoh nama database AD FS, dan dapat bervariasi
• server=.\pipe\MICROSOFT##WID\tsql\query - adalah string koneksi ke database jika Anda menggunakan WID

Tip

Jika Anda tidak mengetahui string koneksi Anda, ikuti langkah-langkah dalam dokumentasi server Windows.

Untuk memberikan akses sensor ke database Ad FS menggunakan TSQL:

USE [master]
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
USE [AdfsConfigurationV4]
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]
GRANT CONNECT TO [DOMAIN1\mdiSvc01]
GRANT SELECT TO [DOMAIN1\mdiSvc01]
GO

Untuk memberikan akses sensor ke database Layanan Federasi Direktori Aktif menggunakan PowerShell:

$ConnectionString = 'server=\\.\pipe\MICROSOFT##WID\tsql\query;database=AdfsConfigurationV4;trusted_connection=true;'
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [AdfsConfigurationV4]; 
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]; 
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]; 
GRANT CONNECT TO [DOMAIN1\mdiSvc01]; 
GRANT SELECT TO [DOMAIN1\mdiSvc01];
"@
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

Mengonfigurasi pengumpulan peristiwa untuk server AD FS / AD CS

Jika Anda bekerja dengan server AD FS / AD CS, pastikan Anda telah mengonfigurasi audit sesuai kebutuhan. Untuk informasi selengkapnya, lihat:

• Active Directory Federation Services:

  • Peristiwa Layanan Federasi Direktori Aktif (AD FS) yang diperlukan
  • Mengonfigurasi audit pada Layanan Federasi Direktori Aktif (AD FS)

• AD CS:

  • Peristiwa Active Directory Certificate Services (AD CS) yang diperlukan
  • Mengonfigurasi audit untuk Active Directory Certificate Services (AD CS)

Memvalidasi keberhasilan penyebaran di server AD FS / AD CS

Untuk memvalidasi bahwa sensor Defender for Identity telah berhasil disebarkan di server Layanan Federasi Direktori Aktif:

1. Periksa apakah layanan sensor Perlindungan Ancaman Tingkat Lanjut Azure berjalan. Setelah Anda menyimpan pengaturan sensor Defender for Identity, mungkin perlu beberapa detik agar layanan dimulai.

2. Jika layanan tidak dimulai, tinjau Microsoft.Tri.sensor-Errors.log file, yang terletak secara default di: %programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs

3. Gunakan LAYANAN Federasi Direktori Aktif atau AD CS untuk mengautentikasi pengguna ke aplikasi apa pun, lalu verifikasi bahwa autentikasi diamati oleh Defender untuk Identitas.

   Misalnya, pilih Berburu Perburuan> Tingkat Lanjut. Di panel Kueri , masukkan dan jalankan salah satu kueri berikut ini:

   Untuk Layanan Federasi Direktori Aktif:

   IdentityLogonEvents | where Protocol contains 'Adfs'
   

   Panel hasil harus menyertakan daftar peristiwa dengan LogonType masuk dengan autentikasi ADFS

   Untuk AD CS:

   IdentityDirectoryEvents | where Protocol == "Adcs"
   

   Panel hasil harus menyertakan daftar peristiwa penerbitan sertifikat yang gagal dan berhasil. Pilih baris tertentu untuk melihat detail tambahan di panel kiri Periksa Rekaman . Misalnya:

   

Langkah-langkah pasca-penginstalan untuk server AD FS / AD CS (Opsional)

Menginstal sensor pada server AD FS / AD CS secara otomatis memilih pengontrol domain terdekat. Gunakan langkah-langkah berikut untuk memeriksa atau mengubah pengendali domain yang dipilih.

1. Di Microsoft Defender XDR, buka Pengaturan> Sensor Identitas>untuk melihat semua sensor Pertahanan untuk Identitas Anda.

2. Temukan dan pilih sensor yang Anda instal di server AD FS / AD CS.

3. Di panel yang terbuka, di bidang Pengendali Domain (FQDN), masukkan FQDN pengendali domain pemecah masalah. Pilih + Tambahkan untuk menambahkan FQDN, lalu pilih Simpan. Misalnya:

   

Menginisialisasi sensor mungkin memakan waktu beberapa menit, pada saat itu status layanan sensor AD FS / AD CS harus berubah dari berhenti menjadi berjalan.

Konten terkait

Untuk informasi selengkapnya, lihat:

• prasyarat Microsoft Defender untuk Identitas
• Menginstal sensor Microsoft Defender untuk Identitas