Sensoren configureren voor AD FS en AD CS

Installeer Defender for Identity-sensoren op AD FS-servers (Active Directory Federation Services) en AD CS-servers (Active Directory Certificate Services) om ze te beschermen tegen on-premises aanvallen.

In dit artikel worden de stappen beschreven die nodig zijn bij het installeren van Defender for Identity-sensoren op AD FS- of AD CS-servers.

Notitie

Voor AD FS-omgevingen wordt de Defender for Identity-sensor alleen ondersteund op de federatieservers en is deze niet vereist op de WAP-servers (Web toepassingsproxy). Voor AD CS-omgevingen hoeft u de sensor niet te installeren op ad CS-servers die offline zijn.

Vereisten

Vereisten voor het installeren van Defender for Identity-sensoren op AD FS- of AD CS-servers zijn hetzelfde als voor het installeren van sensoren op domeincontrollers. Zie Microsoft Defender for Identity-vereisten voor meer informatie.

Bovendien ondersteunt de Defender for Identity-sensor voor AD CS alleen AD CS-servers met functieservice van certificeringsinstantie.

Uitgebreide logboekregistratie voor AD FS-gebeurtenissen configureren

Sensoren die worden uitgevoerd op AD FS-servers moeten het controleniveau hebben ingesteld op Uitgebreid voor relevante gebeurtenissen. Gebruik bijvoorbeeld de volgende opdracht om het controleniveau te configureren op Uitgebreid:

Set-AdfsProperties -AuditLevel Verbose

Zie voor meer informatie:

• Vereiste Active Directory Federation Services -gebeurtenissen (AD FS)
• Controle configureren op een Active Directory Federation Services (AD FS)
• Problemen met Active Directory Federation Services oplossen met gebeurtenissen en logboekregistratie

Leesmachtigingen voor de AD FS-database configureren

Voor sensoren die worden uitgevoerd op AD FS-servers om toegang te hebben tot de AD FS-database, moet u leesmachtigingen (db_datareader) verlenen voor het relevante Directory Services-account geconfigureerd.

Als u meer dan één AD FS-server hebt, moet u deze machtiging voor alle servers verlenen, omdat databasemachtigingen niet worden gerepliceerd op servers.

Configureer de SQL-server om directoryserviceaccount toe te staan met de volgende machtigingen voor de AdfsConfiguration-database:

• verbinding maken
• Aanmelden
• Lezen
• Selecteer

Notitie

Als de AD FS-database wordt uitgevoerd op een toegewezen SQL-server in plaats van de lokale AD FS-server en u een door groepen beheerd serviceaccount (gMSA) gebruikt als het Directory Services-account (DSA), moet u ervoor zorgen dat u de SQL-server de vereiste machtigingen verleent om het wachtwoord van de gMSA op te halen.

Toegang verlenen tot de AD FS-database

Verdeel toegang tot de database met behulp van SQL Server Management Studio, TSQL of PowerShell.

De onderstaande opdrachten zijn bijvoorbeeld handig als u de Windows Interne database (WID) of een externe SQL-server gebruikt.

In deze voorbeeldcodes:

• [DOMAIN1\mdiSvc01] is de gebruiker van directoryservices van de werkruimte. Als u met een gMSA werkt, voegt u een aan $ het einde van de gebruikersnaam toe. Bijvoorbeeld: [DOMAIN1\mdiSvc01$]
• AdfsConfigurationV4 is een voorbeeld van een AD FS-databasenaam en kan variëren
• server=.\pipe\MICROSOFT##WID\tsql\query- is de verbindingsreeks voor de database als u WID gebruikt

Tip

Als u uw verbindingsreeks niet weet, volgt u de stappen in de Windows-serverdocumentatie.

De sensor toegang verlenen tot de AD FS-database met behulp van TSQL:

USE [master]
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
USE [AdfsConfigurationV4]
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]
GRANT CONNECT TO [DOMAIN1\mdiSvc01]
GRANT SELECT TO [DOMAIN1\mdiSvc01]
GO

De sensor toegang verlenen tot de AD FS-database met behulp van PowerShell:

$ConnectionString = 'server=\\.\pipe\MICROSOFT##WID\tsql\query;database=AdfsConfigurationV4;trusted_connection=true;'
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [AdfsConfigurationV4]; 
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]; 
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]; 
GRANT CONNECT TO [DOMAIN1\mdiSvc01]; 
GRANT SELECT TO [DOMAIN1\mdiSvc01];
"@
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

Gebeurtenisverzameling configureren voor AD FS/AD CS-servers

Als u met AD FS/AD CS-servers werkt, controleert u of u de controle zo nodig hebt geconfigureerd. Zie voor meer informatie:

• AD FS:

  • Vereiste Active Directory Federation Services -gebeurtenissen (AD FS)
  • Controle configureren op een Active Directory Federation Services (AD FS)

• AD CS:

  • Vereiste Active Directory Certificate Services-gebeurtenissen (AD CS)
  • Controle configureren voor Active Directory Certificate Services (AD CS)

Geslaagde implementatie op AD FS-/AD CS-servers valideren

Controleren of de Defender for Identity-sensor is geïmplementeerd op een AD FS-server:

1. Controleer of de Azure Advanced Threat Protection-sensorservice wordt uitgevoerd. Nadat u de instellingen van de Defender for Identity-sensor hebt opgeslagen, kan het enkele seconden duren voordat de service is gestart.

2. Als de service niet wordt gestart, controleert u het Microsoft.Tri.sensor-Errors.log bestand op de volgende standaardlocatie: %programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs

3. Gebruik AD FS of AD CS om een gebruiker te verifiëren bij elke toepassing en controleer vervolgens of de verificatie is waargenomen door Defender for Identity.

   Selecteer bijvoorbeeld Opsporing>geavanceerde opsporing. Voer in het deelvenster Query een van de volgende query's in en voer deze uit:

   Voor AD FS:

   IdentityLogonEvents | where Protocol contains 'Adfs'
   

   Het resultatenvenster moet een lijst met gebeurtenissen bevatten met een LogonType van aanmelding met ADFS-verificatie

   Voor AD CS:

   IdentityDirectoryEvents | where Protocol == "Adcs"
   

   Het resultatenvenster moet een lijst bevatten met gebeurtenissen van mislukte en geslaagde certificaatuitgifte. Selecteer een specifieke rij om aanvullende details weer te geven in het linkerdeelvenster Record inspecteren. Voorbeeld:

   

Stappen na de installatie voor AD FS/AD CS-servers (optioneel)

Als u de sensor op een AD FS-/AD CS-server installeert, wordt automatisch de dichtstbijzijnde domeincontroller geselecteerd. Gebruik de volgende stappen om de geselecteerde domeincontroller te controleren of te wijzigen.

1. Ga in Microsoft Defender XDR naar Instellingen> Identities>Sensors om al uw Defender for Identity-sensoren weer te geven.

2. Zoek en selecteer de sensor die u hebt geïnstalleerd op een AD FS-/AD CS-server.

3. Voer in het deelvenster dat wordt geopend, in het veld Domeincontroller (FQDN) de FQDN-naam van de resolver-domeincontrollers in. Selecteer + Toevoegen om de FQDN toe te voegen en selecteer Opslaan. Voorbeeld:

   

Het initialiseren van de sensor kan enkele minuten duren, op welk moment de status van de AD FS/AD CS-sensorservice moet veranderen van gestopt naar actief.

Gerelateerde inhoud

Zie voor meer informatie:

• Vereisten voor Microsoft Defender for Identity
• De Microsoft Defender for Identity-sensor installeren