Konfigurowanie czujników dla usług AD FS i AD CS

Zainstaluj czujniki usługi Defender for Identity na serwerach usług Active Directory Federation Services (AD FS) i Active Directory Certificate Services (AD CS), aby chronić je przed atakami lokalnymi.

W tym artykule opisano kroki wymagane podczas instalowania czujników usługi Defender for Identity na serwerach usług AD FS lub AD CS.

Uwaga

W przypadku środowisk usług AD FS czujnik usługi Defender for Identity jest obsługiwany tylko na serwerach federacyjnych i nie jest wymagany na serwerach sieci Web serwer proxy aplikacji (WAP). W przypadku środowisk usług AD CS nie trzeba instalować czujnika na żadnym serwerze usług AD CS, które są w trybie offline.

Wymagania wstępne

Wymagania wstępne dotyczące instalowania czujników usługi Defender for Identity na serwerach usług AD FS lub AD CS są takie same jak w przypadku instalowania czujników na kontrolerach domeny. Aby uzyskać więcej informacji, zobacz Wymagania wstępne usługi Microsoft Defender for Identity.

Ponadto czujnik usługi Defender for Identity dla usług AD CS obsługuje tylko serwery usług AD CS z usługą roli urzędu certyfikacji.

Konfigurowanie pełnego rejestrowania dla zdarzeń usług AD FS

Czujniki uruchomione na serwerach usług AD FS muszą mieć poziom inspekcji ustawiony na Pełne dla odpowiednich zdarzeń. Na przykład użyj następującego polecenia, aby skonfigurować poziom inspekcji na pełne:

Set-AdfsProperties -AuditLevel Verbose

Aby uzyskać więcej informacji, zobacz:

• Wymagane zdarzenia usług Active Directory Federation Services (AD FS)
• Konfigurowanie inspekcji w usługach Active Directory Federation Services (AD FS)
• Rozwiązywanie problemów z usługami Active Directory Federation Services za pomocą zdarzeń i rejestrowania

Konfigurowanie uprawnień do odczytu dla bazy danych usług AD FS

Aby czujniki działające na serwerach usług AD FS miały dostęp do bazy danych usług AD FS, należy udzielić uprawnień odczytu (db_datareader) dla odpowiedniego konta usług katalogowych skonfigurowanych.

Jeśli masz więcej niż jeden serwer usług AD FS, upewnij się, że przyznaj to uprawnienie dla wszystkich z nich, ponieważ uprawnienia bazy danych nie są replikowane na serwerach.

Skonfiguruj serwer SQL, aby zezwolić na konto usługi katalogowej z następującymi uprawnieniami do bazy danych AdfsConfiguration :

• Połączyć
• Zaloguj się
• read
• Wybierz

Uwaga

Jeśli baza danych usług AD FS działa na dedykowanym serwerze SQL zamiast lokalnego serwera usług AD FS i używasz konta usługi zarządzanego przez grupę (gMSA) jako konta usług katalogowych (DSA), upewnij się, że przyznasz serwerowi SQL wymagane uprawnienia do pobrania hasła gMSA.

Udzielanie dostępu do bazy danych usług AD FS

Udziel dostępu do bazy danych przy użyciu programu SQL Server Management Studio, TSQL lub PowerShell.

Na przykład polecenia wymienione poniżej mogą być przydatne, jeśli używasz wewnętrzna baza danych systemu Windows (WID) lub zewnętrznego serwera SQL.

W tych przykładowych kodach:

• [DOMAIN1\mdiSvc01] to użytkownik usług katalogowych obszaru roboczego. Jeśli pracujesz z gMSA, dołącz element na $ końcu nazwy użytkownika. Na przykład: [DOMAIN1\mdiSvc01$]
• AdfsConfigurationV4 jest przykładem nazwy bazy danych usług AD FS i może się różnić
• server=.\pipe\MICROSOFT##WID\tsql\query — czy parametry połączenia do bazy danych, jeśli używasz identyfikatora WID

Napiwek

Jeśli nie znasz parametry połączenia, wykonaj kroki opisane w dokumentacji systemu Windows Server.

Aby udzielić czujnikowi dostępu do bazy danych usług AD FS przy użyciu języka TSQL:

USE [master]
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
USE [AdfsConfigurationV4]
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]
GRANT CONNECT TO [DOMAIN1\mdiSvc01]
GRANT SELECT TO [DOMAIN1\mdiSvc01]
GO

Aby udzielić czujnikowi dostępu do bazy danych usług AD FS przy użyciu programu PowerShell:

$ConnectionString = 'server=\\.\pipe\MICROSOFT##WID\tsql\query;database=AdfsConfigurationV4;trusted_connection=true;'
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [AdfsConfigurationV4]; 
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]; 
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]; 
GRANT CONNECT TO [DOMAIN1\mdiSvc01]; 
GRANT SELECT TO [DOMAIN1\mdiSvc01];
"@
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

Konfigurowanie zbierania zdarzeń dla serwerów usług AD FS/AD CS

Jeśli pracujesz z serwerami usług AD FS/AD CS, upewnij się, że skonfigurowano inspekcję zgodnie z potrzebami. Aby uzyskać więcej informacji, zobacz:

• USŁUGI AD FS:

  • Wymagane zdarzenia usług Active Directory Federation Services (AD FS)
  • Konfigurowanie inspekcji w usługach Active Directory Federation Services (AD FS)

• AD CS:

  • Wymagane zdarzenia usług certyfikatów Active Directory (AD CS)
  • Konfigurowanie inspekcji dla usług certyfikatów Active Directory (AD CS)

Weryfikowanie pomyślnego wdrożenia na serwerach usług AD FS/AD CS

Aby sprawdzić, czy czujnik usługi Defender for Identity został pomyślnie wdrożony na serwerze usług AD FS:

1. Sprawdź, czy usługa czujnika usługi Azure Advanced Threat Protection jest uruchomiona. Po zapisaniu ustawień czujnika usługi Defender for Identity uruchomienie usługi może potrwać kilka sekund.

2. Jeśli usługa nie zostanie uruchomiona, przejrzyj Microsoft.Tri.sensor-Errors.log plik, który znajduje się domyślnie pod adresem: %programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs

3. Użyj usług AD FS lub AD CS do uwierzytelniania użytkownika w dowolnej aplikacji, a następnie sprawdź, czy uwierzytelnianie zostało zaobserwowane przez usługę Defender for Identity.

   Na przykład wybierz pozycję Wyszukiwanie zaawansowane wyszukiwania>zagrożeń. W okienku Zapytanie wprowadź i uruchom jedno z następujących zapytań:

   W przypadku usług AD FS:

   IdentityLogonEvents | where Protocol contains 'Adfs'
   

   Okienko wyników powinno zawierać listę zdarzeń z identyfikatorem LogonType logowania z uwierzytelnianiem usług AD FS

   W przypadku usług AD CS:

   IdentityDirectoryEvents | where Protocol == "Adcs"
   

   Okienko wyników powinno zawierać listę zdarzeń niepowodzenia i pomyślnego wystawiania certyfikatów. Wybierz określony wiersz, aby wyświetlić dodatkowe szczegóły w okienku po lewej stronie Inspekcja rekordu. Na przykład:

   

Kroki po instalacji dla serwerów usług AD FS/AD CS (opcjonalnie)

Zainstalowanie czujnika na serwerze usług AD FS/AD CS automatycznie wybiera najbliższy kontroler domeny. Wykonaj poniższe kroki, aby sprawdzić lub zmodyfikować wybrany kontroler domeny.

1. W usłudze Microsoft Defender XDR przejdź do pozycji Ustawienia> Identities>Sensors (Czujniki tożsamości) w celu wyświetlenia wszystkich czujników usługi Defender for Identity.

2. Znajdź i wybierz czujnik zainstalowany na serwerze usług AD FS/AD CS.

3. W otwartym okienku w polu Kontroler domeny (FQDN) wprowadź nazwę FQDN kontrolerów domeny rozpoznawania nazw. Wybierz pozycję + Dodaj , aby dodać nazwę FQDN, a następnie wybierz pozycję Zapisz. Na przykład:

   

Inicjowanie czujnika może potrwać kilka minut, w tym czasie stan usługi czujnika usług AD FS /AD CS powinien ulec zmianie z zatrzymanego na uruchomiony.

Powiązana zawartość

Aby uzyskać więcej informacji, zobacz:

• Wymagania wstępne dotyczące usługi Microsoft Defender for Identity
• Instalowanie czujnika usługi Microsoft Defender for Identity