Configurar sensores para AD FS, AD CS e Microsoft Entra Connect

Instale o Defender para sensores de identidade nos servidores dos Serviços de Federação do Ative Directory (AD FS), Serviços de Certificados do Ative Directory (AD CS) e Microsoft Entra Connect para ajudar a protegê-los contra ataques locais e híbridos. Este artigo descreve as etapas de instalação.

Estas considerações aplicam-se:

• Para ambientes AD FS, os sensores do Defender for Identity são suportados apenas nos servidores de federação. Eles não são necessários em servidores WAP (Web Application Proxy).
• Para ambientes AD CS, não é necessário instalar sensores em nenhum servidor AD CS que esteja offline.
• Para servidores Microsoft Entra Connect, você precisa instalar os sensores em servidores ativos e de preparação.

Pré-requisitos

Os pré-requisitos para instalar sensores do Defender for Identity em servidores AD FS, AD CS ou Microsoft Entra Connect são os mesmos que para instalar sensores em controladores de domínio. Para obter mais informações, consulte Pré-requisitos do Microsoft Defender for Identity.

Um sensor instalado em um servidor AD FS, AD CS ou Microsoft Entra Connect não pode usar a conta de serviço local para se conectar ao domínio. Em vez disso, você precisa configurar uma Conta de Serviço de Diretório.

Além disso, o sensor do Defender for Identity para AD CS suporta apenas servidores AD CS com Serviço de Função de Autoridade de Certificação.

Configurar coleção de eventos

Se estiver a trabalhar com servidores AD FS, AD CS ou Microsoft Entra Connect, certifique-se de que configurou a auditoria conforme necessário. Para obter mais informações, consulte:

• AD FS:

  • Eventos do AD FS necessários
  • Configurar auditoria no AD FS

• AD CS:

  • Eventos do AD CS necessários
  • Configurar auditoria no AD CS

• Microsoft Entra Connect:

  • Eventos necessários do Microsoft Entra Connect
  • Configurar auditoria no Microsoft Entra Connect

Configurar permissões de leitura para o banco de dados do AD FS

Para que os sensores executados em servidores AD FS tenham acesso ao banco de dados do AD FS, você precisa conceder permissões de leitura (db_datareader) para a Conta de Serviço de Diretório relevante.

Se você tiver mais de um servidor AD FS, certifique-se de conceder essa permissão em todos eles. As permissões de banco de dados não são replicadas entre servidores.

Configure o servidor SQL para permitir a Conta de Serviço de Diretório com as seguintes permissões para o banco de dados AdfsConfiguration :

• Conecte-se
• Iniciar sessão
• Leia
• selecione

Nota

Se o banco de dados do AD FS for executado em um servidor SQL dedicado em vez do servidor AD FS local e você estiver usando uma Conta de Serviço Gerenciado (gMSA) de grupo como a Conta de Serviço de Diretório, certifique-se de conceder ao servidor SQL as permissões necessárias para recuperar a senha do gMSA.

Conceder acesso ao banco de dados do AD FS

Conceda acesso ao banco de dados do AD FS usando o SQL Server Management Studio, Transact-SQL (T-SQL) ou PowerShell.

Por exemplo, os comandos a seguir podem ser úteis se você estiver usando o Banco de Dados Interno do Windows (WID) ou um servidor SQL externo.

Nestes códigos de exemplo:

• [DOMAIN1\mdiSvc01] é o usuário de serviços de diretório do espaço de trabalho. Se você estiver trabalhando com um gMSA, anexe $ ao final do nome de usuário. Por exemplo: [DOMAIN1\mdiSvc01$].
• AdfsConfigurationV4 é um exemplo de um nome de banco de dados do AD FS e pode variar.
• server=\.\pipe\MICROSOFT##WID\tsql\query é a cadeia de conexão com o banco de dados se você estiver usando WID.

Gorjeta

Se você não souber sua cadeia de conexão, siga as etapas na documentação do Windows Server.

Para conceder ao sensor acesso ao banco de dados do AD FS usando T-SQL:

USE [master]
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
USE [AdfsConfigurationV4]
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]
GRANT CONNECT TO [DOMAIN1\mdiSvc01]
GRANT SELECT TO [DOMAIN1\mdiSvc01]
GO

Para conceder ao sensor acesso ao banco de dados do AD FS usando o PowerShell:

$ConnectionString = 'server=\\.\pipe\MICROSOFT##WID\tsql\query;database=AdfsConfigurationV4;trusted_connection=true;'
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [AdfsConfigurationV4]; 
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]; 
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]; 
GRANT CONNECT TO [DOMAIN1\mdiSvc01]; 
GRANT SELECT TO [DOMAIN1\mdiSvc01];
"@
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

Configurar permissões para o banco de dados Microsoft Entra Connect (ADSync)

Nota

Esta seção é aplicável somente se o banco de dados do Entra Connect estiver hospedado em uma instância externa do SQL Server.

Os sensores executados em servidores Microsoft Entra Connect precisam ter acesso ao banco de dados ADSync e ter permissões de execução para os procedimentos armazenados relevantes. Se você tiver mais de um servidor Microsoft Entra Connect, certifique-se de executar isso em todos eles.

Para conceder as permissões do sensor ao banco de dados do Microsoft Entra Connect ADSync usando o PowerShell:

$entraConnectServerDomain = $env:USERDOMAIN
$entraConnectServerComputerAccount = $env:COMPUTERNAME
$entraConnectDBName = (Get-ItemProperty 'registry::HKLM\SYSTEM\CurrentControlSet\Services\ADSync\Parameters' -Name 'DBName').DBName
$entraConnectSqlServer = (Get-ItemProperty 'registry::HKLM\SYSTEM\CurrentControlSet\Services\ADSync\Parameters' -Name 'Server').Server
$entraConnectSqlInstance = (Get-ItemProperty 'registry::HKLM\SYSTEM\CurrentControlSet\Services\ADSync\Parameters' -Name 'SQLInstance').SQLInstance

$ConnectionString = 'server={0}\{1};database={2};trusted_connection=true;' -f $entraConnectSqlServer, $entraConnectSqlInstance, $entraConnectDBName
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [{0}\{1}$] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [{2}];
CREATE USER [{0}\{1}$] FOR LOGIN [{0}\{1}$];
GRANT CONNECT TO [{0}\{1}$];
GRANT SELECT TO [{0}\{1}$];
GRANT EXECUTE ON OBJECT::{2}.dbo.mms_get_globalsettings TO [{0}\{1}$];
GRANT EXECUTE ON OBJECT::{2}.dbo.mms_get_connectors TO [{0}\{1}$];
"@ -f $entraConnectServerDomain, $entraConnectServerComputerAccount, $entraConnectDBName
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

Etapas pós-instalação (opcional)

Durante a instalação do sensor em um servidor AD FS, AD CS ou Microsoft Entra Connect, o controlador de domínio mais próximo é selecionado automaticamente. Use as seguintes etapas para verificar ou modificar o controlador de domínio selecionado:

1. No Microsoft Defender XDR, vá para Sensores de identidades>de configurações>para exibir todos os sensores do Defender for Identity.

2. Localize e selecione o sensor que você instalou no servidor.

3. No painel aberto, na caixa Controlador de domínio (FQDN), insira o nome de domínio totalmente qualificado (FQDN) dos controladores de domínio do resolvedor. Selecione + Adicionar para adicionar o FQDN e, em seguida, selecione Guardar.

   

A inicialização do sensor pode levar alguns minutos. Quando terminar, o status do serviço do sensor AD FS, AD CS ou Microsoft Entra Connect muda de interrompido para em execução.

Validar a implantação bem-sucedida

Para validar que você implantou com êxito um sensor do Defender for Identity em um servidor AD FS ou AD CS:

1. Verifique se o serviço do sensor Proteção Avançada contra Ameaças do Azure está em execução. Depois de salvar as configurações do sensor do Defender for Identity, pode levar alguns segundos para que o serviço seja iniciado.

2. Se o serviço não iniciar, revise o Microsoft.Tri.sensor-Errors.log arquivo, localizado por padrão em %programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs.

3. Use o AD FS ou AD CS para autenticar um usuário em qualquer aplicativo e verifique se o Defender for Identity observou a autenticação.

   Por exemplo, selecione Hunting>Advanced Hunting. No painel Consulta, insira e execute uma das seguintes consultas:

   • Para o AD FS:

     IdentityLogonEvents | where Protocol contains 'Adfs'
     

     O painel de resultados deve incluir uma lista de eventos com um valor LogonType de Logon com autenticação ADFS.

   • Para AD CS:

     IdentityDirectoryEvents | where Protocol == "Adcs"
     

     O painel de resultados mostra uma lista de eventos de emissão de certificado com falha e bem-sucedida. Selecione uma linha específica para ver detalhes adicionais no painel Inspecionar registro .

     

Conteúdos relacionados

Para obter mais informações, consulte:

• Pré-requisitos do Microsoft Defender for Identity
• Instalar o sensor Microsoft Defender for Identity