Настройка датчиков для AD FS и AD CS

Установите датчики Defender для удостоверений на службы федерации Active Directory (AD FS) (AD FS) и серверах служб сертификатов Active Directory (AD CS), чтобы защитить их от локальных атак.

В этой статье описаны шаги, необходимые при установке датчиков Defender для удостоверений на серверах AD FS или AD CS.

Примечание.

Для сред AD FS датчик Defender для удостоверений поддерживается только на серверах федерации и не требуется на серверах прокси веб-приложения (WAP). Для сред CS AD не требуется устанавливать датчик на серверах AD CS, которые находятся в автономном режиме.

Необходимые компоненты

Предварительные требования для установки датчиков Defender для удостоверений на серверах AD FS или AD CS совпадают с установкой датчиков на контроллерах домена. Дополнительные сведения см. в Microsoft Defender для удостоверений предварительных требований.

Кроме того, датчик Defender для удостоверений для AD CS поддерживает только серверы AD CS со службой ролей центра сертификации.

Настройка подробного ведения журнала для событий AD FS

Датчики, работающие на серверах AD FS, должны иметь уровень аудита для подробных событий. Например, используйте следующую команду, чтобы настроить уровень аудита на подробный.

Set-AdfsProperties -AuditLevel Verbose

Дополнительные сведения см. в разделе:

• Обязательные события службы федерации Active Directory (AD FS) (AD FS)
• Настройка аудита в службы федерации Active Directory (AD FS) (AD FS)
• Устранение неполадок службы федерации Active Directory (AD FS) с событиями и ведением журнала

Настройка разрешений на чтение для базы данных AD FS

Чтобы датчики, работающие на серверах AD FS, имели доступ к базе данных AD FS, необходимо предоставить разрешения на чтение (db_datareader) для соответствующей учетной записи служб каталогов.

Если у вас несколько серверов AD FS, обязательно предоставьте это разрешение для всех этих серверов, так как разрешения базы данных не реплика между серверами.

Настройте SQL Server, чтобы разрешить учетную запись службы каталогов со следующими разрешениями для базы данных AdfsConfiguration :

• connect
• Войти
• чтение
• select

Примечание.

Если база данных AD FS выполняется на выделенном сервере SQL, а не на локальном сервере AD FS, и вы используете учетную запись службы, управляемую группой (gMSA) в качестве учетной записи служб каталогов (DSA), убедитесь, что сервер SQL server предоставляет необходимые разрешения для получения пароля gMSA.

Предоставление доступа к базе данных AD FS

Предоставьте доступ к базе данных с помощью SQL Server Management Studio, TSQL или PowerShell.

Например, приведенные ниже команды могут оказаться полезными, если вы используете внутренняя база данных Windows (WID) или внешний СЕРВЕР SQL Server.

В следующих примерах кодов:

• [DOMAIN1\mdiSvc01] — это пользователь служб каталогов рабочей области. Если вы работаете с gMSA, добавьте $ его в конец имени пользователя. Например: [DOMAIN1\mdiSvc01$]
• AdfsConfigurationV4 является примером имени базы данных AD FS и может отличаться.
• server=.\pipe\MICROSOFT##WID\tsql\query — это строка подключения в базу данных при использовании WID

Совет

Если вы не знаете строка подключения, выполните действия, описанные в документации по Windows Server.

Чтобы предоставить датчику доступ к базе данных AD FS с помощью TSQL:

USE [master]
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
USE [AdfsConfigurationV4]
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]
GRANT CONNECT TO [DOMAIN1\mdiSvc01]
GRANT SELECT TO [DOMAIN1\mdiSvc01]
GO

Чтобы предоставить датчику доступ к базе данных AD FS с помощью PowerShell:

$ConnectionString = 'server=\\.\pipe\MICROSOFT##WID\tsql\query;database=AdfsConfigurationV4;trusted_connection=true;'
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [AdfsConfigurationV4]; 
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]; 
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]; 
GRANT CONNECT TO [DOMAIN1\mdiSvc01]; 
GRANT SELECT TO [DOMAIN1\mdiSvc01];
"@
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

Настройка коллекции событий для серверов AD FS и AD CS

Если вы работаете с серверами AD FS или AD CS, убедитесь, что вы настроили аудит по мере необходимости. Дополнительные сведения см. в разделе:

• AD FS.

  • Обязательные события службы федерации Active Directory (AD FS) (AD FS)
  • Настройка аудита в службы федерации Active Directory (AD FS) (AD FS)

• AD CS:

  • Обязательные события служб сертификатов Active Directory (AD CS)
  • Настройка аудита для служб сертификатов Active Directory (AD CS)

Проверка успешного развертывания на серверах AD FS и AD CS

Чтобы убедиться, что датчик Defender для удостоверений успешно развернут на сервере AD FS:

1. Убедитесь, что служба датчика Расширенной защиты от угроз Azure запущена. После сохранения параметров датчика Defender для удостоверений может потребоваться несколько секунд для запуска службы.

2. Если служба не запускается, просмотрите файл, расположенный Microsoft.Tri.sensor-Errors.log по умолчанию: %programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs

3. Используйте AD FS или AD CS для проверки подлинности пользователя в любом приложении, а затем убедитесь, что проверка подлинности наблюдалась в Defender для удостоверений.

   Например, выберите "Охота>расширенной охоты". В области запросов введите и выполните один из следующих запросов:

   Для AD FS:

   IdentityLogonEvents | where Protocol contains 'Adfs'
   

   Область результатов должна содержать список событий с проверкой подлинности ADFS с входом в систему.

   Для AD CS:

   IdentityDirectoryEvents | where Protocol == "Adcs"
   

   Область результатов должна содержать список событий сбоя и успешной выдачи сертификата. Выберите определенную строку, чтобы просмотреть дополнительные сведения в левой области "Проверка записи ". Например:

   

Шаги после установки для серверов AD FS / AD CS (необязательно)

Установка датчика на сервере AD FS или AD CS автоматически выбирает ближайший контроллер домена. Чтобы проверка или изменить выбранный контроллер домена, выполните следующие действия.

1. В Microsoft Defender XDR перейдите к Параметры> Identities>Sensor, чтобы просмотреть все датчики Defender для удостоверений.

2. Найдите и выберите датчик, установленный на сервере AD FS или AD CS.

3. В открывающейся области в поле "Контроллер домена" (FQDN) введите полное доменное имя контроллеров домена сопоставителя. Нажмите кнопку +Добавить, чтобы добавить полное доменное имя, а затем нажмите кнопку "Сохранить". Например:

   

Инициализация датчика может занять несколько минут, в то время как состояние службы датчика AD FS / AD CS должно измениться с остановки на выполнение.

Связанный контент

Дополнительные сведения см. в разделе:

• предварительные требования Microsoft Defender для удостоверений
• Установка датчика Microsoft Defender для удостоверений