Установка датчика Microsoft Defender для удостоверений

В этой статье описывается установка датчика Microsoft Defender для удостоверений, включая автономный датчик. Рекомендация по умолчанию — использовать пользовательский интерфейс. Тем не менее

• При установке датчика в Windows Server Core или развертывании датчика с помощью системы развертывания программного обеспечения выполните действия по автоматической установке .

• Если вы используете прокси-сервер, рекомендуется установить датчик и настроить прокси-сервер вместе из командной строки. Если вы хотите обновить параметры прокси-сервера позже, используйте PowerShell или Azure CLI. Дополнительные сведения см. в разделе "Настройка параметров прокси-сервера конечной точки и подключения к Интернету".

Необходимые компоненты

Прежде чем приступить к работе, должны быть выполнены следующие условия:

• Скачанная копия пакета установки датчика Defender для удостоверений и ключ доступа.

• Microsoft платформа .NET Framework 4.7 или более поздней версии, установленной на компьютере. Если microsoft платформа .NET Framework 4.7 или более поздней версии не установлена, пакет установки датчика Defender для удостоверений устанавливает его. Установка из пакета установки может потребовать перезагрузки сервера.

• Соответствующие спецификации сервера и требования к сети. Дополнительные сведения см. в разделе:

  • предварительные требования Microsoft Defender для удостоверений
  • Настройка датчиков для AD FS, AD CS и Microsoft Entra Connect
  • предварительные требования для автономного датчика Microsoft Defender для удостоверений

• Доверенные корневые сертификаты на компьютере. Если отсутствуют подписанные доверенным корневым ЦС сертификаты, может возникнуть ошибка подключения.

Установка датчика с помощью пользовательского интерфейса

Выполните следующие действия на сервере контроллера домена, сервере службы федерации Active Directory (AD FS) (AD FS) или сервере служб сертификатов Active Directory (AD CS).

1. Убедитесь, что компьютер подключен к соответствующим конечным точкам облачной службы Defender для удостоверений.

2. Извлеките файлы установки из файла .zip. Установка непосредственно из файла .zip завершается ошибкой.

3. Запустите датчик Azure ATP setup.exe с повышенными привилегиями (запуск от имени администратора) и следуйте инструкциям мастера установки.

4. На странице приветствия выберите язык и нажмите кнопку "Далее".

   

   Мастер установки автоматически проверяет, является ли сервер контроллером домена, сервером AD FS, сервером AD CS или выделенным сервером. Тип сервера определяет тип датчика:

   • Если сервер является контроллером домена, сервером AD FS или сервером AD CS, устанавливается датчик Defender для удостоверений.
   • Если сервер выделен, устанавливается автономный датчик Defender для удостоверений.

   Например, мастер отображает следующую страницу, чтобы указать, что датчик Defender для удостоверений установлен на контроллерах домена.

   

5. Выберите Далее.

   Мастер выдает предупреждение, если контроллер домена, сервер AD FS, сервер AD CS или выделенный сервер не соответствуют минимальным требованиям к оборудованию для установки.

   Предупреждение не предотвращает нажатие кнопки "Далее " и продолжение установки, что по-прежнему может быть правильным вариантом. Например, при установке небольшой лабораторной тестовой среды требуется меньше места для хранения данных.

   Для рабочих сред настоятельно рекомендуется работать с средством определения размера Defender для удостоверений, чтобы убедиться, что контроллеры домена или выделенные серверы соответствуют требованиям к емкости.

6. На странице "Настройка датчика" введите следующие сведения для пакета установки:

   • Путь установки: расположение, в котором установлен датчик Defender для удостоверений. По умолчанию путь имеет значение %programfiles%\Azure Advanced Threat Protection sensor. Оставьте значение по умолчанию.
   • Ключ доступа: извлекается с портала Microsoft Defender на предыдущем шаге.

   

7. Выберите Установить. Во время установки датчика Defender для удостоверений устанавливаются и настраиваются следующие компоненты:

   • Служба обновления датчика удостоверений Defender для удостоверений и Defender для удостоверений

   • Npcap OEM версии 1.0

     Внимание

     Npcap OEM версии 1.0 устанавливается автоматически, если нет другой версии Npcap. Если у вас уже установлена Npcap из-за других требований к программному обеспечению или по какой-либо другой причине, убедитесь, что он имеет необходимые параметры для Defender для удостоверений.

Просмотр версий датчика

Начиная с датчика версии 2.176, при установке датчика из нового пакета версия в разделе "Добавление и удаление программ " отображается полный номер, например 2.176.x.y. Ранее версия появилась как статический 2.0.0.0.0.

Установленная версия продолжает отображаться даже после запуска автоматических обновлений в Defender для удостоверений.

Просмотрите реальную версию датчика на странице параметров датчика XDR в Microsoft Defender, в пути к исполняемому файлу или в версии файла.

Автоматическая установка Defender для удостоверений

Автоматическая установка Defender для удостоверений для датчиков настроена для автоматического перезапуска сервера в конце установки при необходимости.

Запланируйте автоматическую установку только во время периода обслуживания. Из-за ошибки установщика Windows невозможно надежно использовать norestart флаг, чтобы убедиться, что сервер не перезапускается.

Чтобы отслеживать ход развертывания, отслеживайте журналы установщика %localappdata%\Tempудостоверений Defender для удостоверений.

Автоматическая установка с помощью системы развертывания

При автоматическом развертывании датчика Defender для удостоверений с помощью System Center Configuration Manager или другой системы развертывания программного обеспечения рекомендуется создать два пакета развертывания:

• платформа .NET Framework версии 4.7 или более поздней версии, которая может включать перезапуск контроллера домена.
• Датчик Defender для удостоверений

Создание пакета датчика Defender для удостоверений зависит от развертывания развертывания пакета платформа .NET Framework. При необходимости получите пакет автономного развертывания платформа .NET Framework 4.7.

Команды для запуска автоматической установки

Используйте следующие команды, чтобы выполнить полностью автоматическую установку датчика Defender для удостоверений с помощью ключа доступа, скопированного на предыдущем шаге.

синтаксис cmd.exe

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"

Синтаксис PowerShell

.\"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"

Примечание.

Если вы используете синтаксис PowerShell, опущение .\ предисловий приводит к ошибке, которая предотвращает автоматическую установку.

Варианты установки

Имя.	Синтаксис	Обязательно для автоматический установки?	Description
Quiet	/quiet	Да	Запускает установщик без отображения пользовательского интерфейса или запросов.
Help	/help	No	Предоставляет справку и краткие инструкции. Отображает правильное использование команды setup, включая список всех параметров и вариантов поведения.
NetFrameworkCommandLineArguments="/q"	NetFrameworkCommandLineArguments="/q"	Да	Задает параметры для установки платформа .NET Framework. Необходимо установить для принудительной автоматической установки платформа .NET Framework.

Параметры установки

Имя.	Синтаксис	Обязательно для автоматический установки?	Description
InstallationPath	InstallationPath=""	No	Задает путь для установки двоичных файлов датчиков Defender для удостоверений. Путь по умолчанию: %programfiles%\Azure Advanced Threat Protection Sensor.
AccessKey	AccessKey="\*\*"	Да	Задает ключ доступа, используемый для регистрации датчика Defender для удостоверений в рабочей области Defender для удостоверений.
AccessKeyFile	AccessKeyFile=""	No	Задает ключ доступа к рабочей области из предоставленного пути к текстовому файлу.
DelayedUpdate	DelayedUpdate=true	No	Задает механизм обновления датчика, чтобы отложить обновление в течение 72 часов от официального выпуска каждого обновления службы. Дополнительные сведения см. в разделе "Отложенное обновление датчика".
LogsPath	LogsPath=""	No	Задает путь для журналов датчиков Defender для удостоверений. Путь по умолчанию: %programfiles%\Azure Advanced Threat Protection Sensor.

Примеры

Используйте следующие команды для автоматической установки датчика Defender для удостоверений:

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<access key value>"

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKeyFile="C:\Path\myAccessKeyFile.txt"

Команда для запуска автоматической установки с конфигурацией прокси-сервера

Используйте следующую команду, чтобы настроить прокси-сервер вместе с автоматической установкой:

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [ProxyUrl="http://proxy.internal.com"] [ProxyUserName="domain\proxyuser"] [ProxyUserPassword="ProxyPassword"]`

Примечание.

Если вы ранее настроили прокси-сервер с помощью устаревших параметров, включая WinINet или обновление раздела реестра, необходимо внести изменения с тем же методом, который использовался изначально. Дополнительные сведения см. в разделе "Изменение конфигурации прокси-сервера с помощью устаревших методов".

Параметры установки

Имя.	Синтаксис	Обязательно для автоматический установки?	Description
ProxyUrl	ProxyUrl="http://proxy.contoso.com:8080"	No	Указывает URL-адрес прокси-сервера и номер порта для датчика Defender для удостоверений.
ProxyUserName	ProxyUserName="Contoso\ProxyUser"	No	Если для прокси-службы требуется проверка подлинности, определите имя пользователя в DOMAIN\user формате.
ProxyUserPassword	ProxyUserPassword="P@ssw0rd"	No	Указывает пароль для имени пользователя прокси-сервера. Датчик Defender для удостоверений шифрует учетные данные и сохраняет их локально.

Совет

Если вы хотите обновить параметры прокси-сервера позже, используйте PowerShell или Azure CLI. Дополнительные сведения см. в разделе "Настройка параметров прокси-сервера конечной точки и подключения к Интернету". Мы рекомендуем создать и использовать настраиваемую запись DNS A для прокси-сервера. Затем эту запись можно использовать для изменения адреса прокси-сервера при необходимости и использования файла узлов для тестирования.

Связанный контент

После установки датчика можно выполнить дополнительные действия.

• Если вы установили датчик на сервере AD FS или AD CS, ознакомьтесь с инструкциями после установки (необязательно).

• Если вы установили автономный датчик, ознакомьтесь со следующими сведениями:

  • Прослушивание событий SIEM на автономном датчике Defender для удостоверений
  • Настройка зеркального отображения портов
  • Настройка перенаправления событий Windows на автономный датчик Defender для удостоверений

Следующий шаг

Настройка параметров датчика Microsoft Defender для удостоверений