предварительные требования Microsoft Defender для удостоверений
В этой статье описываются требования к успешному развертыванию Microsoft Defender для удостоверений.
Требования к лицензированию
Для развертывания Defender для удостоверений требуется одна из следующих лицензий Microsoft 365:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Безопасность Microsoft 365 E5/A5/G5/F5*
- Безопасность и соответствие требованиям Microsoft 365 F5*
- Автономная лицензия Defender для удостоверений
* Для обеих лицензий F5 требуется Microsoft 365 F3/F3 или Office 365 F3 и Enterprise Mobility + Security E3.
Получите лицензии непосредственно на портале Microsoft 365 или используйте модель лицензирования Cloud Solution Partner (CSP).
Дополнительные сведения см. в разделе "Вопросы о лицензировании и конфиденциальности".
Необходимые разрешения
Чтобы создать рабочую область Defender для удостоверений, вам потребуется клиент Идентификатора Microsoft Entra с по крайней мере одним администратором безопасности.
Для доступа к разделу удостоверений области параметров XDR в Microsoft Defender необходимо по крайней мере доступ администратора безопасности к клиенту и создать рабочую область.
Дополнительные сведения см. в разделе Microsoft Defender для удостоверений группы ролей.
Рекомендуется использовать по крайней мере одну учетную запись службы каталогов с доступом на чтение ко всем объектам в отслеживаемых доменах. Дополнительные сведения см. в разделе "Настройка учетной записи службы каталогов" для Microsoft Defender для удостоверений.
Требования к подключению
Датчик Defender для удостоверений должен иметь возможность взаимодействовать с облачной службой Defender для удостоверений, используя один из следующих методов:
Метод | Description | Рекомендации | Подробнее |
---|---|---|---|
Настройка прокси-сервера | Клиенты, имеющие развернутый прокси-сервер пересылки, могут воспользоваться преимуществами прокси-сервера, чтобы обеспечить подключение к облачной службе MDI. Если этот параметр выбран, вы настроите прокси-сервер позже в процессе развертывания. Конфигурации прокси-сервера включают разрешение трафика на URL-адрес датчика и настройку URL-адресов Defender для удостоверений для всех явных списков разрешений, используемых прокси-сервером или брандмауэром. |
Разрешает доступ к Интернету для одного URL-адреса Проверка SSL не поддерживается |
Настройка параметров прокси-сервера конечной точки и подключения к Интернету Запуск автоматической установки с конфигурацией прокси-сервера |
ExpressRoute | ExpressRoute можно настроить для пересылки трафика датчика MDI через экспресс-маршрут клиента. Чтобы маршрутизировать сетевой трафик, предназначенный для облачных серверов Defender для удостоверений, используйте пиринг Microsoft ExpressRoute и добавьте сообщество BGP службы BGP Microsoft Defender для удостоверений (12076:5220) в фильтр маршрутов. |
Требуется ExpressRoute | Значение сообщества BGP |
Брандмауэр с помощью IP-адресов Defender для удостоверений Azure | Клиенты, у которых нет прокси-сервера или ExpressRoute, могут настроить брандмауэр с IP-адресами, назначенными облачной службе MDI. Для этого требуется, чтобы клиент отслеживал список IP-адресов Azure для любых изменений в IP-адресах, используемых облачной службой MDI. Если этот параметр выбран, рекомендуется скачать диапазоны IP-адресов Azure и теги служб — файл общедоступного облака и использовать тег службы AzureAdvancedThreatProtection для добавления соответствующих IP-адресов. |
Клиент должен отслеживать назначения IP-адресов Azure | Теги службы виртуальной сети |
Дополнительные сведения см. в разделе Microsoft Defender для удостоверений архитектуры.
Требования и рекомендации датчика
В следующей таблице приведены сведения о требованиях и рекомендациях для контроллера домена, AD FS, AD CS, Entra Connect, где устанавливается датчик Defender для удостоверений.
Предварительные требования и рекомендации | Description |
---|---|
Спецификации | Обязательно установите Defender для удостоверений в Windows версии 2016 или более поздней версии на сервере контроллера домена с минимальным количеством: — 2 ядра - 6 ГБ ОЗУ — требуется 6 ГБ дискового пространства, рекомендуется 10 ГБ, включая пространство для двоичных файлов удостоверений Defender для удостоверений и журналов. Defender для удостоверений поддерживает контроллеры домена только для чтения (RODC). |
Производительность | Для обеспечения оптимальной производительности задайте в параметре электропитания компьютера, на котором работает датчик Defender для удостоверений, значение Высокая производительность. |
Конфигурация сетевого интерфейса | Если вы используете виртуальные машины VMware, убедитесь, что конфигурация сетевого адаптера виртуальной машины отключена большой нагрузки отправки (LSO). Дополнительные сведения см. в статье о проблеме с датчиком виртуальных машин VMware. |
Период обслуживания | Рекомендуется планировать период обслуживания для контроллеров домена, так как может потребоваться перезапуск, если установка выполняется и перезапуск уже ожидается, или если платформа .NET Framework необходимо установить. Если платформа .NET Framework версии 4.7 или более поздней версии еще не найдена в системе, установлен платформа .NET Framework версии 4.7 и может потребоваться перезагрузка. |
Минимальные требования к операционной системе
Датчики Defender для удостоверений можно установить на следующих операционных системах:
- Windows Server 2016
- Windows Server 2019. Требуется KB4487044 или более новое накопительное обновление. Датчики, установленные на сервере 2019 без этого обновления, будут автоматически остановлены, если версия файла ntdsai.dll , найденная в системном каталоге, старше 10.0.17763.316
- Windows Server 2022
Для всех операционных систем:
- Поддерживаются оба сервера с рабочим возможностями и ядрами серверов.
- Серверы Nano Server не поддерживаются.
- Установки поддерживаются для контроллеров домена, AD FS и серверов CS AD.
Устаревшие операционные системы
Windows Server 2012 и Windows Server 2012 R2 достигли расширенного окончания поддержки 10 октября 2023 г.
Рекомендуется обновить эти серверы, так как Корпорация Майкрософт больше не поддерживает датчик Defender для удостоверений на устройствах под управлением Windows Server 2012 и Windows Server 2012 R2.
Датчики, работающие в этих операционных системах, будут продолжать сообщать в Defender для удостоверений и даже получать обновления датчика, но некоторые из новых функций не будут доступны, так как они могут полагаться на возможности операционной системы.
Требуемые порты
Протокол | Транспорт | порт. | From | Кому |
---|---|---|---|---|
Интернет-порты | ||||
SSL (*.atp.azure.com) Кроме того, настройте доступ через прокси-сервер. |
TCP | 443 | Датчик Defender для удостоверений | Облачная служба Defender для удостоверений |
Внутренние порты | ||||
DNS | TCP и UDP | 53 | Датчик Defender для удостоверений | DNS-серверы |
Netlogon (SMB, CIFS, SAM-R) |
TCP/UDP | 445 | Датчик Defender для удостоверений | Все устройства в сети |
RADIUS | UDP | 1813 | RADIUS | Датчик Defender для удостоверений |
Порты Localhost: требуется для обновления службы датчиков По умолчанию локальный трафик в localhost разрешен, если пользовательская политика брандмауэра не блокирует его. |
||||
SSL | TCP | 444 | Служба датчиков | Служба обновления датчиков |
Порты разрешения имен сети (NNR) Чтобы разрешить IP-адреса именам компьютеров, рекомендуется открыть все перечисленные порты. Однако требуется только один порт. |
||||
NTLM по RPC | TCP | Порт 135 | Датчик Defender для удостоверений | Все устройства в сети |
NetBIOS | UDP | 137 | Датчик Defender для удостоверений | Все устройства в сети |
RDP Только первый пакет client hello запрашивает DNS-сервер с помощью обратного поиска DNS-адреса (UDP 53) |
TCP | 3389 | Датчик Defender для удостоверений | Все устройства в сети |
Если вы работаете с несколькими лесами, убедитесь, что на любом компьютере, на котором установлен датчик Defender для удостоверений, откройте следующие порты:
Протокол | Транспорт | Порт | С языка/на язык | Направление |
---|---|---|---|---|
Интернет-порты | ||||
SSL (*.atp.azure.com) | TCP | 443 | Облачная служба Defender для удостоверений | Исходящие |
Внутренние порты | ||||
LDAP | TCP и UDP | 389 | Контроллеры домена | Исходящие |
Защищенный протокол LDAP (LDAPS) | TCP | 636 | Контроллеры домена | Исходящие |
ПРОТОКОЛ LDAP в глобальный каталог | TCP | 3268 | Контроллеры домена | Исходящие |
LDAPS в глобальный каталог | TCP | 3269 | Контроллеры домена | Исходящие |
Требования к динамической памяти
В следующей таблице описываются требования к памяти на сервере, используемом для датчика Defender для удостоверений, в зависимости от типа используемой виртуализации:
Виртуальная машина запущена в | Description |
---|---|
Hyper-V | Убедитесь, что для виртуальной машины включена динамическая память . |
VMware | Убедитесь, что объем памяти, настроенный и зарезервированная память совпадают, или выберите параметр Резервировать всю гостевую память (все заблокированные) в параметрах виртуальной машины. |
Другой узел виртуализации | Обратитесь к предоставленной поставщику документации о том, как убедиться, что память полностью выделена виртуальной машине. |
Внимание
При запуске в качестве виртуальной машины все памяти должны быть выделены виртуальной машине в любое время.
Синхронизация времени
Серверы и контроллеры домена, на которых установлен датчик, должны иметь время синхронизации с пятью минутами друг от друга.
Проверка необходимых компонентов
Мы рекомендуем запустить скрипт Test-MdiReadiness.ps1 для тестирования и проверить наличие необходимых предварительных требований в вашей среде.
Ссылка на скрипт Test-MdiReadiness.ps1 также доступна из XDR в Microsoft Defender на странице "Средства удостоверений>" (предварительная версия).
Связанный контент
В этой статье перечислены предварительные требования, необходимые для базовой установки. При установке на сервере AD FS или AD CS или Entra Connect необходимы дополнительные предварительные требования для поддержки нескольких лесов Active Directory или при установке автономного датчика Defender для удостоверений.
Дополнительные сведения см. в разделе:
- Развертывание Microsoft Defender для удостоверений на серверах AD FS и AD CS
- поддержка нескольких лесов Microsoft Defender для удостоверений
- предварительные требования для автономного датчика Microsoft Defender для удостоверений
- Архитектура Defender для удостоверений