Поделиться через


предварительные требования Microsoft Defender для удостоверений

В этой статье описываются требования к успешному развертыванию Microsoft Defender для удостоверений.

Требования к лицензированию

Для развертывания Defender для удостоверений требуется одна из следующих лицензий Microsoft 365:

  • Enterprise Mobility + Security E5 (EMS E5/A5)
  • Microsoft 365 E5 (Microsoft E5/A5/G5)
  • Безопасность Microsoft 365 E5/A5/G5/F5*
  • Безопасность и соответствие требованиям Microsoft 365 F5*
  • Автономная лицензия Defender для удостоверений

* Для обеих лицензий F5 требуется Microsoft 365 F3/F3 или Office 365 F3 и Enterprise Mobility + Security E3.

Получите лицензии непосредственно на портале Microsoft 365 или используйте модель лицензирования Cloud Solution Partner (CSP).

Дополнительные сведения см. в разделе "Вопросы о лицензировании и конфиденциальности".

Необходимые разрешения

Требования к подключению

Датчик Defender для удостоверений должен иметь возможность взаимодействовать с облачной службой Defender для удостоверений, используя один из следующих методов:

Метод Description Рекомендации Подробнее
Настройка прокси-сервера Клиенты, имеющие развернутый прокси-сервер пересылки, могут воспользоваться преимуществами прокси-сервера, чтобы обеспечить подключение к облачной службе MDI.

Если этот параметр выбран, вы настроите прокси-сервер позже в процессе развертывания. Конфигурации прокси-сервера включают разрешение трафика на URL-адрес датчика и настройку URL-адресов Defender для удостоверений для всех явных списков разрешений, используемых прокси-сервером или брандмауэром.
Разрешает доступ к Интернету для одного URL-адреса

Проверка SSL не поддерживается
Настройка параметров прокси-сервера конечной точки и подключения к Интернету

Запуск автоматической установки с конфигурацией прокси-сервера
ExpressRoute ExpressRoute можно настроить для пересылки трафика датчика MDI через экспресс-маршрут клиента.

Чтобы маршрутизировать сетевой трафик, предназначенный для облачных серверов Defender для удостоверений, используйте пиринг Microsoft ExpressRoute и добавьте сообщество BGP службы BGP Microsoft Defender для удостоверений (12076:5220) в фильтр маршрутов.
Требуется ExpressRoute Значение сообщества BGP
Брандмауэр с помощью IP-адресов Defender для удостоверений Azure Клиенты, у которых нет прокси-сервера или ExpressRoute, могут настроить брандмауэр с IP-адресами, назначенными облачной службе MDI. Для этого требуется, чтобы клиент отслеживал список IP-адресов Azure для любых изменений в IP-адресах, используемых облачной службой MDI.

Если этот параметр выбран, рекомендуется скачать диапазоны IP-адресов Azure и теги служб — файл общедоступного облака и использовать тег службы AzureAdvancedThreatProtection для добавления соответствующих IP-адресов.
Клиент должен отслеживать назначения IP-адресов Azure Теги службы виртуальной сети

Дополнительные сведения см. в разделе Microsoft Defender для удостоверений архитектуры.

Требования и рекомендации датчика

В следующей таблице приведены сведения о требованиях и рекомендациях для контроллера домена, AD FS, AD CS, Entra Connect, где устанавливается датчик Defender для удостоверений.

Предварительные требования и рекомендации Description
Спецификации Обязательно установите Defender для удостоверений в Windows версии 2016 или более поздней версии на сервере контроллера домена с минимальным количеством:

— 2 ядра
- 6 ГБ ОЗУ
— требуется 6 ГБ дискового пространства, рекомендуется 10 ГБ, включая пространство для двоичных файлов удостоверений Defender для удостоверений и журналов.

Defender для удостоверений поддерживает контроллеры домена только для чтения (RODC).
Производительность Для обеспечения оптимальной производительности задайте в параметре электропитания компьютера, на котором работает датчик Defender для удостоверений, значение Высокая производительность.
Конфигурация сетевого интерфейса Если вы используете виртуальные машины VMware, убедитесь, что конфигурация сетевого адаптера виртуальной машины отключена большой нагрузки отправки (LSO). Дополнительные сведения см. в статье о проблеме с датчиком виртуальных машин VMware.
Период обслуживания Рекомендуется планировать период обслуживания для контроллеров домена, так как может потребоваться перезапуск, если установка выполняется и перезапуск уже ожидается, или если платформа .NET Framework необходимо установить.

Если платформа .NET Framework версии 4.7 или более поздней версии еще не найдена в системе, установлен платформа .NET Framework версии 4.7 и может потребоваться перезагрузка.

Минимальные требования к операционной системе

Датчики Defender для удостоверений можно установить на следующих операционных системах:

  • Windows Server 2016
  • Windows Server 2019. Требуется KB4487044 или более новое накопительное обновление. Датчики, установленные на сервере 2019 без этого обновления, будут автоматически остановлены, если версия файла ntdsai.dll , найденная в системном каталоге, старше 10.0.17763.316
  • Windows Server 2022

Для всех операционных систем:

  • Поддерживаются оба сервера с рабочим возможностями и ядрами серверов.
  • Серверы Nano Server не поддерживаются.
  • Установки поддерживаются для контроллеров домена, AD FS и серверов CS AD.

Устаревшие операционные системы

Windows Server 2012 и Windows Server 2012 R2 достигли расширенного окончания поддержки 10 октября 2023 г.

Рекомендуется обновить эти серверы, так как Корпорация Майкрософт больше не поддерживает датчик Defender для удостоверений на устройствах под управлением Windows Server 2012 и Windows Server 2012 R2.

Датчики, работающие в этих операционных системах, будут продолжать сообщать в Defender для удостоверений и даже получать обновления датчика, но некоторые из новых функций не будут доступны, так как они могут полагаться на возможности операционной системы.

Требуемые порты

Протокол Транспорт порт. From Кому
Интернет-порты
SSL (*.atp.azure.com)

Кроме того, настройте доступ через прокси-сервер.
TCP 443 Датчик Defender для удостоверений Облачная служба Defender для удостоверений
Внутренние порты
DNS TCP и UDP 53 Датчик Defender для удостоверений DNS-серверы
Netlogon
(SMB, CIFS, SAM-R)
TCP/UDP 445 Датчик Defender для удостоверений Все устройства в сети
RADIUS UDP 1813 RADIUS Датчик Defender для удостоверений
Порты Localhost: требуется для обновления службы датчиков

По умолчанию локальный трафик в localhost разрешен, если пользовательская политика брандмауэра не блокирует его.
SSL TCP 444 Служба датчиков Служба обновления датчиков
Порты разрешения имен сети (NNR)

Чтобы разрешить IP-адреса именам компьютеров, рекомендуется открыть все перечисленные порты. Однако требуется только один порт.
NTLM по RPC TCP Порт 135 Датчик Defender для удостоверений Все устройства в сети
NetBIOS UDP 137 Датчик Defender для удостоверений Все устройства в сети
RDP

Только первый пакет client hello запрашивает DNS-сервер с помощью обратного поиска DNS-адреса (UDP 53)
TCP 3389 Датчик Defender для удостоверений Все устройства в сети

Если вы работаете с несколькими лесами, убедитесь, что на любом компьютере, на котором установлен датчик Defender для удостоверений, откройте следующие порты:

Протокол Транспорт Порт С языка/на язык Направление
Интернет-порты
SSL (*.atp.azure.com) TCP 443 Облачная служба Defender для удостоверений Исходящие
Внутренние порты
LDAP TCP и UDP 389 Контроллеры домена Исходящие
Защищенный протокол LDAP (LDAPS) TCP 636 Контроллеры домена Исходящие
ПРОТОКОЛ LDAP в глобальный каталог TCP 3268 Контроллеры домена Исходящие
LDAPS в глобальный каталог TCP 3269 Контроллеры домена Исходящие

Требования к динамической памяти

В следующей таблице описываются требования к памяти на сервере, используемом для датчика Defender для удостоверений, в зависимости от типа используемой виртуализации:

Виртуальная машина запущена в Description
Hyper-V Убедитесь, что для виртуальной машины включена динамическая память .
VMware Убедитесь, что объем памяти, настроенный и зарезервированная память совпадают, или выберите параметр Резервировать всю гостевую память (все заблокированные) в параметрах виртуальной машины.
Другой узел виртуализации Обратитесь к предоставленной поставщику документации о том, как убедиться, что память полностью выделена виртуальной машине.

Внимание

При запуске в качестве виртуальной машины все памяти должны быть выделены виртуальной машине в любое время.

Синхронизация времени

Серверы и контроллеры домена, на которых установлен датчик, должны иметь время синхронизации с пятью минутами друг от друга.

Проверка необходимых компонентов

Мы рекомендуем запустить скрипт Test-MdiReadiness.ps1 для тестирования и проверить наличие необходимых предварительных требований в вашей среде.

Ссылка на скрипт Test-MdiReadiness.ps1 также доступна из XDR в Microsoft Defender на странице "Средства удостоверений>" (предварительная версия).

В этой статье перечислены предварительные требования, необходимые для базовой установки. При установке на сервере AD FS или AD CS или Entra Connect необходимы дополнительные предварительные требования для поддержки нескольких лесов Active Directory или при установке автономного датчика Defender для удостоверений.

Дополнительные сведения см. в разделе:

Следующий шаг