設定AD FS和AD CS的感測器

在 Active Directory 同盟服務 (AD FS) 和 Active Directory 憑證服務 (AD CS) 伺服器上安裝適用於身分識別的 Defender 感測器,以保護它們免受內部部署攻擊。

本文說明在 AD FS 或 AD CS 伺服器上安裝適用於身分識別的 Defender 感測器時所需的步驟。

注意

針對AD FS環境,只有同盟伺服器上才支援適用於身分識別的Defender感測器,而且Web應用程式 Proxy (WAP) 伺服器上不需要。 針對 AD CS 環境,您不需要在離線的任何 AD CS 伺服器上安裝感測器。

必要條件

在AD FS或AD CS伺服器上安裝適用於身分識別的Defender感測器的必要條件,與在域控制器上安裝感測器的必要條件相同。 如需詳細資訊,請參閱 適用於身分識別的 Microsoft Defender 必要條件

此外,適用於 AD CS 的 Defender 身分識別感測器僅支援具有證書頒發機構單位角色服務的 AD CS 伺服器。

設定AD FS事件的詳細信息記錄

在AD FS 伺服器上執行的感測器必須針對相關事件將稽核層級設定為 Verbose 。 例如,使用下列命令將稽核層級設定為 Verbose

Set-AdfsProperties -AuditLevel Verbose

如需詳細資訊,請參閱

設定 AD FS 資料庫的讀取許可權

若要讓在 AD FS 伺服器上執行的感測器能夠存取 AD FS 資料庫,您必須授與已設定相關目錄服務帳戶的讀取(db_datareader) 許可權。

如果您有一部以上的AD FS 伺服器,請務必授與此許可權,因為資料庫許可權不會跨伺服器複寫。

設定 SQL Server 以允許具有 AdfsConfiguration 資料庫許可權的目錄服務帳戶:

  • connect
  • 登錄
  • read
  • select

注意

如果 AD FS 資料庫在專用 SQL 伺服器上執行,而不是本機 AD FS 伺服器,而且您使用群組管理的服務帳戶 (gMSA) 作為 目錄服務帳戶 (DSA),請確定您授與 SQL Server 擷取 gMSA 密碼所需的許可權

授與 AD FS 資料庫的存取權

使用 SQL Server Management Studio、TSQL 或 PowerShell 授與資料庫的存取權。

例如,如果您使用 Windows 內部資料庫 或外部 SQL 伺服器,下列命令可能會很有説明。

在這些範例程式代碼中:

  • [DOMAIN1\mdiSvc01] 是工作區的目錄服務使用者。 如果您正在使用 gMSA,請將 附加 $ 至使用者名稱的結尾。 例如: [DOMAIN1\mdiSvc01$]
  • AdfsConfigurationV4 是 AD FS 資料庫名稱的範例,而且可能會有所不同
  • server=.\pipe\MICROSOFT##WID\tsql\query - 如果您使用 WID,則為資料庫的 連接字串

提示

如果您不知道您的 連接字串,請遵循 Windows Server 檔中的步驟

若要使用 TSQL 授與 AD FS 資料庫的感測器存取權:

USE [master]
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
USE [AdfsConfigurationV4]
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]
GRANT CONNECT TO [DOMAIN1\mdiSvc01]
GRANT SELECT TO [DOMAIN1\mdiSvc01]
GO

若要使用 PowerShell 授與感測器對 AD FS 資料庫的存取權:

$ConnectionString = 'server=\\.\pipe\MICROSOFT##WID\tsql\query;database=AdfsConfigurationV4;trusted_connection=true;'
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [AdfsConfigurationV4]; 
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]; 
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]; 
GRANT CONNECT TO [DOMAIN1\mdiSvc01]; 
GRANT SELECT TO [DOMAIN1\mdiSvc01];
"@
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

設定 AD FS / AD CS 伺服器的事件收集

如果您使用AD FS / AD CS 伺服器,請確定您已視需要設定稽核。 如需詳細資訊,請參閱

驗證 AD FS / AD CS 伺服器上的成功部署

若要驗證適用於身分識別的 Defender 感測器是否已成功部署在 AD FS 伺服器上:

  1. 檢查 Azure 進階威脅防護感測器服務是否正在執行。 儲存適用於身分識別的 Defender 感測器設定之後,服務可能需要幾秒鐘的時間才能啟動。

  2. 如果服務未啟動,請檢閱 Microsoft.Tri.sensor-Errors.log 檔案,預設位於: %programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs

  3. 使用AD FS或AD CS向任何應用程式驗證使用者,然後確認適用於身分識別的Defender觀察到驗證。

    例如,選取 [搜捕進階搜捕>]。 在 [ 查詢 ] 窗格中,輸入並執行下列其中一個查詢:

    針對 AD FS

    IdentityLogonEvents | where Protocol contains 'Adfs'
    

    結果窗格應包含具有使用ADFS驗證之LogonType的事件清單

    針對 AD CS

    IdentityDirectoryEvents | where Protocol == "Adcs"
    

    結果窗格應包含失敗和成功憑證發行的事件清單。 選取特定數據列,以查看 [檢查記錄] 左窗格中的其他詳細數據。 例如:

    Screenshot of the results of an AD FS logon advanced hunting query.

AD FS / AD CS 伺服器的安裝後步驟 (選擇性)

在AD FS/ AD CS 伺服器上安裝感測器會自動選取最接近的域控制器。 使用下列步驟來檢查或修改選取的域控制器。

  1. Microsoft Defender 全面偵測回應 中,移至 [設定> 標識符>感測器],以檢視所有適用於身分識別的Defender感測器。

  2. 找出並選取您在AD FS / AD CS 伺服器上安裝的感測器。

  3. 在開啟的窗格中,於 [域控制器 (FQDN)] 字段中,輸入解析程式域控制器的 FQDN。 選取 [+ 新增 ] 以新增 FQDN,然後選取 [ 儲存]。 例如:

    Screenshot of the Defender for Identity configure AD FS sensor resolver.

初始化感測器可能需要幾分鐘的時間,此時 AD FS / AD CS 感測器服務狀態應該從 停止 變更為 執行中。

如需詳細資訊,請參閱