Defender for Identity 使用传感器从本地标识基础结构收集信号,以检测威胁。 本文介绍Microsoft Defender for Identity部署过程。
Defender for Identity 检测权限提升或高风险横向移动等威胁,并报告容易被利用的标识问题,例如不受约束的 Kerberos 委派,以供安全团队更正。
建议在所有域控制器上安装 Defender for Identity 传感器,包括只读域控制器 (RODC) 。 如果环境中有 AD FS、AD CS 或 Microsoft Entra Connect 场或群集,请在每台服务器上安装传感器。
选择部署方法
完成准备环境的步骤,并为 Defender for Identity 分配角色和权限后,创建加入计划。
确定体系结构和要求,然后使用下表为环境中的服务器选择适当的部署。
| 服务器配置 | 服务器操作系统 | 建议的部署 |
|---|---|---|
| 域控制器 | Windows Server 2019 或更高版本,以及 2024 年 3 月累积更新或更高版本。 * 请参阅说明。 |
Defender for Identity 传感器 v3.x (预览版) * 请参阅说明。 |
| 域控制器 | Windows Server 2016或更早版本 | Defender for Identity 传感器 v2.x |
| Active Directory 联合身份验证服务 (AD FS) | 不适用 | Defender for Identity 传感器 v2.x |
| Active Directory 证书服务 (AD CS) | 不适用 | Defender for Identity 传感器 v2.x |
| Entra Connect | 不适用 | Defender for Identity 传感器 v2.x |
注意
Defender for Identity 传感器版本 3.x 仍处于预览状态,与版本 2.x 相比,功能有所限制。 在激活传感器之前,请记住这些限制。 Defender for Identity 传感器 v3.x:
- 要求在终结点上部署 Defender for Endpoint
- 当前不支持 VPN 集成
- 当前不支持 ExpressRoute
- 目前不提供运行状况警报、态势建议、安全警报或高级搜寻数据的完整功能。
评估基础结构和要求后,请按照根据所需版本部署传感器的说明进行作。