直接在域控制器上激活Microsoft Defender for Identity功能

项目
2025/02/26

Microsoft Defender for Endpoint已将域控制器载入 Defender for Endpoint 的客户可以直接在域控制器上激活Microsoft Defender for Identity功能，而无需使用 Microsoft Defender for Identity经典传感器。

本文介绍如何在域控制器上激活和测试Microsoft Defender for Identity功能。

重要

对于希望将核心标识保护部署到运行 Windows Server 2019 或更高版本的新域控制器的客户，建议使用新的 Defender for Identity 传感器 (版本 3.x) 。对于所有其他标识基础结构，或者对于希望部署目前从 Microsoft Defender for Identity 提供的最可靠的标识保护的客户，我们建议在此处部署经典传感器。

先决条件

在域控制器上激活 Defender for Identity 功能之前，请确保环境符合本部分中的先决条件。

Defender for Identity 传感器冲突

本文中所述的配置不支持与现有 Defender for Identity 传感器并行安装，建议不要作为 Defender for Identity 经典传感器的替代品。

确保计划在其中激活 Defender for Identity 功能的域控制器未部署 Defender for Identity 传感器。

系统要求

Direct Defender for Identity 功能仅在域控制器上受支持，使用以下作系统之一：

Windows Server 2019 年或更高版本
2024 年 3 月累积更新或更高版本

重要

安装 2024 年 3 月累积更新后，当本地和基于云的Active Directory 域控制器服务 Kerberos 身份验证请求时，LSASS 可能会在域控制器上遇到内存泄漏。

此问题在带外更新 KB5037422中得到解决。

Defender for Endpoint 载入

域控制器必须载入到Microsoft Defender for Endpoint。

有关详细信息，请参阅载入 Windows 服务器。

权限要求

若要访问 Defender for Identity Activation 页面，你必须是安全管理员，或者具有以下统一 RBAC 权限：

Authorization and settings / System settings (Read and manage)
Authorization and settings / Security setting (All permissions)

有关更多信息，请参阅：

连接要求

域控制器上的 Defender for Identity 功能直接使用 Defender for Endpoint URL 终结点进行通信，包括简化的 URL。

有关详细信息，请参阅配置网络环境以确保与 Defender for Endpoint 的连接。

配置 Windows 审核

Defender for Identity 检测依赖于特定的 Windows 事件日志条目来增强检测，并提供有关用户执行特定作（例如 NTLM 登录和安全组修改）的额外信息。

在域控制器上配置 Windows 事件集合以支持 Defender for Identity 检测。有关详细信息，请参阅使用Microsoft Defender for Identity事件集合和配置 Windows 事件日志的审核策略。

你可能想要使用 Defender for Identity PowerShell 模块来配置所需的设置。有关更多信息，请参阅：

例如，以下命令定义域的所有设置，创建组策略对象并链接它们。

PowerShell

Set-MDIConfiguration -Mode Domain -Configuration All

激活 Defender for Identity 功能

确保环境已完全配置后，请在域控制器上激活Microsoft Defender for Identity功能。

从 Microsoft Defender 门户激活 Defender for Identity。

导航到“ 系统>设置>标识>激活”。

“激活”页列出了在设备清单中发现并标识为合格域控制器的服务器。
选择要在其中激活 Defender for Identity 功能的域控制器，然后选择“ 激活”。出现提示时确认你的选择。

备注

可以选择自动激活符合条件的域控制器，其中 Defender for Identity 会在发现它们后立即激活它们，也可以手动激活，从符合条件的服务器列表中选择特定的域控制器。
激活完成后，会显示绿色成功横幅。在横幅中，选择“单击此处查看载入的服务器”，跳转到“设置>标识>传感器”页，可在其中检查传感器运行状况。

载入确认

若要确认传感器已载入，请执行以下作：

导航到 “系统>设置>标识>传感器”。
检查是否已列出已加入的域控制器。

备注

激活不需要重启/重新启动。首次在域控制器上激活 Defender for Identity 功能时，第一个传感器可能需要长达一个小时才能在“传感器”页上显示为“正在运行”。后续激活将在五分钟内显示。

测试激活的功能

首次在域控制器上激活 Defender for Identity 功能时，第一个传感器可能需要长达一个小时才能在“传感器”页上显示为“正在运行”。后续激活将在五分钟内显示。

域控制器上的 Defender for Identity 功能目前支持以下 Defender for Identity 功能：

有关 ITDR 仪表板、标识清单和标识高级搜寻数据的调查功能
指定安全态势建议
指定的警报检测
修正操作
自动攻击中断

使用以下过程在域控制器上测试 Defender for Identity 功能的环境。

检查 ITDR 仪表板

在 Defender 门户中，选择“ 标识>仪表板”，并查看显示的详细信息，检查环境中的预期结果。

有关详细信息，请参阅使用 Defender for Identity 的 ITDR 仪表板。

确认实体页详细信息

确认实体（如域控制器、用户和组）已按预期填充。

在 Defender 门户中，检查以下详细信息：

设备实体：选择“ 资产 > 设备”，然后选择新传感器的计算机。 Defender for Identity 事件显示在设备时间线上。
用户实体：选择“资产>”“用户”，并为新加入的域中的用户检查。或者，使用“全局搜索”选项搜索特定用户。用户详细信息页应包括“概述”、“在组织中观察到”和“时间线”数据。
组实体：使用全局搜索查找用户组，或者从显示组详细信息的用户或设备详细信息页透视。检查组成员身份、查看组用户和组时间线数据的详细信息。

如果在组时间线上找不到事件数据，则可能需要手动创建一些数据。例如，通过在 Active Directory 的组中添加和删除用户来执行此作。

有关详细信息，请参阅调查资产。

测试高级搜寻表

在 Defender 门户的“高级搜寻”页中，使用以下示例查询检查该数据按环境预期显示在相关表中：

Kusto

IdentityDirectoryEvents
| where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN

IdentityInfo 
| where AccountDomain contains "domain" // insert domain

IdentityQueryEvents 
| where DeviceName contains "DC_FQDN" // insert domain controller FQDN

有关详细信息，请参阅 Microsoft Defender 门户中的高级搜寻。

测试标识安全态势管理 (ISPM) 建议

建议在测试环境中模拟风险行为，以触发支持的评估并验证它们是否按预期显示。例如：

通过将 Active Directory 配置设置为不合规状态，然后将其返回到合规状态，来触发新的 “解决不安全的域配置 ”建议。例如，运行以下命令：

设置不合规状态

PowerShell
```
Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}
```
若要将其返回到合规状态，可：

PowerShell
```
Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}
```
若要检查本地配置，请执行以下作：

PowerShell
```
Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuota
```
在“Microsoft安全功能分数”中，选择“建议的作”以检查新的“解决不安全的域配置”建议。你可能希望按 Defender for Identity 产品筛选建议。

有关详细信息，请参阅Microsoft Defender for Identity的安全状况评估

测试警报功能

通过模拟测试环境中的风险活动来测试警报功能。例如：

将帐户标记为蜜标帐户，然后尝试针对激活的域控制器登录到 honeytoken 帐户。
在域控制器上创建可疑服务。
以管理员身份从工作站登录，在域控制器上运行远程命令。

有关详细信息，请参阅调查 Microsoft Defender XDR 中的 Defender for Identity 安全警报。

测试修正作

对测试用户测试修正作。例如：

在 Defender 门户中，转到测试用户的用户详细信息页。
从“ 选项 ”菜单中，选择任何可用的修正作。
检查 Active Directory 中是否有预期活动。

有关详细信息，请参阅 Microsoft Defender for Identity 中的修正作。

在域控制器上停用 Defender for Identity 功能

如果要在域控制器上停用 Defender for Identity 功能，请从 “传感器 ”页中删除它：

在 Defender 门户中，选择 “设置 > 标识 > 传感器”。
选择要在其中停用 Defender for Identity 功能的域控制器，选择“ 删除”，然后确认选择。

从域控制器中停用 Defender for Identity 功能不会从 Defender for Endpoint 中删除域控制器。有关详细信息，请参阅 Defender for Endpoint 文档。

后续步骤

有关详细信息，请参阅管理和更新Microsoft Defender for Identity传感器。

通过