直接在域控制器上激活 Microsoft Defender for Identity 功能

Microsoft Defender for Endpoint 客户如果已将其域控制器加入 Defender for Endpoints，则可以直接在域控制器上激活 Microsoft Defender for Identity 功能，而不必使用 Microsoft Defender for Identity 传感器。

本文介绍如何在域控制器上激活和测试 Microsoft Defender for Identity 功能。

重要

本文中的信息与一个功能有关，该功能目前对一组选定的用例可用性有限。 如果你没有被指示使用 Defender for Identity 激活页面，请改用我们的主部署指南。

先决条件

在域控制器上激活 Defender for Identity 功能之前，请确保环境符合本节中的先决条件。

Defender for Identity 传感器冲突

本文中所述的配置不支持与现有 Defender for Identity 传感器并行安装，也不建议将其作为 Defender for Identity 传感器的替代项。

确保计划激活 Defender for Identity 功能的域控制器未部署 Defender for Identity 传感器。

系统要求

仅在使用以下操作系统之一的域控制器上支持 Direct Defender for Identity 功能：

• Windows Server 2019
• Windows Server 2022

还必须安装 2024 年 3 月累积更新。

重要

安装 2024 年 3 月累积更新后，当本地和基于云的 Active Directory 域控制器服务 Kerberos 对请求进行身份验证时，LSASS 可能会在域控制器上遇到内存泄漏。

该问题在带外更新 KB5037422 中得到了解决。

Defender for Endpoint 载入

域控制器必须载入到 Microsoft Defender for Endpoint。

有关详细信息，请参阅载入 Windows Server。

所需的权限

若要访问 Defender for Identity 激活页，你必须是安全管理员，或者具有以下统一 RBAC 权限：

• Authorization and settings / System settings (Read and manage)
• Authorization and settings / Security setting (All permissions)

有关详细信息，请参阅：

• 统一的基于角色的访问控制 (RBAC)
• 创建用于访问和管理角色和权限的角色

连接要求

域控制器上的 Defender for Identity 功能直接使用 Defender for Endpoint URL 终结点进行通信，包括简化的 URL。

有关详细信息，请参阅配置网络环境，以确保与 Defender for Endpoint 建立连接。

配置 Windows 审核

Microsoft Defender for Identity 检测依赖特定的 Windows 事件日志条目来增强检测，并提供有关执行特定操作的用户的额外信息，例如 NTLM 登录和安全组修改。

在域控制器上配置 Windows 事件集合，以支持 Defender for Identity 检测。 有关详细信息，请参阅使用 Microsoft Defender for Identity 收集事件，以及配置 Windows 事件日志的审核策略。

你可能需要使用 Defender for Identity PowerShell 模块来配置所需的设置。 有关详细信息，请参阅：

• DefenderForIdentity 模块
• PowerShell 库中的 Defender for Identity

例如，以下命令定义域的所有设置、创建组策略对象并链接它们。

Set-MDIConfiguration -Mode Domain -Configuration All

激活 Defender for Identity 功能

在确保完全配置了环境之后，在域控制器上激活 Microsoft Defender for Identity 功能。

1. 在 Defender 门户中，选择设置 > 标识 > 激活。

   激活页列出所有检测到的和符合条件的域控制器。

2. 选择要在其中激活 Defender for Identity 功能的域控制器，然后选择激活。 出现提示时确认所做的选择。

激活完成后，会显示一条绿色的成功横幅。 在横幅中，选择单击此处查看载入的服务器，跳转到设置 > 标识 > 传感器页，可在其中检查传感器运行状况。

测试激活的功能

首次在域控制器上激活 Defender for Identity 功能时，第一个传感器可能需要长达一小时才能在传感器页面上显示为正在运行。 随后的激活将在五分钟内显示。

域控制器上的 Defender for Identity 功能目前支持以下 Defender for Identity 功能：

• ITDR 仪表板、标识清单和标识高级搜寻数据的调查功能
• 指定的安全状况建议
• 指定的警报检测
• 修正操作
• 自动中断攻击

使用以下过程在域控制器上测试环境中的 Defender for Identity 功能。

查看 ITDR 仪表板

在 Defender 门户中，选择标识 > 仪表板，并查看显示的详细信息，检查环境中的预期结果。

有关详细信息，请参阅使用 Defender for Identity 的 ITDR 仪表板（预览版）。

确认实体页面详细信息

确认实体（如域控制器、用户和组）已按预期填充。

在 Defender 门户中，检查以下详细信息：

• 设备实体：选择 资产 > 设备，然后选择新传感器的计算机。 Defender for Identity 事件显示在设备时间线上。

• 用户实体。 选择资产 > 用户，检查是否有来自新加入域的用户。 或者，使用全局搜索选项搜索特定用户。 用户详细信息页面包括概述、组织中的发现结果和时间线数据。

• 组实体：使用全局搜索查找用户组，或从显示组详细信息的用户或设备详细信息页面透视。 检查组成员身份、查看组用户和组时间线数据的详细信息。

  如果在组时间线上找不到事件数据，则可能需要手动创建一些事件数据。 例如，通过在 Active Directory 中添加用户和从组中删除用户来执行此操作。

有关详细信息，请参阅调查资产。

测试高级搜寻表

在 Defender 门户的高级搜寻页中，使用以下示例查询来检查数据是否按你的环境预期显示在相关表中：

IdentityDirectoryEvents
| where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN

IdentityInfo 
| where AccountDomain contains "domain" // insert domain

IdentityQueryEvents 
| where DeviceName contains "DC_FQDN" // insert domain controller FQDN

有关详细信息，请参阅 Microsoft Defender 门户中的高级搜寻。

测试标识安全状况管理 (ISPM) 建议

域控制器上的 Defender for Identity 功能支持以下 ISPM 评估：

• 在所有域控制器上安装 Defender for Identity 传感器
• Microsoft LAPS 使用情况
• 解决不安全的域配置
• 设置蜜标帐户
• 不安全的帐户属性
• 不安全的 SID 历史记录属性

建议在测试环境中模拟风险行为，以触发受支持的评估，并验证它们是否按预期显示。 例如：

1. 通过将 Active Directory 配置设置为不合规状态，然后将其返回到合规状态，触发新的解决不安全的域配置建议。 例如，运行以下命令：

   设置不合规状态

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}
   

   若要将其返回到合规状态，请执行以下操作：

   Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}
   

   若要检查本地配置，请执行以下操作：

   Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuota
   

2. 在 Microsoft 安全功能分数中，选择建议的操作，以检查新的解决不安全的域配置建议。 你可能需要按 Defender for Identity 产品筛选建议。

有关更多信息，请参阅 Microsoft Defender for Identity 的安全状况评估。

测试警报功能

域控制器上的 Defender for Identity 功能支持以下警报：

• 帐户枚举侦测
• 使用 LDAP 的 Active Directory 属性侦查
• Exchange 服务器远程代码执行 (CVE-2021-26855)
• 修改了蜜标用户属性
• 已通过 LDAP 查询蜜标
• 蜜标身份验证活动
• 更改了蜜标组成员身份
• 远程代码执行尝试
• 安全主体侦查 (LDAP)
• 可疑的服务创建
• 可疑的 NTLM 中继攻击（Exchange 帐户）

• 计算机帐户对基于资源的约束委派属性的可疑修改
• 敏感组中的可疑内容添加
• dNSHostName 属性的可疑修改 (CVE-2022-26923)
• 对 sAMNameAccount 属性的可疑修改（CVE-2021-42278 和 CVE-2021-42287）
• 可疑 DCShadow 攻击（域控制器升级）
• 使用分布式文件系统协议的可疑 DFSCoerce 攻击 
• 可疑 DCShadow 攻击（域控制器复制请求）
• 使用影子凭据的可疑帐户接管
• 可疑的 SID 历史记录注入
• 可疑的 AD FS DKM 密钥读取

通过在测试环境中模拟风险活动来测试警报功能。 例如：

• 将帐户标记为蜜标帐户，然后尝试在激活的域控制器上登录蜜标帐户。
• 在域控制器上创建可疑服务。
• 以从工作站登录的管理员身份在域控制器上运行远程命令。

‭有关详细信息，请参阅：调查 Microsoft Defender XDR 中的 Defender for Identity 安全警报。

测试修正操作

对测试用户测试修正操作。 例如：

1. 在 Defender 门户中，转到测试用户的用户详细信息页。

2. 从选项菜单中，一次选择一项或全部以下内容：

   • 禁用 AD 中的用户
   • 启用 AD 中的用户
   • 强制执行密码重置

3. 检查 Active Directory 中是否有预期活动。

注意

当前版本不能正确收集用户帐户控制 (UAC) 标志。 因此，被禁用的用户在门户中仍将显示为“已启用”。

有关详细信息，请参阅 Microsoft Defender for Identity 中的修正操作。

在域控制器上停用 Defender for Identity 功能

如果要在域控制器上停用 Defender for Identity 功能，请从传感器页中将其删除：

1. 在 Defender 门户中，选择设置 > 标识 > 传感器。
2. 选择要停用 Defender for Identity 功能的域控制器，选择删除，然后确认选择。

从域控制器停用 Defender for Identity 功能不会从 Defender for Endpoint 中删除域控制器。 有关详细信息，请参阅 Defender for Endpoint 文档。

后续步骤

有关更多信息，请参阅管理和更新 Microsoft Defender for Identity 传感器。