設定AD FS和AD CS的感測器
在 Active Directory 同盟服務 (AD FS) 和 Active Directory 憑證服務 (AD CS) 伺服器上安裝適用於身分識別的 Defender 感測器,以保護它們免受內部部署攻擊。
本文說明在 AD FS 或 AD CS 伺服器上安裝適用於身分識別的 Defender 感測器時所需的步驟。
注意
針對AD FS環境,只有同盟伺服器上才支援適用於身分識別的Defender感測器,而且Web應用程式 Proxy (WAP) 伺服器上不需要。 針對 AD CS 環境,您不需要在離線的任何 AD CS 伺服器上安裝感測器。
必要條件
在AD FS或AD CS伺服器上安裝適用於身分識別的Defender感測器的必要條件,與在域控制器上安裝感測器的必要條件相同。 如需詳細資訊,請參閱 適用於身分識別的 Microsoft Defender 必要條件。
此外,適用於 AD CS 的 Defender 身分識別感測器僅支援具有證書頒發機構單位角色服務的 AD CS 伺服器。
設定AD FS事件的詳細信息記錄
在AD FS 伺服器上執行的感測器必須針對相關事件將稽核層級設定為 Verbose 。 例如,使用下列命令將稽核層級設定為 Verbose:
Set-AdfsProperties -AuditLevel Verbose
如需詳細資訊,請參閱
- 必要 Active Directory 同盟服務 (AD FS) 事件
- 設定 Active Directory 同盟服務 稽核 (AD FS)
- 使用事件和記錄對 Active Directory 同盟服務 進行疑難解答
設定 AD FS 資料庫的讀取許可權
若要讓在 AD FS 伺服器上執行的感測器能夠存取 AD FS 資料庫,您必須授與已設定相關目錄服務帳戶的讀取(db_datareader) 許可權。
如果您有一部以上的AD FS 伺服器,請務必授與此許可權,因為資料庫許可權不會跨伺服器複寫。
設定 SQL Server 以允許具有 AdfsConfiguration 資料庫許可權的目錄服務帳戶:
- connect
- 登錄
- read
- select
注意
如果 AD FS 資料庫在專用 SQL 伺服器上執行,而不是本機 AD FS 伺服器,而且您使用群組管理的服務帳戶 (gMSA) 作為 目錄服務帳戶 (DSA),請確定您授與 SQL Server 擷取 gMSA 密碼所需的許可權 。
授與 AD FS 資料庫的存取權
使用 SQL Server Management Studio、TSQL 或 PowerShell 授與資料庫的存取權。
例如,如果您使用 Windows 內部資料庫 或外部 SQL 伺服器,下列命令可能會很有説明。
在這些範例程式代碼中:
- [DOMAIN1\mdiSvc01] 是工作區的目錄服務使用者。 如果您正在使用 gMSA,請將 附加 $ 至使用者名稱的結尾。 例如: [DOMAIN1\mdiSvc01$]
- AdfsConfigurationV4 是 AD FS 資料庫名稱的範例,而且可能會有所不同
- server=.\pipe\MICROSOFT##WID\tsql\query - 如果您使用 WID,則為資料庫的 連接字串
提示
如果您不知道您的 連接字串,請遵循 Windows Server 檔中的步驟。
若要使用 TSQL 授與 AD FS 資料庫的感測器存取權:
USE [master]
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
USE [AdfsConfigurationV4]
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]
GRANT CONNECT TO [DOMAIN1\mdiSvc01]
GRANT SELECT TO [DOMAIN1\mdiSvc01]
GO
若要使用 PowerShell 授與感測器對 AD FS 資料庫的存取權:
$ConnectionString = 'server=\\.\pipe\MICROSOFT##WID\tsql\query;database=AdfsConfigurationV4;trusted_connection=true;'
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master];
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [AdfsConfigurationV4];
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01];
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01];
GRANT CONNECT TO [DOMAIN1\mdiSvc01];
GRANT SELECT TO [DOMAIN1\mdiSvc01];
"@
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()
設定 AD FS / AD CS 伺服器的事件收集
如果您使用AD FS / AD CS 伺服器,請確定您已視需要設定稽核。 如需詳細資訊,請參閱
AD FS:
AD CS:
驗證 AD FS / AD CS 伺服器上的成功部署
若要驗證適用於身分識別的 Defender 感測器是否已成功部署在 AD FS 伺服器上:
檢查 Azure 進階威脅防護感測器服務是否正在執行。 儲存適用於身分識別的 Defender 感測器設定之後,服務可能需要幾秒鐘的時間才能啟動。
如果服務未啟動,請檢閱
Microsoft.Tri.sensor-Errors.log
檔案,預設位於:%programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs
使用AD FS或AD CS向任何應用程式驗證使用者,然後確認適用於身分識別的Defender觀察到驗證。
例如,選取 [搜捕進階搜捕>]。 在 [ 查詢 ] 窗格中,輸入並執行下列其中一個查詢:
針對 AD FS:
IdentityLogonEvents | where Protocol contains 'Adfs'
結果窗格應包含具有使用ADFS驗證之LogonType的事件清單
針對 AD CS:
IdentityDirectoryEvents | where Protocol == "Adcs"
結果窗格應包含失敗和成功憑證發行的事件清單。 選取特定數據列,以查看 [檢查記錄] 左窗格中的其他詳細數據。 例如:
AD FS / AD CS 伺服器的安裝後步驟 (選擇性)
在AD FS/ AD CS 伺服器上安裝感測器會自動選取最接近的域控制器。 使用下列步驟來檢查或修改選取的域控制器。
在 Microsoft Defender 全面偵測回應 中,移至 [設定> 標識符>感測器],以檢視所有適用於身分識別的Defender感測器。
找出並選取您在AD FS / AD CS 伺服器上安裝的感測器。
在開啟的窗格中,於 [域控制器 (FQDN)] 字段中,輸入解析程式域控制器的 FQDN。 選取 [+ 新增 ] 以新增 FQDN,然後選取 [ 儲存]。 例如:
初始化感測器可能需要幾分鐘的時間,此時 AD FS / AD CS 感測器服務狀態應該從 停止 變更為 執行中。
相關內容
如需詳細資訊,請參閱