適用於身分識別的 Defender 會使用感測器從內部部署身分識別基礎結構收集訊號,以偵測威脅。 本文說明 適用於身分識別的 Microsoft Defender 部署程式。
適用於身分識別的 Defender 會偵測許可權提升或高風險橫向移動等威脅,並報告容易惡意探索的身分識別問題,例如安全性小組修正不受限制的 Kerberos 委派。
建議您在所有域控制器上安裝適用於身分識別的 Defender 感測器,包括唯讀域控制器 (RODC) 。 如果您的環境中有 AD FS、AD CS 或 Microsoft Entra Connect 伺服器陣列或叢集,請在每部伺服器上安裝感測器。
選取您的部署方法
完成準備環境的步驟,並指派適用於身分識別的 Defender 的角色和許可權之後,請建立上線方案。
識別您的架構和需求,然後使用下表來選取您環境中伺服器的適當部署。
| 伺服器設定 | 伺服器作系統 | 建議的部署 |
|---|---|---|
| 網域控制站 | Windows Server 2019 年 3 月或更新版本的 2024 年 3 月累積更新或更新版本。 * 請參閱附注。 |
適用於身分識別的 Defender 感測器 v3.x (預覽) * 請參閱附注。 |
| 網域控制站 | Windows Server 2016 或更早版本 | 適用於身分識別的 Defender 感測器 v2.x |
| Active Directory Federation Service (AD FS) | NA | 適用於身分識別的 Defender 感測器 v2.x |
| Active Directory 憑證服務 (AD CS) | NA | 適用於身分識別的 Defender 感測器 v2.x |
| Entra Connect | NA | 適用於身分識別的 Defender 感測器 v2.x |
注意事項
適用於身分識別的 Defender 感測器 3.x 版仍處於預覽狀態,相較於 2.x 版,其功能有限。 啟用感測器之前,請記住這些限制。 適用於身分識別的Defender感測器 v3.x:
- 需要在您的端點上部署適用於端點的Defender
- 目前不支援 VPN 整合
- 目前不支援 ExpressRoute
- 目前不提供健全狀況警示、狀態建議、安全性警示或進階搜捕數據的完整功能。
評估基礎結構和需求之後,請遵循根據所需版本部署感測器的指示。