共用方式為

針對已知問題進行疑難解答 適用於身分識別的 Microsoft Defender

  • 發行項

本文說明如何針對 適用於身分識別的 Microsoft Defender 中的已知問題進行疑難解答。

感應器服務無法啟動

感測器記錄專案:

Warn DirectoryServicesClient CreateLdapConnectionAsync failed to retrieve group managed service account password. [DomainControllerDnsName=DC1.CONTOSO.LOCAL Domain=contoso.local UserName=mdiSvc01]

原因 1

域控制器尚未獲得存取 gMSA 帳戶密碼的許可權。

解決方法 1:

確認域控制器已獲得存取密碼的許可權。 您應該在 Active Directory 中有一個安全組,其中包含包含域控制器、Entra Connect、AD FS /AD CS 伺服器和獨立感測器電腦帳戶。 如果不存在,建議您建立一個。

您可以使用下列命令來檢查電腦帳戶或安全組是否已新增至 參數。 將 mdiSvc01 取代為您建立的名稱。

Get-ADServiceAccount mdiSvc01 -Properties PrincipalsAllowedToRetrieveManagedPassword

產生的結果應顯示如下:

Powershell 結果。

在此範例中,我們可以看到已新增名為 mdiSvc01Group 的群組。 如果域控制器或安全組尚未新增,您可以使用下列命令來新增它。 將 mdiSvc01 取代為 gMSA 的名稱,並將 DC1 取代為域控制器的名稱,或以安全組的名稱取代 mdiSvc01Group

# To set the specific domain controller only:
$specificDC = Get-ADComputer -Identity DC1
Set-ADServiceAccount mdiSvc01 -PrincipalsAllowedToRetrieveManagedPassword $specificDC


# To set a security group that contains the relevant computer accounts:
$group = Get-ADGroup -Identity mdiSvc01Group
Set-ADServiceAccount mdiSvc01 -PrincipalsAllowedToRetrieveManagedPassword $group

如果已新增域控制器或安全組,但您仍然看到錯誤,您可以嘗試下列步驟:

  • 重新啟動伺服器以同步處理最近的變更
  • 清除 Kerberos 票證,強制伺服器要求新的 Kerberos 票證。 從系統管理員命令提示字元中,執行下列命令 klist -li 0x3e7 purge

原因 2

由於與安全時間植入相關的已知案例,gMSA 屬性 PasswordLastSet 可以設定為未來的日期,導致感測器無法啟動。

下列命令可用來確認 gMSA 帳戶是否落在案例中,當 PasswordLastSet 和 LastLogonDate 值顯示未來的日期時:

Get-ADServiceAccount mdiSvc01 -Properties PasswordLastSet, LastLogonDate

解決方案 2:

作為過渡解決方案,可以建立新的 gMSA,其屬性會有正確的日期。 建議使用目錄服務開啟支援要求,以找出根本原因並探索全面解決的選項。

感測器失敗通訊錯誤

如果您收到下列感測器失敗錯誤:

System.Net.Http.HttpRequestException:
An error occurred while sending the request. ---> System.Net.WebException:
Unable to connect to the remote server --->
System.Net.Sockets.SocketException: A connection attempt failed because the
connected party did not properly respond after a period of time, or established
connection failed because connected host has failed to respond...

解決方法:

請確定localhost、TCP埠 444 未封鎖通訊。 若要深入瞭解 適用於身分識別的 Microsoft Defender 必要條件,請參閱

部署記錄位置

適用於身分識別的 Defender 部署記錄位於安裝產品的使用者的暫存目錄中。 在預設安裝位置中,其位於:C:\Users\Administrator\AppData\Local\Temp(或 %temp%以上的一個目錄)。 如需詳細資訊,請參閱 使用記錄針對適用於身分識別的 Defender 進行疑難解答。

Proxy 驗證問題會顯示為授權錯誤

如果在感測器安裝期間,您收到下列錯誤: 感測器因為授權問題而無法註冊。

部署記錄項目:

[1C60:1AA8][2018-03-24T23:59:13]i000: 2018-03-25 02:59:13.1237 Info InteractiveDeploymentManager ValidateCreateSensorAsync returned [validateCreateSensorResult=LicenseInvalid]] [1C60:1AA8][2018-03-24T23:59:56]i000: 2018-03-25 02:59:56.4856 Info InteractiveDeploymentManager ValidateCreateSensorAsync returned [validateCreateSensorResult=LicenseInvalid]] [1C60:1AA8][2018-03-25T00:27:56]i000: 2018-03-25 03:27:56.7399 Debug SensorBootstrapperApplication Engine.Quit [deploymentResultStatus=1602 isRestartRequired=False]] [1C60:15B8][2018-03-25T00:27:56]i500: Shutting down, exit code: 0x642

原因:

在某些情況下,透過 Proxy 進行通訊時,在驗證期間,可能會回應適用於身分識別的 Defender 感測器,並出現錯誤 401 或 403,而不是錯誤 407。 適用於身分識別的 Defender 感測器會將錯誤 401 或 403 解譯為授權問題,而不是 Proxy 驗證問題。

解決方法:

確定感測器可以透過設定的 Proxy 流覽至 *.atp.azure.com,而不需驗證。 如需詳細資訊,請參閱 設定 Proxy 以啟用通訊

Proxy 驗證問題顯示為連線錯誤

如果在感測器安裝期間,您會收到下列錯誤: 感測器無法連線到服務。

原因:

當適用於身分識別的 Defender 所需的受信任跟證書授權單位憑證遺失時,可能會造成此問題。

解決方法:

執行下列 PowerShell Cmdlet 以確認已安裝必要的憑證。

在下列範例中,為所有客戶使用 「DigiCert Baltimore Root」 憑證。 此外,請針對商業客戶使用 「DigiCert Global Root G2」 憑證,或使用美國政府 GCC High 客戶的 「DigiCert Global Root CA」 憑證,如所示。

# Certificate for all customers
Get-ChildItem -Path "Cert:\LocalMachine\Root" | where { $_.Thumbprint -eq "D4DE20D05E66FC53FE1A50882C78DB2852CAE474"} | fl

# Certificate for commercial customers
Get-ChildItem -Path "Cert:\LocalMachine\Root" | where { $_.Thumbprint -eq "df3c24f9bfd666761b268073fe06d1cc8d4f82a4"} | fl

# Certificate for US Government GCC High customers
Get-ChildItem -Path "Cert:\LocalMachine\Root" | where { $_.Thumbprint -eq "a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436"} | fl

所有客戶的憑證輸出:

Subject      : CN=Baltimore CyberTrust Root, OU=CyberTrust, O=Baltimore, C=IE
Issuer       : CN=Baltimore CyberTrust Root, OU=CyberTrust, O=Baltimore, C=IE
Thumbprint   : D4DE20D05E66FC53FE1A50882C78DB2852CAE474
FriendlyName : DigiCert Baltimore Root
NotBefore    : 5/12/2000 11:46:00 AM
NotAfter     : 5/12/2025 4:59:00 PM
Extensions   : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid}

商業客戶憑證憑證的輸出:

Subject      : CN=DigiCert Global Root G2, OU=www.digicert.com, O=DigiCert Inc, C=US
Issuer       : CN=DigiCert Global Root G2, OU=www.digicert.com, O=DigiCert Inc, C=US
Thumbprint   : DF3C24F9BFD666761B268073FE06D1CC8D4F82A4
FriendlyName : DigiCert Global Root G2
NotBefore    : 01/08/2013 15:00:00
NotAfter     : 15/01/2038 14:00:00
Extensions   : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid}

美國政府 GCC High 客戶的憑證輸出:

Subject      : CN=DigiCert Global Root CA, OU=www.digicert.com, O=DigiCert Inc, C=US
Issuer       : CN=DigiCert Global Root CA, OU=www.digicert.com, O=DigiCert Inc, C=US
Thumbprint   : A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436
FriendlyName : DigiCert
NotBefore    : 11/9/2006 4:00:00 PM
NotAfter     : 11/9/2031 4:00:00 PM
Extensions   : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid}

如果您沒有看到預期的輸出,請使用下列步驟:

  1. 將下列憑證下載至 Server Core 計算機。 針對所有客戶,下載 Baltimore CyberTrust 跟 證書。

    此外:

  2. 執行下列 PowerShell Cmdlet 來安裝憑證。

    # For all customers, install certificate
Import-Certificate -FilePath "<PATH_TO_CERTIFICATE_FILE>\bc2025.crt" -CertStoreLocation Cert:\LocalMachine\Root

# For commercial customers, install certificate
Import-Certificate -FilePath "<PATH_TO_CERTIFICATE_FILE>\DigiCertGlobalRootG2.crt" -CertStoreLocation Cert:\LocalMachine\Root

# For US Government GCC High customers, install certificate
Import-Certificate -FilePath "<PATH_TO_CERTIFICATE_FILE>\DigiCertGlobalRootCA.crt" -CertStoreLocation Cert:\LocalMachine\Root

嘗試使用PowerShell時發生無訊息安裝錯誤

如果在無訊息感測器安裝期間,您嘗試使用 PowerShell 並收到下列錯誤:

"Azure ATP sensor Setup.exe" "/quiet" NetFrameworkCommandLineArguments="/q" Acce ... Unexpected token '"/quiet"' in expression or statement."

原因:

使用 PowerShell 時,若未包含安裝所需的 ./ 前置詞,就會導致此錯誤。

解決方法:

使用完整的命令成功安裝。

./"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"

適用於身分識別的Defender感測器 NIC小組問題

當您在使用 NIC 小組適配卡和 Winpcap 驅動程式設定的電腦上安裝適用於身分識別的 Defender 感測器時,您會收到安裝錯誤。 如果您想要在設定 NIC 小組的電腦上安裝適用於身分識別的 Defender 感測器,請遵循 這裡的指示,確定您將 Winpcap 驅動程式取代為 Npcap。

多重處理器群組模式

針對 Windows 作業系統 2008R2 和 2012,多重處理器群組模式不支援適用於身分識別的 Defender 感測器。

建議的可能因應措施:

  • 如果超線程開啟,請將其關閉。 這可能會減少足夠的邏輯核心數目,以避免需要在多處理器群組模式中執行。

  • 如果您的機器少於 64 個邏輯核心且在 HP 主機上執行,您可以將 NUMA 群組大小優化 BIOS 設定從 [叢集] 的預設值變更[一般]。

VMware 虛擬機感測器問題

如果您的 VMware 虛擬機上有適用於身分識別的 Defender 感測器,您可能會收到健康情況警示 :某些網路流量並未分析。 這可能會因為 VMware 中的設定不符而發生。

若要解決問題:

在客體OS上,將下列設定為 虛擬機 NIC 組態中的 [已停用 ]: IPv4 TSO 卸除

VMware 感測器問題。

使用下列命令來檢查是否已啟用或停用大型傳送卸載 (LSO) :

Get-NetAdapterAdvancedProperty | Where-Object DisplayName -Match "^Large*"

檢查 LSO 狀態。

如果已啟用 LSO,請使用下列命令來停用它:

Disable-NetAdapterLso -Name {name of adapter}

停用 LSO 狀態。

注意

  • 根據您的設定,這些動作可能會導致網路連線短暫遺失。
  • 您可能需要重新啟動計算機,這些變更才會生效。
  • 這些步驟可能會根據您的 VMWare 版本而有所不同。 如需如何針對 VMWare 版本停用 LSO/TSO 的相關信息,請參閱 VMWare 檔。

感測器無法擷取群組受控服務帳戶 (gMSA) 認證

如果您收到下列健康情況警示: 目錄服務用戶認證不正確

感測器記錄專案:

2020-02-17 14:01:36.5315 Info ImpersonationManager CreateImpersonatorAsync started [UserName=account_name Domain=domain1.test.local IsGroupManagedServiceAccount=True] 2020-02-17 14:01:36.5750 Info ImpersonationManager CreateImpersonatorAsync finished [UserName=account_name Domain=domain1.test.local IsSuccess=False]

感測器更新程序記錄專案:

2020-02-17 14:02:19.6258 Warn GroupManagedServiceAccountImpersonationHelper GetGroupManagedServiceAccountAccessTokenAsync failed GMSA password could not be retrieved [errorCode=AccessDenied AccountName=account_name DomainDnsName=domain1.test.local]

感測器無法擷取 gMSA 帳戶的密碼。

原因 1

域控制器尚未獲得擷取 gMSA 帳戶密碼的許可權。

解決方法 1:

驗證執行感測器的計算機已獲得擷取 gMSA 帳戶密碼的許可權。 如需詳細資訊,請參閱 授與許可權以擷取 gMSA 帳戶的密碼

原因 2

感測器服務會以 LocalService 的形式執行,並執行目錄服務帳戶的模擬。

如果已為此域控制器設定用戶權力指派原則 登入即服務 ,除非 gMSA 帳戶被 授與以服務 許可權登入,否則模擬會失敗。

解決方案 2

設定 gMSA 帳戶的登入即服務時,當使用者許可權指派原則在受影響的域控制器上設定 [以服務身分登入] 時。 如需詳細資訊,請參閱 確認 gMSA 帳戶具有必要的許可權

原因 3

如果在域控制器新增至具有適當許可權的安全組之前發出域控制器 Kerberos 票證,此群組將不會是 Kerberos 票證的一部分。 因此,它無法擷取 gMSA 帳戶的密碼。

解決方案 3

執行下列其中一項來解決此問題:

  • 重新啟動域控制器。

  • 清除 Kerberos 票證,強制域控制器要求新的 Kerberos 票證。 從網域控制器上的系統管理員命令提示字元中,執行下列命令:

    klist -li 0x3e7 purge

  • 將擷取 gMSA 密碼的許可權指派給域控制器已所屬的群組,例如域控制器群組。

拒絕存取登錄機碼 'Global'

感測器服務無法啟動,且感測器記錄檔包含類似下列專案:

2021-01-19 03:45:00.0000 Error RegistryKey System.UnauthorizedAccessException: Access to the registry key 'Global' is denied.

原因:

針對此域控制器或AD FS / AD CS 伺服器所設定的 gMSA 沒有性能計數器登錄機碼的許可權。

解決方法:

將 gMSA 新增至伺服器上的 效能監視器 Users 群組。

報表下載不能包含超過 300,000 個專案

適用於身分識別的 Defender 不支援每個報表包含超過 300,000 個專案的報告下載。 如果包含超過 300,000 個專案,報表會轉譯為不完整。

原因:

這是工程限制。

解決方法:

沒有已知的解決方式。

感測器無法列舉事件記錄檔

如果您在適用於身分識別的Defender控制台內觀察到有限數目或缺少安全性事件警示或邏輯活動,但不會觸發任何健康情況問題。

感測器記錄專案:

Error EventLogException System.Diagnostics.Eventing.Reader.EventLogException: The handle is invalid at void System.Diagnostics.Eventing.Reader.EventLogException.Throw(int errorCode) at object System.Diagnostics.Eventing.Reader.NativeWrapper.EvtGetEventInfo(EventLogHandle handle, EvtEventPropertyId enumType) at string System.Diagnostics.Eventing.Reader.EventLogRecord.get_ContainerLog()

原因:

「自由裁量 存取控制 清單」會限制本機服務帳戶對必要事件記錄檔的存取。

解決方法:

請確定 [任意 存取控制 列表 (DACL) 包含下列專案 (這是 AATPSensor 服務的 SID)。

(A;;0x1;;;S-1-5-80-818380073-2995186456-1411405591-3990468014-3617507088)

檢查安全性事件記錄檔的 DACL 是否已由 GPO 設定:

Policies > Administrative Templates > Windows Components > Event Log Service > Security > Configure log access

將上述專案附加至現有的原則。 之後執行 C:\Windows\System32\wevtutil.exe gl security 以確認已新增專案。

適用於身分識別的本機 Defender 記錄現在應該會顯示:

Info WindowsEventLogReader EnableEventLogWatchers EventLogWatcher enabled [name=Security]

ApplyInternal 對服務錯誤的雙向 SSL 連線失敗

如果在感測器安裝期間收到下列錯誤: ApplyInternal 對服務的 雙向 SSL 連線失敗,且感測器記錄檔包含類似的專案:

2021-01-19 03:45:00.0000 Error CommunicationWebClient+\<SendWithRetryAsync\>d__9`1 ApplyInternal 對服務的雙向 SSL 連線失敗。 此問題可能是由已啟用 SSL 檢查的 Proxy 所造成。 [_workspaceApplicationSensorApiEndpoint=Unspecified/contoso.atp.azure.com:443 Thumbprint=7C039DA47E81E51F3DA3DF3DA7B5E1899B5B4AD0]'

原因:

當 SystemDefaultTlsVersionsSchUseStrongCrypto 登錄值未設定為預設值 1 時,可能會造成此問題。

解決方法:

確認 SystemDefaultTlsVersionsSchUseStrongCrypto 登錄值設定為 1:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319] 
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
 
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

在已安裝 KB5009557 的 Windows Server 2019 或具有強化 EventLog 許可權的伺服器上安裝感測器時發生問題

安裝感測器可能會失敗,並出現錯誤訊息:

System.UnauthorizedAccessException: Attempted to perform an unauthorized operation.

解決方法:

此問題有兩種可能的因應措施:

  1. 使用 PSExec 安裝感測器:

    psexec -s -i "C:\MDI\Azure ATP Sensor Setup.exe"

  2. 安裝已設定為以 LocalSystem 執行之排程工作的感測器。 適用於身分識別的 Defender 感測器無訊息安裝中會提及要使用的命令行語法。

感測器安裝因憑證管理客戶端而失敗

如果感測器安裝失敗,且 Microsoft.Tri.Sensor.Deployment.Deployer.log 檔案包含類似下列專案:

2022-07-15 03:45:00.0000 Error IX509CertificateRequestCertificate2 Deployer failed [arguments=128Ve980dtms0035h6u3Bg==] System.Runtime.InteropServices.COMException (0x80090008): CertEnroll::CX509CertificateRequestCertificate::Encode: Invalid algorithm specified. 0x80090008 (-2146893816 NTE_BAD_ALGID)

原因:

當 Entrust Entelligence Security Provider (EESP) 之類的憑證管理客戶端無法在電腦上建立自我簽署憑證時,可能會造成此問題。

解決方法:

卸載憑證管理客戶端、安裝適用於身分識別的 Defender 感測器,然後重新安裝憑證管理用戶端。

注意

自我簽署憑證每隔 2 年更新一次,如果憑證管理客戶端無法建立自我簽署憑證,則自動更新程式可能會失敗。 這會導致感測器停止與後端通訊,這需要使用上述因應措施重新安裝感測器。

感測器安裝因網路連線問題而失敗

如果感測器安裝失敗,且錯誤碼為 0x80070643,而且安裝記錄檔包含類似下列專案:

[22B8:27F0][2016-06-09T17:21:03]e000: Error 0x80070643: Failed to install MSI package.

原因:

當安裝程式無法存取適用於身分識別的 Defender 雲端服務進行感測器註冊時,可能會造成此問題。

解決方法:

確定感測器可以直接或透過設定的 Proxy 流覽至 *.atp.azure.com。 如有需要,請使用命令行設定安裝的 Proxy 伺服器設定:

"Azure ATP sensor Setup.exe" [ProxyUrl="http://proxy.internal.com"] [ProxyUserName="domain\proxyuser"] [ProxyUserPassword="ProxyPassword"]

如需詳細資訊,請參閱使用 Proxy 設定執行無訊息安裝和安裝 適用於身分識別的 Microsoft Defender 感測器

重要

Microsoft 建議您使用最安全的可用驗證流程。 這個程序描述的驗證流程需要在應用程式中具備極高的信任度,且伴隨著其他流程並未面臨的風險。 請僅在其他較安全的流程 (例如受控身分識別) 皆不具可行性的情況下,才使用這個流程。

感測器服務無法執行,且維持在啟動狀態

下列錯誤會出現在事件檢視器中的系統記錄檔中:

  • 服務的 Open 程式 ”DLL “C:\Windows\system32\mscoree.dll” 中的 NETFramework 失敗,錯誤碼 Access 遭到拒絕。 此服務的效能數據將無法使用。
  • DLL “C:\Windows\System32\Secur32.dll” 中的服務 “Lsa” 開啟程式失敗,錯誤碼 Access 遭到拒絕。 此服務的效能數據將無法使用。
  • DLL “C:\Windows\system32\wbem\wmiaprpl.dll” 中服務 “WmiApRpl” 的 Open 程式失敗,錯誤碼為「裝置尚未就緒」。 此服務的效能數據將無法使用。

Microsoft.TriSensorError.log 將包含類似以下的錯誤:

Microsoft.Tri.Sensor.DirectoryServicesClient.TryCreateLdapConnectionAsync(DomainControllerConnectionData domainControllerConnectionData, bool isGlobalCatalog, bool isTraversing) 2021-07-13 14:56:20.2976 Error DirectoryServicesClient Microsoft.Tri.Infrastructure.ExtendedException: Failed to communicate with configured domain controllers at new Microsoft.Tri.Sensor.DirectoryServicesClient(IConfigurationManager

原因:

NT 服務\所有服務都無權以服務身分登入。

解決方法:

使用登入即服務新增域控制器原則。 如需詳細資訊,請參閱 確認 gMSA 帳戶具有必要的許可權

您的工作區未建立,因為具有相同名稱的安全組已存在於Microsoft Entra標識符中

原因:

當適用於身分識別的 Defender 工作區授權到期且在保留期間結束時刪除,但未刪除Microsoft Entra 群組時,可能會發生此問題。

解決方法:

  1. 移至 Azure 入口網站 ->Microsoft Entra ID ->Groups
  2. 將下列三個群組重新命名(其中 workspaceName 是您工作區的名稱),方法是將其新增為 “- old” 後綴:
    • “Azure ATP workspaceName Administrators” -> “Azure ATP workspaceName Administrators - old”
    • “Azure ATP workspaceName Viewer” -> “Azure ATP workspaceName Viewer - old”
    • “Azure ATP workspaceName Users” -> “Azure ATP workspaceName Users - old”
  3. 然後,您可以在 Microsoft Defender 入口網站返回 [設定 -> 身分識別] 區段,以建立適用於身分識別的 Defender 的新工作區。

下一步