Konfigurace senzorů pro AD FS a AD CS

Článek
01/03/2024

Nainstalujte senzory defenderu for Identity na servery Active Directory Federation Services (AD FS) (AD FS) a Active Directory Certificate Services (AD CS), abyste je ochránili před místními útoky.

Tento článek popisuje kroky potřebné při instalaci senzorů Defenderu for Identity na servery AD FS nebo AD CS.

Poznámka:

V prostředích SLUŽBY AD FS se senzor defenderu pro identitu podporuje jenom na federačních serverech a na serverech webových proxy aplikací (WAP) se nevyžaduje. V případě prostředí SLUŽBY AD CS nemusíte senzor instalovat na žádné servery AD CS, které jsou offline.

Požadavky

Požadavky pro instalaci senzorů Defenderu for Identity na servery AD FS nebo AD CS jsou stejné jako instalace senzorů na řadiče domény. Další informace najdete v tématu Požadavky microsoft Defenderu pro identitu.

Kromě toho senzor defenderu pro identitu pro AD CS podporuje pouze servery AD CS se službou role Certifikační autorita.

Konfigurace podrobného protokolování pro události služby AD FS

Senzory spuštěné na serverech SLUŽBY AD FS musí mít nastavenou úroveň auditování pro relevantní události. Například pomocí následujícího příkazu nakonfigurujte úroveň auditování na Podrobné:

Set-AdfsProperties -AuditLevel Verbose

Další informace naleznete v tématu:

Konfigurace oprávnění ke čtení pro databázi SLUŽBY AD FS

Pokud mají senzory spuštěné na serverech SLUŽBY AD FS přístup k databázi služby AD FS, musíte udělit oprávnění ke čtení (db_datareader) pro příslušný nakonfigurovaný účet adresářových služeb.

Pokud máte více než jeden server SLUŽBY AD FS, ujistěte se, že toto oprávnění udělte všem, protože se na servery nereplikují oprávnění k databázi.

Nakonfigurujte SQL Server tak, aby povolil účet adresářové služby s následujícími oprávněními k databázi AdfsConfiguration :

Připojit
Přihlásit se
read
Vyberte

Poznámka:

Pokud databáze SLUŽBY AD FS běží na vyhrazeném SQL serveru místo místního serveru AD FS a používáte účet služby spravované skupinou (gMSA) jako účet adresářové služby (DSA), ujistěte se, že serveru SQL udělíte požadovaná oprávnění k načtení hesla gMSA.

Udělení přístupu k databázi služby AD FS

Udělte přístup k databázi pomocí aplikace SQL Server Management Studio, TSQL nebo PowerShellu.

Příkazy uvedené níže můžou být užitečné například v případě, že používáte Interní databáze Windows (WID) nebo externí SQL server.

V těchto vzorových kódech:

[DOMAIN1\mdiSvc01] je uživatel adresářových služeb pracovního prostoru. Pokud pracujete s gMSA, připojte $ na konec uživatelského jména. Příklad: [DOMAIN1\mdiSvc01$]
AdfsConfigurationV4 je příkladem názvu databáze SLUŽBY AD FS a může se lišit.
server=.\pipe\MICROSOFT##WID\tsql\query – je připojovací řetězec k databázi, pokud používáte WID.

Tip

Pokud připojovací řetězec neznáte, postupujte podle pokynů v dokumentaci k Windows Serveru.

Udělení přístupu senzoru k databázi SLUŽBY AD FS pomocí TSQL:

USE [master]
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
USE [AdfsConfigurationV4]
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]
GRANT CONNECT TO [DOMAIN1\mdiSvc01]
GRANT SELECT TO [DOMAIN1\mdiSvc01]
GO

Udělení přístupu senzoru k databázi SLUŽBY AD FS pomocí PowerShellu:

$ConnectionString = 'server=\\.\pipe\MICROSOFT##WID\tsql\query;database=AdfsConfigurationV4;trusted_connection=true;'
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [AdfsConfigurationV4]; 
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]; 
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]; 
GRANT CONNECT TO [DOMAIN1\mdiSvc01]; 
GRANT SELECT TO [DOMAIN1\mdiSvc01];
"@
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

Konfigurace shromažďování událostí pro servery AD FS / AD CS

Pokud pracujete se servery SLUŽBY AD FS nebo AD CS, ujistěte se, že jste podle potřeby nakonfigurovali auditování. Další informace naleznete v tématu:

Ověření úspěšného nasazení na serverech AD FS / AD CS

Ověření úspěšného nasazení senzoru Defender for Identity na serveru AD FS:

Zkontrolujte, jestli je spuštěná služba senzoru služby Azure Advanced Threat Protection. Po uložení nastavení snímače identity v Defenderu for Identity může trvat několik sekund, než se služba spustí.
Pokud se služba nespustí, zkontrolujte Microsoft.Tri.sensor-Errors.log soubor ve výchozím nastavení: %programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs
Pomocí služby AD FS nebo AD CS ověřte uživatele v libovolné aplikaci a pak ověřte, že ověřování pozoroval Defender for Identity.

Vyberte například proaktivní proaktivní vyhledávání>. V podokně Dotaz zadejte a spusťte jeden z následujících dotazů:

Pro SLUŽBU AD FS:
```
IdentityLogonEvents | where Protocol contains 'Adfs'
```
Podokno výsledků by mělo obsahovat seznam událostí s přihlašovacím typempřihlášení s ověřováním ADFS.

Pro SLUŽBU AD CS:
```
IdentityDirectoryEvents | where Protocol == "Adcs"
```
Podokno výsledků by mělo obsahovat seznam událostí neúspěšných a úspěšných vystavování certifikátů. Výběrem konkrétního řádku zobrazíte další podrobnosti v levém podokně Zkontrolovat záznam . Příklad:

Kroky po instalaci pro servery AD FS / AD CS (volitelné)

Instalace senzoru na server AD FS nebo AD CS automaticky vybere nejbližší řadič domény. Pomocí následujícího postupu zkontrolujte nebo upravte vybraný řadič domény.

V XDR v programu Microsoft Defender přejděte na Nastavení> Identities>Sensors a zobrazte všechny senzory defenderu for Identity.
Vyhledejte a vyberte senzor, který jste nainstalovali na server AD FS nebo AD CS.
V podokně, které se otevře, zadejte do pole Řadič domény (FQDN) plně kvalifikovaný název domény řadiče domény překladače. Vyberte + Přidat , chcete-li přidat plně kvalifikovaný název domény, a pak vyberte Uložit. Příklad:

Inicializace senzoru může trvat několik minut, kdy by se stav služby senzoru SLUŽBY AD FS/ AD CS měl změnit na zastavený.