Voraussetzungen für Microsoft Defender for Identity

In diesem Artikel werden die Voraussetzungen für eine erfolgreiche Bereitstellung von Microsoft Defender for Identity in Ihrer Umgebung beschrieben.

Hinweis

Informationen zum Planen von Ressourcen und Kapazitäten finden Sie unter Microsoft Defender for Identity-Kapazitätsplanung.

Microsoft Defender for Identity besteht aus dem Microsoft Defender for Identity-Clouddienst, der aus dem Microsoft Defender for Identity-Portal und dem Microsoft Defender for Identity-Sensor besteht. Weitere Informationen zu den einzelnen Microsoft Defender for Identity-Komponenten finden Sie unter Microsoft Defender for Identity-Architektur.

Microsoft Defender for Identity schützt Ihre lokalen Active Directory-Benutzer und/oder Benutzer, die mit Ihrer Azure Active Directory-Instanz synchronisiert sind. Hinweise zum Schutz einer Umgebung, die nur aus AAD-Benutzern besteht, finden Sie unter AAD Identity Protection.

Zum Erstellen Ihrer Microsoft Defender for Identity-Instanz benötigen Sie einen AAD-Mandanten mit mindestens einem globalen Administrator bzw. einem Sicherheitsadministrator. Jede Microsoft Defender for Identity-Instanz unterstützt mehrere Active Directory-Gesamtstrukturbegrenzungen und die Gesamtstrukturfunktionsebene (Forest Functional Level, FFL) von Windows 2003 und höher.

Dieser Leitfaden zu Voraussetzungen wird in die folgenden Abschnitte unterteilt, um sicherzustellen, dass Sie über alle erforderlichen Informationen verfügen, die Sie für eine erfolgreiche Bereitstellung von Microsoft Defender for Identity benötigen.

Bevor Sie beginnen: In diesem Abschnitt werden die zu sammelnden Informationen aufgeführt sowie Konten und Netzwerkentitäten, die vor Beginn der Installation vorhanden sein sollten.

Microsoft Defender for Identity-Portal: In diesem Abschnitt werden die Browseranforderungen für das Microsoft Defender for Identity-Portal erläutert.

Microsoft Defender for Identity-Sensor: In diesem Abschnitt werden die Hardware- und Softwareanforderungen für den Microsoft Defender for Identity-Sensor beschrieben.

Eigenständiger Microsoft Defender for Identity-Sensor: Der eigenständige Microsoft Defender for Identity-Sensor wird auf einem dedizierten Server installiert und erfordert die Konfiguration einer Portspiegelung auf dem Domänencontroller, um Netzwerkdatenverkehr zu empfangen.

Hinweis

Eigenständige Microsoft Defender for Identity-Sensoren unterstützen keine Erfassung von Protokolleinträgen für die Ereignisablaufverfolgung für Windows (Event Tracing for Windows, ETW), die Daten für mehrere Erkennungen bereitstellen. Zur vollständigen Erfassung Ihrer Umgebung empfiehlt sich die Bereitstellung des Microsoft Defender for Identity-Sensors.

Vor der Installation

In diesem Abschnitt werden die Informationen, die Sie erfassen sollten, sowie Konten und Netzwerkinformationen aufgeführt, die vor der Installation von Microsoft Defender for Identity vorhanden sein sollten.

  • Erwerben Sie eine Lizenz für Enterprise Mobility + Security E5 (EMS E5/A5), Microsoft 365 E5 (M365 E5/A5/G5) oder Microsoft 365 E5/A5/G5 Security direkt über das Microsoft 365-Portal, oder nutzen Sie das CSP-Lizenzierungsmodell (Cloud Solution Partner). Eigenständige Microsoft Defender for Identity-Lizenzen sind ebenfalls verfügbar.

  • Stellen Sie sicher, dass die Domänencontroller, auf denen Sie Microsoft Defender for Identity-Sensoren installieren möchten, über das Internet mit dem Microsoft Defender for Identity-Clouddienst verbunden sind. Der Microsoft Defender for Identity-Sensor unterstützt die Verwendung eines Proxys. Weitere Informationen zur Proxykonfiguration finden Sie unter Konfigurieren eines Proxys für Microsoft Defender for Identity.

  • Mindestens eines der folgenden Verzeichnisdienstkonten mit Lesezugriff auf alle Objekte in den überwachten Domänen:

    • Ein standardmäßiges AD-Benutzerkonto und -Kennwort; erforderlich für Sensoren, die unter Windows Server 2008 R2 SP1 ausgeführt werden.

    • Ein von der Gruppe verwaltetes Dienstkonto; erfordert Windows Server 2012 oder höher.
      Alle Sensoren benötigen Zugriffsberechtigungen zum Abrufen des Kennworts des gruppenverwalteten Dienstkontos.
      Weitere Informationen zu gruppenverwalteten Dienstkonten finden Sie unter Erste Schritte mit gruppenverwalteten Dienstkonten.

      In der folgenden Tabelle ist aufgeführt, welche AD-Benutzerkonten mit welchen Serverversionen verwendet werden können:

      Kontotyp Windows Server 2008 R2 SP1 Windows Server 2012 oder höher
      Standardbenutzerkonto von AD Ja Ja
      gruppenverwaltetes Dienstkonto Nein Ja

      Hinweis

      • Für Sensorcomputer unter Windows Server 2012 und höher wird empfohlen, ein gruppenverwaltetes Dienstkonto für verbesserte Sicherheit und automatische Kennwortverwaltung zu verwenden.
      • Wenn Sie über mehrere Sensoren verfügen, teilweise unter Windows Server 2008 R2 oder unter Windows Server 2012 und höher, müssen Sie zusätzlich zum empfohlenen gruppenverwalteten Dienstkonto auch mindestens ein AD-Standardbenutzerkonto verwenden.
      • Wenn Sie benutzerdefinierte ACLs für verschiedene Organisationseinheiten (OU) in Ihrer Domäne festgelegt haben, stellen Sie sicher, dass der ausgewählte Benutzer Leseberechtigungen für diese Organisationseinheiten hat.
  • Wenn Sie Wireshark für einen eigenständigen Microsoft Defender for Identity-Sensor ausführen, müssen Sie den Microsoft Defender for Identity-Sensordienst neu starten, nachdem Sie die Wireshark-Erfassung beendet haben. Wenn Sie den Sensordienst nicht neu starten, beendet der Sensor die Erfassung des Datenverkehrs.

  • Wenn Sie versuchen, den Microsoft Defender for Identity-Sensor auf einem Computer zu installieren, der mit einem NIC-Teaming-Adapter konfiguriert ist, wird ein Installationsfehler gemeldet. Wenn Sie den Microsoft Defender for Identity-Sensor auf einem Computer installieren möchten, der mit einem NIC-Teamvorgang konfiguriert ist, finden Sie weitere Informationen unter Problem mit NIC-Teamvorgängen beim Microsoft Defender for Identity-Sensor.

  • Container mit gelöschten Objekten – Empfehlung: Der Benutzer sollte über den schreibgeschützten Zugriff auf den Container mit gelöschten Objekten verfügen. Mithilfe von Leseberechtigungen für diesen Container kann Microsoft Defender for Identity Löschungen von Benutzern über Ihre Active Directory-Instanz erkennen. Informationen zum Konfigurieren des schreibgeschützten Zugriffs auf den Container mit gelöschten Objekten finden Sie im Abschnitt Ändern von Berechtigungen für einen Container mit gelöschten Objekten im Artikel Anzeigen und Festlegen von Berechtigungen für ein Verzeichnisobjekt.

  • Optionales Honeytoken: Ein Benutzerkonto eines Benutzers ohne Netzwerkaktivitäten. Dieses Konto wird als Microsoft Defender for Identity-Honeytoken-Benutzer konfiguriert. Weitere Informationen zu Verwendung von Honeytokens finden Sie unter Konfigurieren von Ausschlüssen und Honeytoken-Benutzern.

  • Optional: Wenn Sie den eigenständigen Sensor bereitstellen, ist die Weiterleitung der Windows-Ereignisse an Microsoft Defender for Identity erforderlich, um authentifizierungsbasierte Erkennungen, Ergänzungen vertraulicher Gruppen und Erkennungen der Erstellung verdächtiger Dienste in Microsoft Defender for Identity zu verbessern. Der Microsoft Defender for Identity-Sensor empfängt diese Ereignisse automatisch. Im eigenständigen Microsoft Defender for Identity-Sensor können diese Ereignisse von Ihrer SIEM-Lösung (Security Information & Event Management) empfangen oder durch Festlegen der Windows-Ereignisweiterleitung von Ihrem Domänencontroller aus abgerufen werden. Die erfassten Ereignisse bieten Microsoft Defender for Identity zusätzliche Informationen, die über den Netzwerkdatenverkehr des Domänencontrollers nicht verfügbar sind.

Anforderungen für das Defender for Identity-Portal

Der Zugriff auf das Microsoft Defender for Identity-Portal erfolgt über einen Browser. Folgende Browser und Einstellungen werden unterstützt:

  • Ein Browser, der TLS 1.2 unterstützt, z. B.:

    • Microsoft Edge
    • Internet Explorer Version 11 oder höher
    • Google Chrome 30.0 und höher
  • Mindestauflösung der Bildschirmbreite: 1.700 Pixel

  • Firewall/Proxy geöffnet: Für die Kommunikation mit dem Microsoft Defender for Identity-Clouddienst muss Port 443 für „*.atp.azure.com“ in Ihrer Firewall und auf Ihrem Proxyserver geöffnet sein.

    Hinweis

    Sie können auch das Azure-Diensttag (AzureAdvancedThreatProtection) verwenden, um den Zugriff auf Microsoft Defender for Identity zu ermöglichen. Weitere Informationen zu Diensttags finden Sie unter Diensttags des virtuellen Netzwerks oder in der Datei Herunterladen der Diensttags.

Diagramm der Microsoft Defender for Identity-Architektur

Hinweis

Microsoft Defender for Identity unterstützt standardmäßig bis zu 350 Sensoren. Kontaktieren Sie den Microsoft Defender for Identity-Support, wenn Sie mehr Sensoren installieren möchten.

Anforderungen für die Netzwerknamensauflösung (NNR) für Defender for Identity

Die Netzwerknamensauflösung (Network Name Resolution, NNR) ist ein Hauptbestandteil der Microsoft Defender for Identity-Funktionalität. Zum Auflösen von IP-Adressen in Computernamen suchen Microsoft Defender for Identity-Sensoren die IP-Adressen mithilfe der folgenden Methoden:

  • NTLM über RPC (TCP-Port 135)
  • NetBIOS (UDP-Port 137)
  • RDP (TCP-Port 3389): nur das erste Paket von ClientHello
  • Abfragen des DNS-Servers mittels Reverse-DNS-Lookup der IP-Adresse (UDP 53)

Damit die ersten drei Methoden funktionieren, müssen die entsprechenden Ports für eingehenden Datenverkehr von den Microsoft Defender for Identity-Sensoren zu Geräten im Netzwerk geöffnet sein. Weitere Informationen über Microsoft Defender for Identity und die Netzwerknamensauflösung finden Sie unter Richtlinie für die Microsoft Defender for Identity-Netzwerknamensauflösung.

Um die besten Ergebnisse zu erzielen, sollten alle Methoden verwendet werden. Wenn dies nicht möglich ist, sollten Sie die DNS-Suchmethode und mindestens eine der anderen Methoden verwenden.

Anforderungen für den Defender for Identity-Sensor

In diesem Abschnitt werden die Voraussetzungen für Microsoft Defender for Identity-Sensoren aufgeführt.

Allgemein

Der Microsoft Defender for Identity-Sensor unterstützt die Installation auf Domänencontrollern oder AD FS-Servern (Active Directory Federation Services, Active Directory-Verbunddienste), wie in der folgenden Tabelle dargestellt.

Betriebssystemversion Server mit Desktopumgebung Server Core Nano Server Unterstützte Installationen
Windows Server 2008 R2 SP1 Nicht zutreffend Domänencontroller
Windows Server 2012 Nicht zutreffend Domänencontroller
Windows Server 2012 R2 Nicht zutreffend Domänencontroller
Windows Server 2016 Domänencontroller und AD FS
Windows Server 2019* Domänencontroller und AD FS

* Erfordert KB4487044 oder ein neueres kumulatives Update. Sensoren, die ohne dieses Update unter Server 2019 installiert sind, werden automatisch beendet, wenn die Dateiversion der Datei ntdsai.dll im Systemverzeichnis älter ist als 10.0.17763.316.

Beim Domänencontroller kann es sich um einen schreibgeschützten Domänencontroller (Read Only Domain Controller, RODC) handeln.

Damit Sensoren, die auf Domänencontrollern und auf AD FS ausgeführt werden, mit dem Clouddienst kommunizieren können, müssen Sie Port 443 Ihrer Firewalls und Proxys für *.atp.azure.com öffnen. Wenn Sie eine Installation in einer AD FS-Farm durchführen, sollten Sie den Sensor auf jedem AD FS-Server installieren, aber zumindest auf dem primären Knoten.

Falls .NET Framework 4.7 oder höher nicht installiert ist, wird .NET Framework 4.7 während der Installation installiert, und Sie müssen möglicherweise den Server neu starten. Ein Neustart ist möglicherweise auch erforderlich, wenn bereits ein Neustart aussteht.

Hinweis

Mindestens 5 GB Speicherplatz auf dem Datenträger wird benötigt, 10 GB wird empfohlen. Dies umfasst den Speicherplatz, der für die Microsoft Defender for Identity-Binärdateien, Microsoft Defender for Identity-Protokolle und Leistungsprotokolle benötigt wird.

Serverspezifikationen

Der Microsoft Defender for Identity-Sensor erfordert mindestens 2 Kerne und 6 GB RAM auf dem Domänencontroller. Legen Sie die Energieoption des Computers, auf dem die Microsoft Defender for Identity-Sensoren ausgeführt werden, auf Hohe Leistung fest, um die optimale Leistung zu erzielen.

Microsoft Defender for Identity-Sensoren können auf Domänencontrollern oder AD FS-Servern verschiedener Auslastungen und Größen bereitgestellt werden, abhängig vom Umfang des Datenverkehrs zwischen den Servern und von der Menge installierter Ressourcen.

Unter den Windows-Betriebssystemen 2008 R2 und 2012 werden Microsoft Defender for Identity-Sensoren im Modus Mehrere Prozessorgruppen nicht unterstützt. Weitere Informationen über den Modus „Mehrere Prozessorgruppen“ finden Sie unter Problembehandlung.

Hinweis

Bei Ausführung als virtueller Computer muss der gesamte Arbeitsspeicher zu jedem Zeitpunkt dem virtuellen Computer zugewiesen sein.

Weitere Informationen zu den Hardwareanforderungen für Microsoft Defender for Identity-Sensoren finden Sie unter Microsoft Defender for Identity-Kapazitätsplanung.

Zeitsynchronisierung

Die Zeitsynchronisierung der Server und Domänencontroller, auf denen der Sensor installiert ist, muss in einem Bereich von fünf Minuten zueinander liegen.

Netzwerkadapter

Der Microsoft Defender for Identity-Sensor überwacht den lokalen Datenverkehr auf allen Netzwerkadaptern des Domänencontrollers.
Verwenden Sie nach der Bereitstellung das Microsoft Defender for Identity-Portal, um anzupassen, welche Netzwerkadapter überwacht werden.

Der Sensor wird nicht auf Domänencontrollern unter Windows 2008 R2 mit aktivierten Teamvorgängen für Broadcom-Netzwerkadapter unterstützt.

Ports

In der folgenden Tabelle werden die Ports aufgeführt, die für den Microsoft Defender for Identity-Sensor mindestens konfiguriert werden müssen:

Protokoll Transport Port Von Beschreibung
Internetports
SSL (*.atp.azure.com) TCP 443 Microsoft Defender for Identity-Sensor Microsoft Defender for Identity-Clouddienst
Interne Ports
DNS TCP und UDP 53 Microsoft Defender for Identity-Sensor DNS-Server
Netlogon (SMB, CIFS, SAM-R) TCP/UDP 445 Microsoft Defender for Identity-Sensor Alle Geräte im Netzwerk
RADIUS UDP 1813 RADIUS Microsoft Defender for Identity-Sensor
Localhost-Ports* Erforderlich für den Sensordienst-Updater
SSL (localhost) TCP 444 Sensordienst Sensor-Updater-Dienst
NNR-Ports**
NTLM über RPC TCP Port 135 Microsoft Defender for Identity Alle Geräte im Netzwerk
NetBIOS UDP 137 Microsoft Defender for Identity Alle Geräte im Netzwerk
RDP TCP 3389, nur das erste Client Hello-Paket Microsoft Defender for Identity Alle Geräte im Netzwerk

* Standardmäßig ist der Datenverkehr von Localhost zu Localhost zulässig, solange er nicht von einer benutzerdefinierten Firewallrichtlinie blockiert wird.
** Einer dieser Ports ist erforderlich, aber Sie sollten alle öffnen.

Windows-Ereignisprotokolle

Die Microsoft Defender for Identity-Erkennung basiert auf spezifischen Windows-Ereignisprotokollen, die der Sensor über Ihre Domänencontroller analysiert. Damit die richtigen Ereignisse überprüft und im Windows-Ereignisprotokoll eingeschlossen werden, benötigen Ihre Domänencontroller die korrekten erweiterten Überwachungsrichtlinieneinstellungen. Weitere Informationen zum Festlegen der richtigen Richtlinien finden Sie unter Überprüfung der erweiterten Überwachungsrichtlinie von Azure ATP. Um sicherzustellen, dass das Windows-Ereignis 8004 überwacht wird, wie es der Dienst erfordert, überprüfen Sie die NTLM-Überwachungseinstellungen.

Legen Sie für Sensoren, die auf AD FS-Servern ausgeführt werden, die Überwachungsstufe Verbose (Ausführlich) fest. Informationen zum Konfigurieren der Überwachungsstufe finden Sie unter Informationen zur Ereignisüberwachung für AD FS.

Hinweis

Bei Verwendung des Verzeichnisdienst-Benutzerkontos fragt der Sensor mithilfe von SAM-R (Netzwerkanmeldung) Endpunkte in Ihrer Organisation für lokale Administratoren ab, um den Graph des Lateral-Movement-Pfads zu erstellen. Weitere Informationen finden Sie unter Erforderliche Berechtigung für SAM-R konfigurieren.

Anforderungen für den eigenständigen Defender for Identity-Sensor

In diesem Abschnitt werden die Voraussetzungen für den eigenständigen Microsoft Defender for Identity-Sensor aufgeführt.

Hinweis

Eigenständige Microsoft Defender for Identity-Sensoren unterstützen keine Erfassung von Protokolleinträgen für die Ereignisablaufverfolgung für Windows (Event Tracing for Windows, ETW), die Daten für mehrere Erkennungen bereitstellen. Zur vollständigen Erfassung Ihrer Umgebung empfiehlt sich die Bereitstellung des Microsoft Defender for Identity-Sensors.

Allgemein

Der eigenständige Microsoft Defender for Identity-Sensor unterstützt die Installation auf einem Server mit Windows Server 2012 R2 oder Windows Server 2016 (einschließlich Server Core). Der eigenständige Microsoft Defender for Identity-Sensor kann auf einem Server installiert werden, der Mitglied einer Domäne oder Arbeitsgruppe ist. Der eigenständige Microsoft Defender for Identity-Sensor kann zur Überwachung von Domänencontrollern mit der Domänenfunktionsebene Windows 2003 und höher verwendet werden.

Damit Ihr eigenständiger Sensor mit dem Clouddienst kommunizieren kann, muss in Ihrer Firewall und auf Ihrem Proxyserver Port 443 für „*.atp.azure.com“ freigegeben sein.

Informationen zur Verwendung von virtuellen Computern mit dem eigenständigen Microsoft Defender for Identity-Sensor finden Sie unter Konfigurieren der Portspiegelung.

Hinweis

Mindestens 5 GB Speicherplatz auf dem Datenträger wird benötigt, 10 GB wird empfohlen. Dies umfasst den Speicherplatz, der für die Microsoft Defender for Identity-Binärdateien, Microsoft Defender for Identity-Protokolle und Leistungsprotokolle benötigt wird.

Serverspezifikationen

Legen Sie die Energieoption des Computers, auf dem der eigenständige Microsoft Defender for Identity-Sensor ausgeführt wird, auf Hohe Leistung fest, um die optimale Leistung zu erzielen.

Ein eigenständiger Microsoft Defender for Identity-Sensor kann die Überwachung von mehreren Domänencontrollern unterstützen, abhängig vom Umfang des Datenverkehrs zwischen den Domänencontrollern.

Hinweis

Bei Ausführung als virtueller Computer muss der gesamte Arbeitsspeicher zu jedem Zeitpunkt dem virtuellen Computer zugewiesen sein.

Weitere Informationen zu den Hardwareanforderungen für eigenständige Microsoft Defender for Identity-Sensoren finden Sie unter Microsoft Defender for Identity-Kapazitätsplanung.

Zeitsynchronisierung

Die Zeitsynchronisierung der Server und Domänencontroller, auf denen der Sensor installiert ist, muss in einem Bereich von fünf Minuten zueinander liegen.

Netzwerkadapter

Der eigenständige Microsoft Defender for Identity-Sensor erfordert mindestens einen Verwaltungsadapter und einen Erfassungsadapter:

  • Verwaltungsadapter: wird für die Kommunikation im Unternehmensnetzwerk verwendet. Der Sensor nutzt diesen Adapter zum Abfragen des Domänencontrollers, den er schützt, und für Korrekturen an Computerkonten.

    Dieser Adapter sollte mit den folgenden Einstellungen konfiguriert werden:

    • Statische IP-Adresse, einschließlich des Standardgateways

    • Bevorzugte und alternative DNS-Server

    • Das DNS-Suffix für diese Verbindung sollte der DNS-Name der Domäne für jede Domäne sein, die überwacht wird.

      Konfigurieren Sie das DNS-Suffix in den erweiterten TCP/IP-Einstellungen.

      Hinweis

      Wenn der eigenständige Microsoft Defender for Identity-Sensor Mitglied der Domäne ist, erfolgt diese Konfiguration möglicherweise automatisch.

  • Erfassungsadapter: wird verwendet, um den Datenverkehr zu und von den Domänencontrollern zu erfassen.

    Wichtig

    • Konfigurieren Sie die Portspiegelung für den Erfassungsadapter als Ziel des Domänencontroller-Netzwerkdatenverkehrs. Weitere Informationen finden Sie unter Konfigurieren der Portspiegelung. In der Regel müssen Sie mit dem Netzwerk- oder Virtualisierungsteam zusammenarbeiten, um die Portspiegelung zu konfigurieren.
    • Konfigurieren Sie eine statische, nicht routingfähige IP-Adresse (mit der Maske /32) für Ihre Umgebung ohne Standardsensorgateway und ohne DNS-Serveradressen. Beispiel: 10.10.0.10/32. Dadurch wird sichergestellt, dass der Erfassungsnetzwerkadapter die maximale Menge an Datenverkehr erfassen kann und der Verwaltungsnetzwerkadapter zum Senden und Empfangen des erforderlichen Netzwerkdatenverkehrs verwendet wird.

Ports

In der folgenden Tabelle werden die Ports aufgeführt, die für den Verwaltungsadapter des eigenständigen Microsoft Defender for Identity-Sensors mindestens konfiguriert werden müssen:

Protokoll Transport Port Von Beschreibung
Internetports
SSL (*.atp.azure.com) TCP 443 Microsoft Defender for Identity-Sensor Microsoft Defender for Identity-Clouddienst
Interne Ports
LDAP TCP und UDP 389 Microsoft Defender for Identity-Sensor Domänencontroller
Sicheres LDAP (LDAPS) TCP 636 Microsoft Defender for Identity-Sensor Domänencontroller
LDAP an globalen Katalog TCP 3268 Microsoft Defender for Identity-Sensor Domänencontroller
LDAPs an globalen Katalog TCP 3269 Microsoft Defender for Identity-Sensor Domänencontroller
Kerberos TCP und UDP 88 Microsoft Defender for Identity-Sensor Domänencontroller
Netlogon (SMB, CIFS, SAM-R) TCP und UDP 445 Microsoft Defender for Identity-Sensor Alle Geräte im Netzwerk
Windows-Zeitdienst UDP 123 Microsoft Defender for Identity-Sensor Domänencontroller
DNS TCP und UDP 53 Microsoft Defender for Identity-Sensor DNS-Server
Syslog (optional) TCP/UDP 514, je nach Konfiguration SIEM-Server Microsoft Defender for Identity-Sensor
RADIUS UDP 1813 RADIUS Microsoft Defender for Identity-Sensor
Localhost-Ports* Erforderlich für den Sensordienst-Updater
SSL (localhost) TCP 444 Sensordienst Sensor-Updater-Dienst
NNR-Ports**
NTLM über RPC TCP 135 Microsoft Defender for Identity Alle Geräte im Netzwerk
NetBIOS UDP 137 Microsoft Defender for Identity Alle Geräte im Netzwerk
RDP TCP 3389, nur das erste Client Hello-Paket Microsoft Defender for Identity Alle Geräte im Netzwerk

* Standardmäßig ist der Datenverkehr von Localhost zu Localhost zulässig, solange er nicht von einer benutzerdefinierten Firewallrichtlinie blockiert wird.
** Einer dieser Ports ist erforderlich, aber Sie sollten alle öffnen.

Hinweis

Weitere Informationen