Konfigurieren von Sensoren für AD FS und AD CS

Installieren Sie Defender for Identity-Sensoren auf Active Directory-Verbunddienste (AD FS) (AD FS) und Active Directory Certificate Services (AD CS)-Servern, um sie vor lokalen Angriffen zu schützen.

In diesem Artikel werden die Schritte beschrieben, die beim Installieren von Defender for Identity-Sensoren auf AD FS- oder AD CS-Servern erforderlich sind.

Hinweis

Für AD FS-Umgebungen wird der Defender for Identity-Sensor nur auf den Verbundservern unterstützt und ist auf den Web-Anwendungsproxy-Servern (WAP) nicht erforderlich. Für AD CS-Umgebungen müssen Sie den Sensor nicht auf ad CS-Servern installieren, die offline sind.

Voraussetzungen

Voraussetzungen für die Installation von Defender for Identity-Sensoren auf AD FS- oder AD CS-Servern sind identisch mit der Installation von Sensoren auf do Standard-Controllern. Weitere Informationen finden Sie unter Voraussetzungen für Microsoft Defender for Identity.

Darüber hinaus unterstützt der Defender for Identity-Sensor für AD CS nur AD CS-Server mit Rollendienst der Zertifizierungsstelle.

Konfigurieren der ausführlichen Protokollierung für AD FS-Ereignisse

Sensoren, die auf AD FS-Servern ausgeführt werden, müssen über die Überwachungsstufe "Ausführlich" für relevante Ereignisse verfügen. Verwenden Sie beispielsweise den folgenden Befehl, um die Überwachungsstufe ausführlich zu konfigurieren:

Set-AdfsProperties -AuditLevel Verbose

Weitere Informationen finden Sie unter:

• Erforderliche Ereignisse für Active Directory-Verbunddienste (AD FS)
• Konfigurieren der Active Directory-Verbunddienste (AD FS)
• Problembehandlung bei Active Directory-Verbunddienste (AD FS) mit Ereignissen und Protokollierung

Konfigurieren von Leseberechtigungen für die AD FS-Datenbank

Für Sensoren, die auf AD FS-Servern ausgeführt werden, um Zugriff auf die AD FS-Datenbank zu haben, müssen Sie Leseberechtigungen (db_datareader) für das entsprechende Verzeichnisdienstekonto erteilen.

Wenn Sie über mehrere AD FS-Server verfügen, stellen Sie sicher, dass Sie diese Berechtigung für alle benutzerübergreifend erteilen, da Datenbankberechtigungen nicht auf Servern repliziert werden.

Konfigurieren Sie den SQL Server so, dass das Verzeichnisdienstkonto mit den folgenden Berechtigungen für die AdfsConfiguration-Datenbank zugelassen wird:

• connect
• Anmelden
• read
• select

Hinweis

Wenn die AD FS-Datenbank auf einem dedizierten SQL-Server anstelle des lokalen AD FS-Servers ausgeführt wird und Sie ein gruppenverwaltetes Dienstkonto (gMSA) als Verzeichnisdienstekonto (Directory Services Account, DSA) verwenden, stellen Sie sicher, dass Sie dem SQL-Server die erforderlichen Berechtigungen zum Abrufen des gMSA-Kennworts erteilen.

Gewähren des Zugriffs auf die AD FS-Datenbank

Gewähren Des Zugriffs auf die Datenbank mithilfe von SQL Server Management Studio, TSQL oder PowerShell.

Die unten aufgeführten Befehle können beispielsweise hilfreich sein, wenn Sie die interne Windows-Datenbank (WID) oder einen externen SQL-Server verwenden.

In diesen Beispielcodes:

• [DOMAIN1\mdiSvc01] ist der Verzeichnisdienstbenutzer des Arbeitsbereichs. Wenn Sie mit einem gMSA arbeiten, fügen Sie am Ende des Benutzernamens $ hinzu. Beispiel: [DOMAIN1\mdiSvc01$]
• AdfsConfigurationV4 ist ein Beispiel für einen AD FS-Datenbanknamen und kann variieren.
• server=.\pipe\MICROSOFT##WID\tsql\query – ist die Verbindungszeichenfolge für die Datenbank, wenn Sie WID verwenden

Tipp

Wenn Sie Ihre Verbindungszeichenfolge nicht kennen, führen Sie die Schritte in der Windows Server-Dokumentation aus.

So gewähren Sie dem Sensor Zugriff auf die AD FS-Datenbank mithilfe von TSQL:

USE [master]
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
USE [AdfsConfigurationV4]
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]
GRANT CONNECT TO [DOMAIN1\mdiSvc01]
GRANT SELECT TO [DOMAIN1\mdiSvc01]
GO

So gewähren Sie den Sensorzugriff auf die AD FS-Datenbank mithilfe von PowerShell:

$ConnectionString = 'server=\\.\pipe\MICROSOFT##WID\tsql\query;database=AdfsConfigurationV4;trusted_connection=true;'
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [AdfsConfigurationV4]; 
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]; 
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]; 
GRANT CONNECT TO [DOMAIN1\mdiSvc01]; 
GRANT SELECT TO [DOMAIN1\mdiSvc01];
"@
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

Konfigurieren der Ereignissammlung für AD FS/AD CS-Server

Wenn Sie mit AD FS/AD CS-Servern arbeiten, stellen Sie sicher, dass Sie die Überwachung nach Bedarf konfiguriert haben. Weitere Informationen finden Sie unter:

• AD FS:

  • Erforderliche Ereignisse für Active Directory-Verbunddienste (AD FS)
  • Konfigurieren der Active Directory-Verbunddienste (AD FS)

• AD CS:

  • Active Directory-Zertifikatdienste (AD CS)
  • Konfigurationsaudit für Active Directory-Zertifikatdienste (AD CS)

Überprüfen der erfolgreichen Bereitstellung auf AD FS/AD CS-Servern

So überprüfen Sie, ob der Defender for Identity-Sensor erfolgreich auf einem AD FS-Server bereitgestellt wurde:

1. Überprüfen Sie, ob der Azure Advanced Threat Protection-Sensordienst ausgeführt wird. Nachdem Sie die Einstellungen für den Defender for Identity-Sensor gespeichert haben, kann es ein paar Sekunden dauern, bis der Dienst gestartet wird.

2. Wenn der Dienst nicht gestartet wird, überprüfen Sie die Microsoft.Tri.sensor-Errors.log Datei standardmäßig unter: %programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs

3. Verwenden Sie AD FS oder AD CS, um einen Benutzer bei einer beliebigen Anwendung zu authentifizieren, und überprüfen Sie dann, ob die Authentifizierung von Defender for Identity beobachtet wurde.

   Wählen Sie z. B. "Erweiterte>Suche suchen" aus. Geben Sie im Bereich Abfrage eine der folgenden Abfragen ein und führen Sie sie aus:

   Für AD FS:

   IdentityLogonEvents | where Protocol contains 'Adfs'
   

   Der Ergebnisbereich sollte eine Liste von Ereignissen mit einem Anmeldetyp mit ADFS-Authentifizierung enthalten.

   Für AD CS:

   IdentityDirectoryEvents | where Protocol == "Adcs"
   

   Der Ergebnisbereich sollte eine Liste der Ereignisse fehlgeschlagener und erfolgreicher Zertifikatausstellung enthalten. Wählen Sie eine bestimmte Zeile aus, um weitere Details im linken Bereich "Datensatz prüfen" anzuzeigen. Beispiel:

   

Schritte nach der Installation für AD FS/AD CS-Server (optional)

Durch die Installation des Sensors auf einem AD FS/AD CS-Server wird automatisch der nächstgelegene Do Standard Controller ausgewählt. Führen Sie die folgenden Schritte aus, um den ausgewählten Do Standard controller zu überprüfen oder zu ändern.

1. Wechseln Sie in Microsoft Defender XDR zu Einstellungen> Identities>Sensors, um alle Ihre Defender for Identity-Sensoren anzuzeigen.

2. Suchen Sie den Sensor, den Sie auf einem AD FS/AD CS-Server installiert haben, und wählen Sie ihn aus.

3. Geben Sie im daraufhin geöffneten Bereich im Feld "Do Standard Controller (FQDN) den FQDN der Resolver-Do Standard controller ein. Wählen Sie +Hinzufügen aus, um den FQDN hinzuzufügen, und wählen Sie dann "Speichern" aus. Beispiel:

   

Die Initialisierung des Sensors kann einige Minuten dauern, zu dem sich der AD FS/AD CS-Sensordienststatus von "Angehalten" in "Ausgeführt" ändern sollte.

Zugehöriger Inhalt

Weitere Informationen finden Sie unter:

• Voraussetzungen für Microsoft Defender for Identity
• Installieren des Microsoft Defender for Identity-Sensors