Microsoft Defender for Identity auf Active Directory-Verbunddienste (AD FS) (AD FS)

  • Artikel
  • 3 Minuten Lesedauer

Defender for Identity schützt die Active Directory-Verbunddienste (AD FS) (AD FS) in Ihrer Umgebung, indem lokale Angriffe gegen AD FS-Server erkannt werden. In diesem Artikel erhalten Sie eine Kurzübersicht zum Installieren Microsoft Defender for Identity auf Ihren Active Directory-Verbunddienste (AD FS) Servern.

Serverspezifikationen

Der Defender for Identity-Sensor unterstützt die Installation auf Active Directory-Verbunddienste (AD FS) (AD FS)-Servern, wie in der folgenden Tabelle gezeigt:

Version des Betriebssystems Server mit Desktopumgebung Server Core Nano Server
Windows Server 2016
Windows Server 2019*

Informationen zu Hardwareanforderungen finden Sie unter Defender for Identity Server-Spezifikationen.

Netzwerkanforderungen

Damit Sensoren, die auf Domänencontrollern und auf AD FS ausgeführt werden, mit dem Clouddienst kommunizieren können, müssen Sie Port 443 Ihrer Firewalls und Proxys für *.atp.azure.com öffnen.

AD FS-Windows-Ereignisprotokolle

Für Sensoren, die auf AD FS-Servern ausgeführt werden, konfigurieren Sie die Überwachungsstufe mithilfe des folgenden Befehls auf Verbose :

Set-AdfsProperties -AuditLevel Verbose

Informationen zum Konfigurieren der Überwachungsstufe finden Sie unter Informationen zur Ereignisüberwachung für AD FS. Die folgenden Ereignisse sollten nachverfolgt werden:

  • 1202: Der Verbunddienst hat eine neue Anmeldeinformation validiert.
  • 1203: Der Verbunddienst konnte eine neue Anmeldeinformation nicht validieren.
  • 4624: Ein Konto wurde erfolgreich angemeldet.
  • 4625: Fehler beim Anmelden eines Kontos.

Installieren des Sensors

Voraussetzungen

Konfigurieren Sie bei Sensorinstallationen auf AD FS-Servern (Active Directory-Verbunddienste) die SQL Server-Instanz so, dass für das Verzeichnisdienstkonto (Konfiguration>Verzeichnisdienste>Benutzername) die Berechtigungen Verbinden, Anmelden, Lesen und Auswählen für die AdfsConfiguration-Datenbank zugelassen werden.

Installieren des Microsoft Defender for Identity Sensor auf AD FS

Informationen zum Installieren des Microsoft Defender for Identity Sensors auf AD FS-Sensor finden Sie unter Installieren des Defender for Identity-Sensors.

Schritte nach der Installation für AD FS-Server

Führen Sie die folgenden Schritte aus, um Defender for Identity zu konfigurieren, sobald Sie die Installation des Sensors auf dem AD FS-Server abgeschlossen haben.

  1. Wechseln Sie in Microsoft 365 Defender zu "Einstellungen" und dann "Identitäten".

    Wechseln Sie zu

  2. Wählen Sie die Seite "Sensoren " aus, auf der alle Defender for Identity-Sensoren angezeigt werden.

    Liste der Defender for Identity-Sensoren

  3. Wählen Sie den Sensor aus, den Sie auf dem AD FS Server installiert haben.

  4. Geben Sie im geöffneten Bereich im Feld Domänencontroller (FQDN) den FQDN der Auflösungs-Domänencontroller ein, und wählen Sie dann das Plussymbol (+) aus, und wählen Sie dann "Speichern" aus.

    Defender for Identity konfigurieren AD FS Sensor Resolver

    Die Initialisierung des Sensors kann einige Minuten dauern. Zu diesem Zeitpunkt sollte sich der Status des AD FS-Sensordiensts von beendet in wird ausgeführt ändern.

Häufig gestellte Fragen zu AD FS

Müssen wir sowohl den Defender for Identity Sensor als auch den Defender for Endpoint Sensor auf Domänencontrollern oder Active Directory-Verbunddienste (AD FS) (AD FS)-Servern installieren?

Wenn Sie beide Produkte verwenden, müssen die beiden Sensoren installiert werden, um sowohl den Server als auch das Active Directory zu schützen.

Gewusst wie zugriff auf die AD FS-Datenbank über TSQL oder PowerShell gewähren?

Anstatt SQL Server Management Studio zu verwenden, können Sie zugriff auf die AD FS-Datenbank entweder über TSQL oder über PowerShell gewähren. Wenn Sie beispielsweise die interne Windows-Datenbank (WID) oder einen externen SQL-Server verwenden, können diese Befehle hilfreich sein.

So gewähren Sie den Zugriff auf den Sensor auf die AD FS-Datenbank mithilfe von TSQL:

USE [master]
CREATE LOGIN [DOMAIN1\triservice] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
USE [AdfsConfigurationV4]
CREATE USER [DOMAIN1\triservice] FOR LOGIN [DOMAIN1\triservice]
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\triservice]
GRANT CONNECT TO [DOMAIN1\triservice]
GRANT SELECT TO [DOMAIN1\triservice]
GO

So gewähren Sie den Zugriff auf den Sensor auf die AD FS-Datenbank mithilfe von PowerShell:

$ConnectionString = 'server=\\.\pipe\MICROSOFT##WID\tsql\query;database=AdfsConfigurationV4;trusted_connection=true;'
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [DOMAIN1\triservice] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [AdfsConfigurationV4]; 
CREATE USER [DOMAIN1\triservice] FOR LOGIN [DOMAIN1\triservice]; 
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\triservice]; 
GRANT CONNECT TO [DOMAIN1\triservice]; 
GRANT SELECT TO [DOMAIN1\triservice];
"@
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

Hinweis

  • [DOMAIN1\triservice] – Der Verzeichnisdienstebenutzer des Arbeitsbereichs
  • AdfsConfigurationV4 – der Name der AD FS-Datenbank (kann variieren)
  • server=.\pipe\MICROSOFT##WID\tsql\query – die Verbindungszeichenfolge mit der Datenbank, wenn Sie WID verwenden
  • Wenn Sie ihre AD FS-Verbindungszeichenfolge nicht kennen, lesen Sie zum Abrufen der SQL-Verbindungszeichenfolge.

Siehe auch