Érzékelők konfigurálása az AD FS-hez és az AD CS-hez
Telepítse a Defender for Identity-érzékelőket Active Directory összevonási szolgáltatások (AD FS) (AD FS) és Active Directory Tanúsítványszolgáltatások (AD CS) kiszolgálókra, hogy megvédje őket a helyszíni támadásoktól.
Ez a cikk a Defender for Identity-érzékelők AD FS- vagy AD CS-kiszolgálókra való telepítésekor szükséges lépéseket ismerteti.
Feljegyzés
Az AD FS-környezetek esetében a Defender for Identity érzékelő csak az összevonási kiszolgálókon támogatott, és nem szükséges a webes alkalmazásproxy (WAP) kiszolgálókon. AD CS-környezetek esetén nem kell telepítenie az érzékelőt az offline AD CS-kiszolgálókra.
Előfeltételek
A Defender for Identity-érzékelők AD FS- vagy AD CS-kiszolgálókra való telepítésének előfeltételei megegyeznek az érzékelők tartományvezérlőkre való telepítésével. További információ: Microsoft Defender for Identity előfeltételei.
Emellett az AD CS Defender for Identity érzékelője csak a hitelesítésszolgáltatói szerepkör-szolgáltatással rendelkező AD CS-kiszolgálókat támogatja.
Részletes naplózás konfigurálása AD FS-eseményekhez
Az AD FS-kiszolgálókon futó érzékelőknek részletes naplózási szinttel kell rendelkezniük a releváns eseményekhez. Például a következő paranccsal konfigurálja a naplózási szintet részletesre:
Set-AdfsProperties -AuditLevel Verbose
További információkért lásd:
- Kötelező Active Directory összevonási szolgáltatások (AD FS) (AD FS) események
- Naplózás konfigurálása Active Directory összevonási szolgáltatások (AD FS) (AD FS)
- Active Directory összevonási szolgáltatások (AD FS) hibaelhárítása események és naplózás esetén
Olvasási engedélyek konfigurálása az AD FS-adatbázishoz
Ahhoz, hogy az AD FS-kiszolgálókon futó érzékelők hozzáférhessenek az AD FS-adatbázishoz, olvasási (db_datareader) engedélyeket kell adnia a megfelelő címtárszolgáltatás-fiókhoz konfigurálva.
Ha több AD FS-kiszolgálóval rendelkezik, mindenképpen adja meg ezt az engedélyt mindegyikhez, mivel az adatbázis-engedélyek nem replikálódnak a kiszolgálók között.
Konfigurálja az SQL Servert úgy, hogy engedélyezze az AdfsConfiguration-adatbázishoz a következő engedélyekkel rendelkező címtárszolgáltatás-fiókot:
- Csatlakoztassa
- bejelentkezés
- Olvasni
- Válassza ki
Feljegyzés
Ha az AD FS-adatbázis a helyi AD FS-kiszolgáló helyett dedikált SQL-kiszolgálón fut, és ön egy csoport által felügyelt szolgáltatásfiókot (gMSA) használ címtárszolgáltatás-fiókként (DSA), győződjön meg arról, hogy megadja az SQL-kiszolgálónak a szükséges engedélyeket a gMSA jelszavának lekéréséhez.
Hozzáférés biztosítása az AD FS-adatbázishoz
Adjon hozzáférést az adatbázishoz az SQL Server Management Studio, a TSQL vagy a PowerShell használatával.
Az alábbi parancsok például hasznosak lehetnek, ha a belső Windows-adatbázis (WID) vagy egy külső SQL-kiszolgálót használ.
Az alábbi mintakódokban:
- [DOMAIN1\mdiSvc01] a munkaterület címtárszolgáltatás-felhasználója. Ha gMSA-val dolgozik, fűzze hozzá $ a felhasználónevet a végéhez. Például: [DOMAIN1\mdiSvc01$]
- Az AdfsConfigurationV4 egy példa egy AD FS-adatbázis nevére, és változhat
- server=.\pipe\MICROSOFT##WID\tsql\query – az adatbázis kapcsolati sztring, ha WID-t használ
Tipp.
Ha nem ismeri a kapcsolati sztring, kövesse a Windows Server dokumentációjának lépéseit.
Az érzékelő hozzáférésének biztosítása az AD FS-adatbázishoz a TSQL használatával:
USE [master]
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
USE [AdfsConfigurationV4]
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]
GRANT CONNECT TO [DOMAIN1\mdiSvc01]
GRANT SELECT TO [DOMAIN1\mdiSvc01]
GO
Az érzékelő hozzáférésének biztosítása az AD FS-adatbázishoz a PowerShell használatával:
$ConnectionString = 'server=\\.\pipe\MICROSOFT##WID\tsql\query;database=AdfsConfigurationV4;trusted_connection=true;'
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master];
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [AdfsConfigurationV4];
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01];
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01];
GRANT CONNECT TO [DOMAIN1\mdiSvc01];
GRANT SELECT TO [DOMAIN1\mdiSvc01];
"@
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()
Eseménygyűjtemény konfigurálása AD FS/AD CS-kiszolgálókhoz
Ha AD FS/AD CS-kiszolgálókkal dolgozik, győződjön meg arról, hogy szükség szerint konfigurálta a naplózást. További információkért lásd:
AD FS:
AD CS:
Sikeres üzembe helyezés ellenőrzése AD FS/AD CS-kiszolgálókon
Annak ellenőrzése, hogy a Defender for Identity érzékelő sikeresen üzembe lett-e helyezve egy AD FS-kiszolgálón:
Ellenőrizze, hogy fut-e az Azure Advanced Threat Protection érzékelőszolgáltatás . A Defender for Identity érzékelő beállításainak mentése után eltarthat néhány másodpercig, amíg a szolgáltatás elindul.
Ha a szolgáltatás nem indul el, tekintse át a
Microsoft.Tri.sensor-Errors.log
fájlt, amely alapértelmezés szerint a következő helyen található:%programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs
Az AD FS vagy az AD CS használatával hitelesíthet egy felhasználót bármely alkalmazáson, majd ellenőrizheti, hogy a Defender for Identity betartotta-e a hitelesítést.
Válassza például a Hunting Advanced Hunting (Speciális vadászat)>lehetőséget. A Lekérdezés panelen adja meg és futtassa az alábbi lekérdezések egyikét:
AD FS esetén:
IdentityLogonEvents | where Protocol contains 'Adfs'
Az eredménypanelnek tartalmaznia kell az ADFS-hitelesítéssel rendelkező bejelentkezési logonTípusú események listáját
AD CS esetén:
IdentityDirectoryEvents | where Protocol == "Adcs"
Az eredménypanelnek tartalmaznia kell a sikertelen és sikeres tanúsítványkiállítás eseményeinek listáját. Jelöljön ki egy adott sort, ha további részleteket szeretne látni a Rekord vizsgálata bal oldali panelen. Példa:
Az AD FS/AD CS-kiszolgálók telepítés utáni lépései (nem kötelező)
Az érzékelő AD FS/AD CS-kiszolgálón való telepítése automatikusan kiválasztja a legközelebbi tartományvezérlőt. A kijelölt tartományvezérlő ellenőrzéséhez vagy módosításához kövesse az alábbi lépéseket.
A Microsoft Defender XDR-ben nyissa meg a Gépház> Adentitás-érzékelők> lehetőséget az összes Identitáshoz készült Defender-érzékelő megtekintéséhez.
Keresse meg és válassza ki az AD FS/AD CS-kiszolgálón telepített érzékelőt.
A megnyíló panelen, a Tartományvezérlő (FQDN) mezőben adja meg a feloldó tartományvezérlők teljes tartománynevét. Válassza a + Hozzáadás lehetőséget a teljes tartománynév hozzáadásához, majd válassza a Mentés lehetőséget. Példa:
Az érzékelő inicializálása eltarthat néhány percig, amikor az AD FS/AD CS érzékelő szolgáltatás állapotának leállításról futásra kell változnia.
Kapcsolódó tartalom
További információkért lásd: