Microsoft Defender for Identity Active Directory összevonási szolgáltatások (AD FS) (AD FS)

  • Cikk
  • 3 perc alatt elolvasható

A Defender for Identity védelmet nyújt a környezet Active Directory összevonási szolgáltatások (AD FS) (AD FS) számára azáltal, hogy észleli az AD FS-kiszolgálók elleni helyszíni támadásokat. Ez a cikk rövid útmutatót nyújt a Microsoft Defender for Identity telepítéséhez a Active Directory összevonási szolgáltatások (AD FS)-kiszolgálókon.

A kiszolgáló specifikációi

A Defender for Identity érzékelő támogatja a telepítést Active Directory összevonási szolgáltatások (AD FS) (AD FS) kiszolgálókon, ahogy az alábbi táblázatban látható:

Operációs rendszer verziója Kiszolgáló asztali felülettel Server Core Nano Server
Windows Server 2016
Windows Server 2019*

A hardverkövetelményekkel kapcsolatban lásd a Defender for Identity-kiszolgáló specifikációit.

A hálózatra vonatkozó követelmények

Ahhoz, hogy a tartományvezérlőn és az AD FS-en futó érzékelők kommunikálhassanak a felhőszolgáltatással, meg kell nyitnia a 443-at a tűzfalakban és proxykban *.atp.azure.com.

AD FS Windows-eseménynaplók

Az AD FS-kiszolgálókon futó érzékelők esetében konfigurálja a naplózási szintet Verbose értékre a következő paranccsal:

Set-AdfsProperties -AuditLevel Verbose

A naplózási szint konfigurálásával kapcsolatos információkért lásd az AD FS eseménynaplózási információit. A következő eseményeket kell nyomon követni:

  • 1202 – Az összevonási szolgáltatás új hitelesítő adatot ellenőrzött
  • 1203 – Az összevonási szolgáltatás nem tudta ellenőrizni az új hitelesítő adatokat
  • 4624 – Egy fiók sikeres bejelentkezése
  • 4625 – Nem sikerült bejelentkezni egy fiókba

Az érzékelő telepítése

Előfeltételek

A Active Directory összevonási szolgáltatások (AD FS) (AD FS) kiszolgálókon lévő érzékelőtelepítések esetében konfigurálja úgy az SQL-kiszolgálót, hogy engedélyezze a címtárszolgáltatás-fiók (Configuration>Directory-szolgáltatások>felhasználóneve) csatlakozását, bejelentkezését, olvasását és az AdfsConfiguration-adatbázis engedélyeinek kiválasztását.

A Microsoft Defender for Identity érzékelő telepítése az AD FS-ben

A Microsoft Defender for Identity érzékelő AD FS-érzékelőre való telepítésével kapcsolatos információkért lásd: A Defender for Identity-érzékelő telepítése.

Az AD FS-kiszolgálók telepítés utáni lépései

Az alábbi lépésekkel konfigurálhatja a Defender for Identityt, miután befejezte az érzékelő telepítését egy AD FS-kiszolgálón.

  1. A Microsoft 365 Defender lépjen a Beállítások, majd az Identitások elemre.

    Lépjen a Beállítások, majd az Identitások elemre.

  2. Válassza az Érzékelők lapot, amelyen az identitáshoz készült Defender összes érzékelője megjelenik.

    A Defender for Identity érzékelőinek listája

  3. Válassza ki az AD FS-kiszolgálóra telepített érzékelőt.

  4. A megnyíló panelen a Tartományvezérlő (FQDN) mezőbe írja be a feloldó tartományvezérlők teljes tartománynevét, válassza a plusz ikont (+), majd válassza a Mentés lehetőséget.

    A Defender for Identity konfigurálja az AD FS érzékelőfeloldót

    Az érzékelő inicializálása eltarthat néhány percig, amikor az AD FS érzékelőszolgáltatásának állapota leállítva állapotról futásra változik.

AD FS – Gyakori kérdések

Telepíteni kell a Defender for Identity érzékelőt és a Defender for Endpoint érzékelőt is a tartományvezérlőkre vagy Active Directory összevonási szolgáltatások (AD FS) (AD FS) kiszolgálókra?

Ha mindkét terméket használja, akkor a kiszolgáló és az Active Directory védelméhez telepíteni kell a két érzékelőt.

Hogyan hozzáférést adni az AD FS-adatbázishoz a TSQL-en vagy a PowerShellen keresztül?

A SQL Server Management Studio használata helyett hozzáférést adhat az AD FS-adatbázishoz a TSQL vagy a PowerShell használatával. Ha például a belső Windows-adatbázis (belső Windows-adatbázis) vagy egy külső SQL-kiszolgálót használ, ezek a parancsok hasznosak lehetnek.

Az érzékelő hozzáférésének biztosítása az AD FS-adatbázishoz a TSQL használatával:

USE [master]
CREATE LOGIN [DOMAIN1\triservice] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
USE [AdfsConfigurationV4]
CREATE USER [DOMAIN1\triservice] FOR LOGIN [DOMAIN1\triservice]
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\triservice]
GRANT CONNECT TO [DOMAIN1\triservice]
GRANT SELECT TO [DOMAIN1\triservice]
GO

Az érzékelő hozzáférésének biztosítása az AD FS-adatbázishoz a PowerShell használatával:

$ConnectionString = 'server=\\.\pipe\MICROSOFT##WID\tsql\query;database=AdfsConfigurationV4;trusted_connection=true;'
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [DOMAIN1\triservice] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [AdfsConfigurationV4]; 
CREATE USER [DOMAIN1\triservice] FOR LOGIN [DOMAIN1\triservice]; 
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\triservice]; 
GRANT CONNECT TO [DOMAIN1\triservice]; 
GRANT SELECT TO [DOMAIN1\triservice];
"@
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

Megjegyzés

  • [DOMAIN1\triservice] – a munkaterület címtárszolgáltatás-felhasználója
  • AdfsConfigurationV4 – az AD FS-adatbázis neve (változhat)
  • server=.\pipe\MICROSOFT##belső Windows-adatbázis\tsql\query – az adatbázishoz kapcsolati sztring, ha belső Windows-adatbázis
  • Ha nem ismeri az AD FS-kapcsolati sztring, olvassa el az SQL-kapcsolati sztring beszerzése című témakört.

Lásd még