Configurar os sensores para AD FS e AD CS

Instale os sensores do Defender para Identidade nos servidores de Serviços de Federação do Active Directory (AD FS) e de Serviços de Certificados do Active Directory (AD CS) para protegê-los de ataques locais.

Este artigo descreve as etapas necessárias ao instalar os sensores do Defender para Identidade em servidores de AD FS ou AD CS.

Observação

Para ambientes AD FS, o sensor do Defender para Identidade é compatível apenas nos servidores de federação e não é necessário nos servidores WAP (Proxy de aplicativo Web). Para ambientes AD CS, você não precisa instalar o sensor em nenhum servidor do AD CS que esteja offline.

Pré-requisitos

Os pré-requisitos para instalar sensores do Defender para Identidade em servidores de AD FS ou AD CS são os mesmos que para instalar sensores em controladores de domínio. Para obter mais informações, consulte Pré-requisitos do Microsoft Defender para Identidade.

Além disso, o sensor Defender para Identidade para AD CS só oferece suporte a servidores AD CS com Serviço de Função de Autoridade de Certificação.

Configurar logs detalhados para eventos do AD FS

Os sensores sendo executados em servidores de AD FS precisam ter o nível de auditoria definido como Detalhado para eventos relevantes. Por exemplo, use o seguinte comando para configurar o nível de auditoria como Detalhado:

Set-AdfsProperties -AuditLevel Verbose

Para saber mais, veja:

• Eventos obrigatórios de Serviços de Federação do Active Directory (AD FS)
• Configurar auditoria em um Serviço de Federação do Active Directory (AD FS)
• Solucionar problemas dos Serviços de Federação do Active Directory com eventos e registro em log

Configurar permissões de leitura para o banco de dados do AD FS

Para que os sensores sendo executados em servidores de AD FS tenham acesso ao banco de dados do AD FS, você precisa conceder permissões de leitura (db_datareader) para a Conta de Serviços de Diretório relevante configurada.

Se você tiver mais de um servidor de AD FS, certifique-se de conceder essa permissão para todos eles, porque as permissões do banco de dados não são replicadas entre servidores.

Configure o SQL Server para conceder à conta de Serviço de Diretório as seguintes permissões para o banco de dados AdfsConfiguration:

• connect
• log in
• read
• select

Observação

Se o banco de dados do AD FS for executado em um SQL Server dedicado, em vez do servidor do AD FS local, e você estiver usando uma gMSA (conta de serviço gerenciado por grupo) como a Conta dos Serviços de Diretório (DSA), certifique-se de conceder ao SQL Server as permissões necessárias a fim de recuperar a senha da gMSA.

Permitir acesso ao banco de dados do AD FS

Permita acesso ao banco de dados usando o SQL Server Management Studio, TSQL ou PowerShell.

Por exemplo, os comandos listados abaixo podem ser úteis se você estiver usando o Banco de Dados Interno do Windows (WID) ou um SQL Server externo.

Nestes códigos de exemplo:

• [DOMAIN1\mdiSvc01] é o usuário dos serviços de diretório do espaço de trabalho. Se você estiver trabalhando com um gMSA, acrescente $ ao final do nome de usuário. Por exemplo: [DOMAIN1\mdiSvc01$]
• AdfsConfigurationV4 é um exemplo de um nome de banco de dados do AD FS e pode variar
• server=.\pipe\MICROSOFT##WID\tsql\query é a cadeia de conexão com o banco de dados, se você estiver usando o WID

Dica

Se você não souber sua cadeia de conexão, siga as etapas na documentação do Windows Server.

Para permitir acesso do sensor ao banco de dados do AD FS usando TSQL:

USE [master]
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
USE [AdfsConfigurationV4]
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]
GRANT CONNECT TO [DOMAIN1\mdiSvc01]
GRANT SELECT TO [DOMAIN1\mdiSvc01]
GO

Para permitir acesso do sensor ao banco de dados do AD FS usando o PowerShell:

$ConnectionString = 'server=\\.\pipe\MICROSOFT##WID\tsql\query;database=AdfsConfigurationV4;trusted_connection=true;'
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [AdfsConfigurationV4]; 
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]; 
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]; 
GRANT CONNECT TO [DOMAIN1\mdiSvc01]; 
GRANT SELECT TO [DOMAIN1\mdiSvc01];
"@
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

Configurar a coleta de eventos para servidores de AD FS/AD CS

Se você trabalhar com servidores de AD FS/AD CS, certifique-se de que configurou a auditoria conforme necessário. Para saber mais, veja:

• AD FS:

  • Eventos obrigatórios de Serviços de Federação do Active Directory (AD FS)
  • Configurar auditoria em um Serviço de Federação do Active Directory (AD FS)

• AD CS:

  • Eventos obrigatórios de Serviços de Certificados do Active Directory (AD CS)
  • Configurar auditoria para os Serviços de Certificados do Active Directory (AD CS)

Validar a implantação bem-sucedida em servidores de AD FS/AD CS

Para validar se o sensor do Defender para Identidade foi implantado com êxito em um servidor do AD FS:

1. Verifique se o serviço do sensor da Proteção Avançada contra Ameaças do Azure está em execução. Depois de salvar as configurações do sensor do Defender para Identidade, pode levar alguns segundos para que o serviço seja iniciado.

2. Se o serviço não iniciar, revise o arquivo Microsoft.Tri.sensor-Errors.log, localizado por padrão em: %programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs

3. Use o AD FS ou o AD CS para autenticar um usuário em um aplicativo e verifique se a autenticação foi observada pelo Defender para Identidade.

   Por exemplo, selecione Busca>Busca avançada. No painel Consulta, insira e execute uma das seguintes consultas:

   Para o AD FS:

   IdentityLogonEvents | where Protocol contains 'Adfs'
   

   O painel de resultados deve incluir uma lista de eventos com LogonType como Logon com autenticação do ADFS.

   Para o AD CS:

   IdentityDirectoryEvents | where Protocol == "Adcs"
   

   O painel de resultados deve incluir uma lista de eventos de emissão de certificado com falha e bem-sucedida. Selecione uma linha específica para ver detalhes adicionais no painel esquerdo Inspecionar Registro. Por exemplo:

   

Etapas de pós-instalação para servidores de AD FS/AD CS (opcional)

A instalação do sensor em um servidor do AD FS/ AD CS seleciona automaticamente o controlador de domínio mais próximo. Use as etapas a seguir para verificar ou modificar o controlador de domínio selecionado.

1. No Microsoft Defender XDR, vá para Configurações>Identidades>Sensores para exibir todos os sensores do Defender para Identidade.

2. Localize e selecione o sensor que você instalou em um servidor do AD FS/AD CS.

3. No painel que é aberto, no campo Controlador de Domínio (FQDN), insira o FQDN dos controladores de domínio do resolvedor. Selecione + Adicionar para adicionar o FQDN e, em seguida, selecione Salvar. Por exemplo:

   

A inicialização do sensor pode levar alguns minutos. Nesse momento, o status do serviço do sensor do AD FS/AD CS deve mudar de interrompido para em execução.

Conteúdo relacionado

Para saber mais, veja:

• Pré-requisitos do Microsoft Defender para Identidade
• Instalar o sensor do Microsoft Defender para Identidade