Microsoft Defender para Identidade no Serviços de Federação do Active Directory (AD FS) (AD FS)

O Defender para Identidade protege o AD FS (Serviços de Federação do Active Directory (AD FS)) em seu ambiente detectando ataques locais contra servidores do AD FS. Este artigo fornece um guia de referência rápida para instalar Microsoft Defender para Identidade em seus servidores Serviços de Federação do Active Directory (AD FS).

Especificações do servidor

O sensor do Defender para Identidade dá suporte à instalação em servidores do AD FS (Serviços de Federação do Active Directory (AD FS)), conforme mostrado na tabela a seguir:

Versão do Sistema Operacional Servidor com Experiência Desktop Server Core Nano Server
Windows Server 2016
Windows Server 2019*

Para obter requisitos de hardware, consulte as especificações do servidor Defender para Identidade.

Requisitos de rede

Para que os sensores em execução nos controladores de domínio e no AD FS se comuniquem com o serviço de nuvem, será necessário abrir a porta 443 para o *.atp.azure.com nos firewalls e proxies.

Logs de eventos do Windows do AD FS

Para sensores em execução em servidores do AD FS, configure o nível de auditoria para Detalhado usando o seguinte comando:

Set-AdfsProperties -AuditLevel Verbose

Para obter informações sobre como configurar o nível de auditoria, confira Informações de auditoria de eventos para AD FS. Os seguintes eventos devem ser acompanhados:

  • 1202 – o Serviço de Federação validou uma nova credencial
  • 1203 – o Serviço de Federação falhou na validação de uma nova credencial
  • 4624 – logon de uma conta feito com êxito
  • 4625 – falha no logon de uma conta

Instalando o sensor

Pré-requisitos

Para executar instalações de sensores em servidores do AD FS (Serviços de Federação do Active Directory), configure o SQL Server para permitir que a conta de Serviço de diretório (Configuração>Serviços de diretório>Nome de usuário) tenha opções de conexão, entrada e leitura, bem como possa selecionar permissões para acessar o banco de dados AdfsConfiguration.

Instalando o sensor Microsoft Defender para Identidade no AD FS

Para obter informações sobre como instalar o sensor Microsoft Defender para Identidade no sensor do AD FS, consulte Instalar o sensor defender para identidade.

Etapas de pós-instalação para servidores do AD FS

Use as etapas a seguir para configurar o Microsoft Defender para Identidade depois de concluir a instalação do sensor em um servidor do AD FS.

  1. Em Microsoft 365 Defender, vá para Configurações e identidades.

    Vá para Configurações e, em seguida, Identidades.

  2. Selecione a página Sensores , que exibe todos os sensores do Defender para Identidade.

    Lista de sensores do Defender para Identidade

  3. Selecione o sensor instalado no servidor do AD FS.

  4. No painel aberto, no campo Controlador de Domínio (FQDN ), insira o FQDN dos controladores de domínio do resolvedor e selecione o ícone de adição (+) e, em seguida, selecione Salvar.

    Resolvedor de sensor para configuração do AD FS do Defender para Identidade

    Inicializar o sensor poderá levar alguns minutos. Nesse momento, o status do serviço do sensor do AD FS deverá mudar de interrompido para em execução.

Perguntas frequentes do AD FS

Precisamos instalar o sensor do Defender para Identidade e o sensor do Defender para Ponto de Extremidade em controladores de domínio ou servidores do AD FS (Serviços de Federação do Active Directory (AD FS))?

Se você usar ambos os produtos, para proteger o servidor e o Active Directory, os dois sensores deverão ser instalados.

Como fazer conceder acesso ao banco de dados do AD FS por meio do TSQL ou do PowerShell?

Em vez de usar SQL Server Management Studio, você pode conceder acesso ao banco de dados do AD FS por meio do TSQL ou por meio do PowerShell. Por exemplo, se você estiver usando o BANCO DE DADOS INTERNO DO WINDOWS (WID) ou um SQL Server externo, esses comandos poderão ser úteis.

Para conceder acesso ao sensor para o banco de dados do AD FS usando o TSQL:

USE [master]
CREATE LOGIN [DOMAIN1\triservice] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
USE [AdfsConfigurationV4]
CREATE USER [DOMAIN1\triservice] FOR LOGIN [DOMAIN1\triservice]
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\triservice]
GRANT CONNECT TO [DOMAIN1\triservice]
GRANT SELECT TO [DOMAIN1\triservice]
GO

Para conceder acesso ao sensor ao banco de dados do AD FS usando o PowerShell:

$ConnectionString = 'server=\\.\pipe\MICROSOFT##WID\tsql\query;database=AdfsConfigurationV4;trusted_connection=true;'
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [DOMAIN1\triservice] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [AdfsConfigurationV4]; 
CREATE USER [DOMAIN1\triservice] FOR LOGIN [DOMAIN1\triservice]; 
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\triservice]; 
GRANT CONNECT TO [DOMAIN1\triservice]; 
GRANT SELECT TO [DOMAIN1\triservice];
"@
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

Observação

  • [DOMAIN1\triservice] – o usuário de serviços de diretório do workspace
  • AdfsConfigurationV4 - o nome do banco de dados do AD FS (pode variar)
  • server=.\pipe\MICROSOFT##WID\tsql\query - a cadeia de conexão para o banco de dados se você estiver usando WID
  • Se você não souber sua cadeia de conexão do AD FS, consulte Para adquirir a cadeia de conexão SQL.

Confira também