Solução de problemas Microsoft Defender para Identidade problemas conhecidos

Erro de comunicação de falha no sensor

Se você receber o seguinte erro de falha no sensor:

System.Net.Http.HttpRequestException: ocorreu um erro ao enviar a solicitação. >--- System.Net.WebException: não foi possível se conectar ao servidor remoto ---> System.Net.Sockets.SocketException: falha na tentativa de conexão porque a parte conectada não respondeu corretamente após um período de tempo ou a conexão estabelecida falhou porque o host conectado não respondeu...

Resolução:

Verifique se a comunicação não está bloqueada para localhost, porta TCP 444. Para saber mais sobre Microsoft Defender para Identidade pré-requisitos, consulte as portas.

Local do log de implantação

Os logs de implantação do Defender para Identidade estão localizados no diretório temporário do usuário que instalou o produto. O local de instalação padrão é: C:\Usuários\Administrator\AppData\Local\Temp (ou um diretório acima de %temp%). Para obter mais informações, consulte solução de problemas do Defender para Identidade usando logs

Problema de autenticação de proxy apresentado como erro de licenciamento

Se durante a instalação do sensor você receber o seguinte erro: o sensor não foi registrado devido a problemas de licenciamento.

Entradas de log de implantação:

[1C60:1AA8] [2018-03-24T23:59:13]i000: 2018-03-25 02:59:13.1237 Info InteractiveDeploymentManager ValidateCreateSensorAsync retornado [validateCreateSensorResult=LicenseInvalid]] [1C60:1AA8][2018-03-24T23:59:56]i000: 2018-24T23:59:56]i000: 2018-201803-25 02:59:56.4856 Info InteractiveDeploymentManager ValidateCreateSensorAsync retornado [validateCreateSensorResult=LicenseInvalid]] [1C60:1AA8][2018-03-25T00:27:56]i000: 2018-03-25 03:27:56.7399 Debug SensorBootstrapperApplication Engine.Quit [ deploymentResultStatus=1602 isRestartRequired=False]] [1C60:15B8][2018-03-25T00:27:56]i500: Desligamento, código de saída: 0x642

Causa:

Em alguns casos, ao se comunicar por meio de um proxy, durante a autenticação, ele pode responder ao sensor do Defender para Identidade com o erro 401 ou 403 em vez do erro 407. O sensor do Defender para Identidade interpretará o erro 401 ou 403 como um problema de licenciamento e não como um problema de autenticação de proxy.

Resolução:

o sensor deve poder navegar até *.atp.azure.com por meio do proxy configurado sem autenticação. Para obter mais informações, consulte Configurar o proxy para habilitar a comunicação.

Problema de autenticação de proxy apresentado como um erro de conexão

Se o seguinte erro surgir durante a instalação do sensor: O sensor não pôde se conectar ao serviço.

Causa:

O problema pode ser causado quando os certificados de autoridades de certificação raiz confiáveis exigidos pelo Defender para Identidade estão ausentes.

Resolução:

Execute o cmdlet do PowerShell a seguir para verificar se os certificados necessários estão instalados.

No exemplo a seguir, use o certificado "DigiCert Baltimore Root" para todos os clientes. Além disso, use o certificado "DigiCert Global Root G2" para clientes comerciais ou use o certificado "DigiCert Global Root CA" para clientes do GCC High do Governo dos EUA, conforme indicado.

# Certificate for all customers
Get-ChildItem -Path "Cert:\LocalMachine\Root" | where { $_.Thumbprint -eq "D4DE20D05E66FC53FE1A50882C78DB2852CAE474"} | fl

# Certificate for commercial customers
Get-ChildItem -Path "Cert:\LocalMachine\Root" | where { $_.Thumbprint -eq "df3c24f9bfd666761b268073fe06d1cc8d4f82a4"} | fl

# Certificate for US Government GCC High customers
Get-ChildItem -Path "Cert:\LocalMachine\Root" | where { $_.Thumbprint -eq "a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436"} | fl

Saída do certificado para todos os clientes:

Subject      : CN=Baltimore CyberTrust Root, OU=CyberTrust, O=Baltimore, C=IE
Issuer       : CN=Baltimore CyberTrust Root, OU=CyberTrust, O=Baltimore, C=IE
Thumbprint   : D4DE20D05E66FC53FE1A50882C78DB2852CAE474
FriendlyName : DigiCert Baltimore Root
NotBefore    : 5/12/2000 11:46:00 AM
NotAfter     : 5/12/2025 4:59:00 PM
Extensions   : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid}

Saída do certificado para o certificado de clientes comerciais:

Subject      : CN=DigiCert Global Root G2, OU=www.digicert.com, O=DigiCert Inc, C=US
Issuer       : CN=DigiCert Global Root G2, OU=www.digicert.com, O=DigiCert Inc, C=US
Thumbprint   : DF3C24F9BFD666761B268073FE06D1CC8D4F82A4
FriendlyName : DigiCert Global Root G2
NotBefore    : 01/08/2013 15:00:00
NotAfter     : 15/01/2038 14:00:00
Extensions   : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid}

Saída para certificado para clientes do GCC Alta do Governo dos EUA:

Subject      : CN=DigiCert Global Root CA, OU=www.digicert.com, O=DigiCert Inc, C=US
Issuer       : CN=DigiCert Global Root CA, OU=www.digicert.com, O=DigiCert Inc, C=US
Thumbprint   : A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436
FriendlyName : DigiCert
NotBefore    : 11/9/2006 4:00:00 PM
NotAfter     : 11/9/2031 4:00:00 PM
Extensions   : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid}

Se você não vir a saída esperada, use as seguintes etapas:

  1. Baixe os certificados a seguir no computador Server Core. Para todos os clientes, baixe o certificado raiz do Baltimore CyberTrust .

    Além disso:

  2. Execute o cmdlet do PowerShell a seguir para instalar o certificado.

    # For all customers, install certificate
    Import-Certificate -FilePath "<PATH_TO_CERTIFICATE_FILE>\bc2025.crt" -CertStoreLocation Cert:\LocalMachine\Root
    
    # For commercial customers, install certificate
    Import-Certificate -FilePath "<PATH_TO_CERTIFICATE_FILE>\DigiCertGlobalRootG2.crt" -CertStoreLocation Cert:\LocalMachine\Root
    
    # For US Government GCC High customers, install certificate
    Import-Certificate -FilePath "<PATH_TO_CERTIFICATE_FILE>\DigiCertGlobalRootCA.crt" -CertStoreLocation Cert:\LocalMachine\Root
    

Erro de instalação silenciosa ao tentar usar o PowerShell

Se durante a instalação silenciosa do sensor você tentar usar o PowerShell e receber o seguinte erro:

"Azure ATP sensor Setup.exe" "/quiet" NetFrameworkCommandLineArguments="/q" Acce ... Unexpected token '"/quiet"' in expression or statement."

Causa:

A falha ao incluir o prefixo ./ necessário para instalar ao usar o PowerShell causa esse erro.

Resolução:

use o comando completo para instalar com êxito.

./"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"

Problema de agrupamento de NIC do sensor do Defender para Identidade

Se você tentar instalar o sensor do Defender para Identidade em um computador configurado com um adaptador Agrupamento NIC, receberá um erro de instalação. Se você quiser instalar o sensor do Defender para Identidade em um computador configurado com o agrupamento nic, implante o driver Npcap seguindo as instruções aqui.

Modo Grupo de multiprocessadores

Para Windows Sistemas operacionais 2008R2 e 2012, o Sensor do Defender para Identidade não tem suporte em um modo de grupo de vários processadores.

Soluções alternativas possíveis sugeridas:

  • Se o Hyper Threading estiver ativado, desative-o. Isso pode reduzir o número de núcleos lógicos o suficiente para evitar a necessidade de execução no modo Grupo de multiprocessadores.

  • Se o computador tiver menos de 64 núcleos lógicos e estiver em execução em um host HP, você poderá alterar a configuração de BIOS de Otimização de Tamanho de Grupo NUMA do padrão clusterizado para simples.

Microsoft Defender para Ponto de Extremidade problema de integração

O Defender para Identidade permite integrar o Defender para Identidade ao Microsoft Defender para Ponto de Extremidade. Consulte Integrar o Defender para Identidade com Microsoft Defender para Ponto de Extremidade para obter mais informações.

Problema de sensor da Máquina Virtual VMware

Se você tiver um sensor do Defender para Identidade em máquinas virtuais VMware, poderá receber o alerta de integridade Algum tráfego de rede não está sendo analisado. Isso pode ocorrer devido a uma incompatibilidade de configuração no VMware.

Para resolver o problema:

No sistema operacional convidado, defina o seguinte como Desabilitado na configuração nic da máquina virtual: descarregamento de TSO IPv4.

VMware sensor issue.

Use o seguinte comando para verificar se o LSO (Descarregamento de Envio Grande) está habilitado ou desabilitado:

Get-NetAdapterAdvancedProperty | Where-Object DisplayName -Match "^Large*"

Check LSO status.

Se o LSO estiver habilitado, use o seguinte comando para desabilitá-lo:

Disable-NetAdapterLso -Name {name of adapter}

Disable LSO status.

Observação

  • Dependendo da configuração, essas ações podem causar uma breve perda de conectividade de rede.
  • Talvez seja necessário reiniciar o computador para que essas alterações entrem em vigor.
  • Essas etapas podem variar dependendo da sua versão do VMWare. Verifique a documentação do VMWare para obter informações sobre como desabilitar o LSO/TSO para sua versão do VMWare.

Falha no sensor ao recuperar credenciais de gMSA (conta de serviço gerenciado de grupo)

Se você receber o seguinte alerta de integridade: As credenciais de usuário dos serviços de diretório estão incorretas

Entradas de log do sensor:

2020-02-17 14:01:36.5315 Info ImpersonationManager CreateImpersonatorAsync started [UserName=account_name Domain=domain1.test.local IsGroupManagedServiceAccount=True] 2020-02-17 14:01:36.5750 Info ImpersonationManager CreateImpersonatorAsync finished [UserName=account_name Domain=domain1.test.local IsSuccess=False]

Entradas de log do Atualizador do Sensor:

2020-02-17 14:02:19.6258 Warn GroupManagedServiceAccountImpersonationHelper GetGroupManagedServiceAccountAccessTokenAsync failed GMSA password could not be retrieved [errorCode=AccessDenied AccountName=account_name DomainDnsName=domain1.test.local]

O sensor não conseguiu recuperar a senha da conta gMSA.

Causa 1

O controlador de domínio não recebeu permissão para recuperar a senha da conta gMSA.

Resolução 1:

Valide se o computador que executa o sensor recebeu permissões para recuperar a senha da conta gMSA. Para obter mais informações, consulte Como conceder as permissões para recuperar a senha da conta gMSA.

Causa 2

O serviço de sensor é executado como LocalService e executa a representação da conta de serviços de diretório.

Se a política de atribuição de direitos de usuário Fazer logon como um serviço estiver configurada para este controlador de domínio, a representação falhará, a menos que a conta gMSA tenha a permissão Fazer logon como um serviço.

Resolução 2:

Configure o Logon como um serviço para as contas gMSA, quando a política de atribuição de direitos de usuário fazer logon como um serviço estiver configurada no controlador de domínio afetado. Para obter mais informações, consulte Verificar se a conta gMSA tem os direitos necessários (se necessário).

Causa 3

Se o tíquete Kerberos do controlador de domínio tiver sido emitido antes de o controlador de domínio ser adicionado ao grupo de segurança com as permissões adequadas, esse grupo não fará parte do tíquete Kerberos. Portanto, ele não poderá recuperar a senha da conta gMSA.

Resolução 3:

Faça um dos seguintes procedimentos para resolver esse problema:

  • Reinicialize o controlador de domínio.

  • Limpe o tíquete Kerberos, forçando o controlador de domínio a solicitar um novo tíquete Kerberos. Em um prompt de comando de administrador no controlador de domínio, execute o seguinte comando:

    klist -li 0x3e7 purge

  • Atribua a permissão para recuperar a senha do gMSA a um grupo do qual o controlador de domínio já é membro, como o grupo Controladores de Domínio.

O serviço do sensor falhou ao iniciar

Entradas de log do sensor:

O Warn DirectoryServicesClient CreateLdapConnectionAsync falhou ao recuperar a senha da conta de serviço gerenciada do grupo. [DomainControllerDnsName=DC1. CONTOSO. LOCAL Domain=contoso.local UserName=AATP_gMSA]

Causa:

O controlador de domínio não recebeu direitos para acessar a senha da conta gMSA.

Resolução:

Verifique se o controlador de domínio recebeu direitos para acessar a senha. Você deve ter um Grupo de Segurança no Active Directory com o controlador de domínio e sensores autônomos incluídos. Se isso não existir, recomendamos que você crie um.

Você pode usar o comando a seguir para verificar se o computador ou grupo de segurança foi adicionado ao parâmetro. Substitua AccountName pelo nome que você criou.

Get-ADServiceAccount AccountName -Properties PrincipalsAllowedToRetrieveManagedPassword

O resultado deve parecer com o seguinte:

Powershell results.

Neste exemplo, podemos ver que o controlador de domínio AATPDemo foi adicionado. Se o controlador de domínio ou o grupo de segurança não tiver sido adicionado, podemos usar o comando a seguir abaixo para adicioná-lo. Substitua Host1 pelo nome do controlador de domínio ou pelo nome do grupo de segurança.

Set-ADServiceAccount gmsaAccountName -PrincipalsAllowedToRetrieveManagedPassword Host1

Se o controlador de domínio ou o grupo de segurança já estiver adicionado, mas você ainda estiver vendo o erro, poderá tentar as seguintes etapas:

  • Opção 1: Reinicializar o servidor para sincronizar as alterações recentes
  • Opção 2:
    1. Parar AATPSensor e AATPSensorUpdater
    2. Conta de serviço de cache para o servidor: Install-ADServiceAccount AccountName
    3. Iniciar o AATPSensor

O acesso à chave do Registro 'Global' foi negado

O serviço de sensor não é iniciado e o log do sensor contém uma entrada semelhante a:

2021-01-19 03:45:00.0000 Error RegistryKey System.UnauthorizedAccessException: Access to the registry key 'Global' is denied.

Causa:

O gMSA configurado para esse controlador de domínio ou servidor AD FS não tem permissões para as chaves do Registro do contador de desempenho.

Resolução:

Adicione o gMSA ao grupo Monitor de Desempenho Usuários no servidor.

Downloads de relatório não podem conter mais de 300.000 entradas

O Defender para Identidade não dá suporte a downloads de relatório que contêm mais de 300.000 entradas por relatório. Os relatórios serão renderizados como incompletos se mais de 300.000 entradas forem incluídas.

Causa:

essa é uma limitação de engenharia.

Resolução:

Não há solução conhecida.

O sensor falha ao enumerar logs de eventos

Se você observar um número limitado ou a falta de alertas de evento de segurança ou atividades lógicas no console do Defender para Identidade, mas nenhum alerta de integridade for disparado.

Entradas de log do sensor:

Erro EventLogException System.Diagnostics.Eventing.Reader.EventLogException: o identificador é inválido em void System.Diagnostics.Eventing.Reader.EventLogException.Throw(int errorCode) at object System.Diagnostics.Eventing.Reader.NativeWrapper.EvtGetEventInfo(EventLogHandle handle, EvtEventPropertyId enumType) at string System.Diagnostics.Eventing.Reader.EventLogRecord.get_ContainerLog()

Causa:

Uma Lista de Controle de Acesso Discricionária está limitando o acesso aos logs de eventos necessários pela conta do Serviço Local.

Resolução:

Verifique se a Lista de Controle de Acesso Discricionária inclui a seguinte entrada:

(A;;0x1;;;S-1-5-80-818380073-2995186456-1411405591-3990468014-3617507088)

Falha no ApplyInternal na conexão SSL bidirecional com o erro de serviço

Se durante a instalação do sensor você receber o seguinte erro: Falha no ApplyInternal na conexão SSL bidirecional com o serviço e o log do sensor contém uma entrada semelhante a:

2021-01-19 03:45:00.0000 Error CommunicationWebClient+<SendWithRetryAsync>d__9'1 ApplyInternal falhou na conexão SSL bidirecional com o serviço. O problema pode ser causado por um proxy com a inspeção SSL habilitada. [_workspaceApplicationSensorApiEndpoint=Unspecified/contoso.atp.azure.com:443 Thumbprint=7C039DA47E81E51F3DA3DF3DA7B5E1899B5B4AD0]

Causa:

O problema pode ser causado quando os valores de registro SystemDefaultTlsVersions ou SchUseStrongCrypto não são definidos como o valor padrão de 1.

Resolução:

Verifique se os valores do registro SystemDefaultTlsVersions e SchUseStrongCrypto estão definidos como 1:

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319] 
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
 
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

Problema ao instalar o sensor no Windows Server 2019 com KB5009557 instalado ou em um servidor com permissões de EventLog protegidas

A instalação do sensor pode falhar com a mensagem de erro:

System.UnauthorizedAccessException: Attempted to perform an unauthorized operation.

Resolução:

Há duas soluções alternativas possíveis para esse problema:

  1. Instale o sensor com PSExec:

    psexec -s -i "C:\MDI\Azure ATP Sensor Setup.exe"
    
  2. Instale o sensor com uma Tarefa Agendada configurada para ser executada como LocalSystem. A sintaxe de linha de comando a ser usada é mencionada na instalação silenciosa do sensor do Defender para Identidade.

Consulte Também