Microsoft Defender para Identidade em Serviços de Federação do Ative Directory (AD FS) (AD FS)

  • Artigo
  • 3 minutos para ler

O Defender for Identity protege o Serviços de Federação do Ative Directory (AD FS) (AD FS) no seu ambiente, detetando ataques no local contra servidores AD FS. Este artigo fornece-lhe um guia de referência rápido para instalar Microsoft Defender para Identidade nos seus servidores Serviços de Federação do Ative Directory (AD FS).

Especificações do servidor

O sensor Defender for Identity suporta a instalação nos servidores Serviços de Federação do Ative Directory (AD FS) (AD FS), como mostra a seguinte tabela:

Versão do Sistema Operativo Servidor com Experiência de Ambiente de Trabalho Server Core Nano Server
Windows Server 2016
Windows Server 2019*

Para obter requisitos de hardware, consulte as especificações do servidor Defender para identidade.

Requisitos da rede

Para que os sensores que executam nos controladores de domínio e FS AD se comuniquem com o serviço de nuvem, tem de abrir a porta 443 nas suas firewalls e proxies para *.atp.azure.com.

Registos de eventos AD FS Windows

Para sensores em execução em servidores AD FS, configuure o nível de auditoria para verbose utilizando o seguinte comando:

Set-AdfsProperties -AuditLevel Verbose

Para obter informações sobre como configurar o nível de auditoria, consulte informações de auditoria do Evento para AD FS. Os seguintes acontecimentos devem ser acompanhados:

  • 1202 - O Serviço da Federação validou uma nova credencial
  • 1203 - O Serviço da Federação não conseguiu validar uma nova credencial
  • 4624 - Uma conta foi iniciada com sucesso
  • 4625 - Uma conta não entrou em sessão

Instalação do sensor

Pré-requisitos

Para as instalações de sensores nos servidores Serviços de Federação do Ative Directory (AD FS) (AD FS), configurar o servidor SQL para permitir que a conta de serviço de Diretório (Serviços> de Direção de Configuração>Username) conecte, faça login, leia e selecione permissões para a base de dados AdfsConfiguration.

Instalar o sensor de Microsoft Defender para Identidade no AD FS

Para obter informações sobre a instalação do sensor Microsoft Defender para Identidade no sensor AD FS, consulte instalar o sensor Defender for Identity.

Etapas de pós-instalação para servidores AD FS

Utilize os seguintes passos para configurar o Defender for Identity uma vez concluída a instalação do sensor num servidor AD FS.

  1. Em Microsoft 365 Defender, vá a Definições e depois identidades.

    Vá para Definições, depois identidades.

  2. Selecione a página Sensores , que exibe todos os sensores Defender para Identidade.

    Lista de sensores de identidade do Defender

  3. Selecione o sensor instalado no servidor AD FS.

  4. No painel que abre, no campo Controlador de Domínio (FQDN), introduza o FQDN dos controladores de domínio resolver, selecione o ícone mais (+)e, em seguida, selecione Save.

    Defender para configurar identidade sensor AD FS resolver

    A inicialização do sensor pode demorar alguns minutos, altura em que o estado de serviço do sensor AD FS deve mudar de parado para funcionar.

AD FS frequentemente fez perguntas

Precisamos de instalar tanto o sensor Defender para identidade como o sensor Defender para Ponto Final nos comandos de domínio ou nos servidores Serviços de Federação do Ative Directory (AD FS) (AD FS)?

Se utilizar ambos os produtos, então para proteger tanto o servidor como o Ative Directory, os dois sensores devem ser instalados.

Como devo proceder para conceder acesso à base de dados AD FS via TSQL ou PowerShell?

Em vez de utilizar SQL Server Management Studio, pode conceder acesso à base de dados AD FS através da TSQL ou através do PowerShell. Por exemplo, se estiver a utilizar o Base de Dados Interna do Windows (WID) ou um servidor SQL externo, estes comandos podem ser úteis.

Para conceder acesso ao sensor à base de dados AD FS utilizando a TSQL:

USE [master]
CREATE LOGIN [DOMAIN1\triservice] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
USE [AdfsConfigurationV4]
CREATE USER [DOMAIN1\triservice] FOR LOGIN [DOMAIN1\triservice]
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\triservice]
GRANT CONNECT TO [DOMAIN1\triservice]
GRANT SELECT TO [DOMAIN1\triservice]
GO

Para conceder acesso ao sensor à base de dados AD FS utilizando o PowerShell:

$ConnectionString = 'server=\\.\pipe\MICROSOFT##WID\tsql\query;database=AdfsConfigurationV4;trusted_connection=true;'
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [DOMAIN1\triservice] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [AdfsConfigurationV4]; 
CREATE USER [DOMAIN1\triservice] FOR LOGIN [DOMAIN1\triservice]; 
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\triservice]; 
GRANT CONNECT TO [DOMAIN1\triservice]; 
GRANT SELECT TO [DOMAIN1\triservice];
"@
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

Nota

  • [DOMAIN1\triservice] - o utilizador de serviços de diretório do espaço de trabalho
  • AdfsConfigurationV4 - o nome da base de dados AD FS (pode variar)
  • servidor=.\pipe\MICROSOFT##WID\tsql\consulta - a cadeia de ligação à base de dados se estiver a utilizar WID
  • Se não conhece a sua cadeia de ligação AD FS, consulte para adquirir a cadeia de ligação SQL.

Ver também