Konfigurera sensorer för AD FS och AD CS

Artikel
02/02/2024

Installera Defender för identitetssensorer på servrarna Active Directory Federation Services (AD FS) (AD FS) och Active Directory Certificate Services (AD CS) för att skydda dem mot lokala attacker.

I den här artikeln beskrivs de steg som krävs när du installerar Defender för identitetssensorer på AD FS- eller AD CS-servrar.

Kommentar

För AD FS-miljöer stöds Defender for Identity-sensorn endast på federationsservrarna och krävs inte på WAP-servrarna (Web Programproxy). För AD CS-miljöer behöver du inte installera sensorn på några AD CS-servrar som är offline.

Förutsättningar

Krav för att installera Defender för identitetssensorer på AD FS- eller AD CS-servrar är desamma som för att installera sensorer på domänkontrollanter. Mer information finns i Krav för Microsoft Defender för identitet.

Dessutom stöder Defender for Identity-sensorn för AD CS endast AD CS-servrar med rolltjänsten certifikatutfärdare.

Konfigurera utförlig loggning för AD FS-händelser

Sensorer som körs på AD FS-servrar måste ha granskningsnivån inställd på Utförlig för relevanta händelser. Använd till exempel följande kommando för att konfigurera granskningsnivån till Utförlig:

Set-AdfsProperties -AuditLevel Verbose

Mer information finns i:

Konfigurera läsbehörigheter för AD FS-databasen

För att sensorer som körs på AD FS-servrar ska ha åtkomst till AD FS-databasen måste du bevilja läsbehörighet (db_datareader) för det relevanta katalogtjänstkontot som konfigurerats.

Om du har fler än en AD FS-server måste du bevilja den här behörigheten för alla eftersom databasbehörigheter inte replikeras mellan servrar.

Konfigurera SQL-servern så att katalogtjänstkontot tillåts med följande behörigheter till databasen AdfsConfiguration:

Ansluta
Logga in
Läsa
Välj

Kommentar

Om AD FS-databasen körs på en dedikerad SQL-server i stället för den lokala AD FS-servern och du använder ett grupphanterat tjänstkonto (gMSA) som Katalogtjänstkonto (DSA) kontrollerar du att du ger SQL-servern de behörigheter som krävs för att hämta gMSA-lösenordet.

Bevilja åtkomst till AD FS-databasen

Bevilja åtkomst till databasen med hjälp av SQL Server Management Studio, TSQL eller PowerShell.

Kommandona nedan kan till exempel vara användbara om du använder Intern Windows-databas (WID) eller en extern SQL-server.

I dessa exempelkoder:

[DOMAIN1\mdiSvc01] är katalogtjänstanvändaren på arbetsytan. Om du arbetar med en gMSA lägger du till en $ i slutet av användarnamnet. Exempel: [DOMAIN1\mdiSvc01$]
AdfsConfigurationV4 är ett exempel på ett AD FS-databasnamn och kan variera
server=.\pipe\MICROSOFT##WID\tsql\query – är anslutningssträng till databasen om du använder WID

Dricks

Om du inte känner till din anslutningssträng följer du stegen i Windows Server-dokumentationen.

Så här ger du sensorn åtkomst till AD FS-databasen med hjälp av TSQL:

USE [master]
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
USE [AdfsConfigurationV4]
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]
GRANT CONNECT TO [DOMAIN1\mdiSvc01]
GRANT SELECT TO [DOMAIN1\mdiSvc01]
GO

Så här ger du sensorn åtkomst till AD FS-databasen med hjälp av PowerShell:

$ConnectionString = 'server=\\.\pipe\MICROSOFT##WID\tsql\query;database=AdfsConfigurationV4;trusted_connection=true;'
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [AdfsConfigurationV4]; 
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]; 
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]; 
GRANT CONNECT TO [DOMAIN1\mdiSvc01]; 
GRANT SELECT TO [DOMAIN1\mdiSvc01];
"@
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

Konfigurera händelseinsamling för AD FS/AD CS-servrar

Om du arbetar med AD FS/AD CS-servrar kontrollerar du att du har konfigurerat granskning efter behov. Mer information finns i:

Verifiera lyckad distribution på AD FS/AD CS-servrar

Verifiera att Defender for Identity-sensorn har distribuerats på en AD FS-server:

Kontrollera att Azure Advanced Threat Protection-sensortjänsten körs. När du har sparat inställningarna för Defender for Identity-sensorn kan det ta några sekunder innan tjänsten startas.
Om tjänsten inte startar granskar du Microsoft.Tri.sensor-Errors.log filen som finns som standard på: %programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs
Använd AD FS eller AD CS för att autentisera en användare till alla program och kontrollera sedan att autentiseringen observerades av Defender för identitet.

Välj till exempel Jakt>avancerad jakt. I fönstret Fråga anger och kör du någon av följande frågor:

För AD FS:
```
IdentityLogonEvents | where Protocol contains 'Adfs'
```
Resultatfönstret bör innehålla en lista över händelser med en inloggningstypmed ADFS-autentisering

För AD CS:
```
IdentityDirectoryEvents | where Protocol == "Adcs"
```
Resultatfönstret bör innehålla en lista över händelser med misslyckade och lyckade certifikatutfärdanden. Välj en specifik rad om du vill se ytterligare information i fönstret Inspektera post till vänster. Till exempel:

Steg efter installationen för AD FS/AD CS-servrar (valfritt)

När du installerar sensorn på en AD FS/AD CS-server väljs automatiskt den närmaste domänkontrollanten. Använd följande steg för att kontrollera eller ändra den valda domänkontrollanten.

I Microsoft Defender XDR går du till Inställningar> Identitetssensorer> för att visa alla dina Defender for Identity-sensorer.
Leta upp och välj den sensor som du installerade på en AD FS/AD CS-server.
I fönstret som öppnas i fältet Domänkontrollant (FQDN) anger du FQDN för matcharens domänkontrollanter. Välj + Lägg till för att lägga till FQDN och välj sedan Spara. Till exempel:

Det kan ta några minuter att initiera sensorn, då statusen för AD FS/AD CS-sensortjänsten ska ändras från stoppad till att köras.