Installieren eines Microsoft Defender for Identity-Sensors

In diesem Artikel wird beschrieben, wie Sie einen Microsoft Defender for Identity-Sensor installieren, einschließlich eines eigenständigen Sensors. Die Standardempfehlung ist die Verwendung der Benutzeroberfläche. Allerdings:

Voraussetzungen

Stellen Sie zunächst sicher, dass Sie über Folgendes verfügen:

Installieren des Sensors mithilfe der Benutzeroberfläche

Führen Sie die folgenden Schritte auf dem Domänencontroller, einem Active Directory-Verbunddienste-(AD FS-) oder auf Active Directory Certificate Services-(AD CS-)Server aus.

  1. Stellen Sie sicher, dass der Computer mit den relevanten Endpunkten des Defender for Identity-Clouddienstendpunkte verbunden ist.

  2. Extrahieren Sie die Dateien aus der ZIP-Datei. Die direkte Installation aus der ZIP-Datei schlägt fehl.

  3. Führen Sie azure ATP sensor setup.exe mit erhöhten Berechtigungen (Als Administrator ausführen) aus, und folgen Sie dem Setup-Assistenten.

  4. Wählen Sie auf der Willkommensseite eine Sprache, und klicken Sie auf Weiter.

    Screenshot: Sprachauswahl bei der Installation des eigenständigen Defender for Identity-Sensors

    Der Installations-Assistent überprüft automatisch, ob der Server ein Domänencontroller, ein AD FS-Server, ein AD CS-Server oder ein dedizierter Server ist. Der Servertyp bestimmt den Sensortyp:

    • Wenn der Server ein Domänencontroller / AD FS-Server / AD CS-Server ist, ist der Defender for Identity-Sensor installiert.
    • Wenn es sich um einen dedizierten Server handelt, wird der eigenständige Defender for Identity-Sensor installiert.

    Der Assistent zeigt beispielsweise die folgende Seite an, um anzugeben, dass ein Defender for Identity-Sensor auf Domänencontrollern installiert ist.

    Screenshot der Seite, die den Sensorbereitstellungstyp identifiziert.

  5. Wählen Sie Weiter aus.

    Der Assistent gibt eine Warnung wird aus, wenn der Domänencontroller / AD FS-Server / AD CS oder der dedizierte Server nicht die Mindestanforderungen an die Hardware für die Installation erfüllt.

    Die Warnung verhindert nicht, dass Sie "Weiter" auswählen und mit der Installation fortfahren. Dies ist möglicherweise weiterhin die richtige Option. Sie benötigen beispielsweise weniger Speicherplatz für die Datenspeicherung, wenn Sie eine kleine Testumgebung für Labore installieren.

    Für Produktionsumgebungen wird empfohlen, mit dem Defender for Identity-Dimensionierungstool zu arbeiten, um sicherzustellen, dass Domänencontroller oder dedizierte Server den nötigen Kapazitätsanforderungen entsprechen.

  6. Geben Sie auf der Seite Sensor konfigurieren die folgenden Informationen für das Setuppaket ein:

    • Installationspfad: Der Speicherort, an dem der Defender for Identity-Sensor installiert ist. Der Standardpfad lautet %programfiles%\Azure Advanced Threat Protection sensor. Behalten Sie den Standardwert bei.
    • Zugriffsschlüssel: Wird im vorherigen Schritt aus dem Defender for Identity-Portal abgerufen.

    Screenshot: Assistentenseite für die Konfiguration des Defender for Identity-Sensors

  7. Wählen Sie Installieren aus. Die folgenden Komponenten werden während der Installation des Defender for Identity-Sensors installiert und konfiguriert:

    • Defender for Identity Sensor Updater Service startet den Defender for Identity Sensor Service neu

    • Npcap OEM Version 1.0

      Wichtig

      Npcap OEM Version 1.0 wird automatisch installiert, wenn keine andere Version von Npcap vorhanden ist. Wenn Sie Npcap aufgrund anderer Softwareanforderungen oder aus anderen Gründen bereits installiert haben, müssen Sie sicherstellen, dass es sich um Version 1.0 oder höher handelt und dass es mit den erforderlichen Einstellungen für Defender for Identity installiert wurden.

Anzeigen von Sensorversionen

Ab Sensor Version 2.176 wird bei der Installation des Sensors aus einem neuen Paket die Version des Sensors unter Programme hinzufügen/entfernen mit der vollständigen Versionsnummer angezeigt, z. B. 2.176.x.y, anstatt der statischen 2.0.0.0, die zuvor angezeigt wurde.

Die installierte Version wird auch nach der Ausführung automatischer Updates von den Defender for Identity-Clouddiensten weiterhin angezeigt.

Zeigen Sie die reale Version des Sensors auf der Microsoft Defender XDR-Sensoreinstellungsseite, im ausführbaren Pfad oder in der Dateiversion an.

Automatische Installation des Defender for Identity-Sensors durchführen

Die automatische Installation von Defender for Identity-Sensoren ist so konfiguriert, dass der Server bei Bedarf automatisch neu gestartet wird.

Planen Sie eine automatische Installation nur während eines Wartungsfensters. Aufgrund eines Windows Installer-Fehlers kann das norestart-Flag nicht zuverlässig verwendet werden, um sicherzustellen, dass der Server nicht neu gestartet wird.

Um den Bereitstellungsfortschritt nachzuverfolgen, überwachen Sie die Defender for Identity-Installationsprotokolle in %localappdata%\Temp.

Automatische Installation über ein Bereitstellungssystem

Wenn Sie den Defender for Identity-Sensor im Hintergrund über den System Center Configuration Manager oder ein anderes Softwarebereitstellungssystem bereitstellen, empfehlen wir das Erstellen von zwei Bereitstellungspaketen:

  • .NET Framework 4.7 oder höher, das u. U. den Neustart des Domänencontrollers umfassen kann
  • Defender for Identity-Sensor

Machen Sie das Defender for Identity-Sensorpaket abhängig von der Bereitstellung der .NET Framework-Paketbereitstellung. Holen Sie sich bei Bedarf das Offline-Bereitstellungspaket für .NET Framework 4.7.

Befehle zum Ausführen einer automatischen Installation

Verwenden Sie die folgenden Befehle, um eine vollständig automatische Installation des Defender for Identity-Sensors auszuführen, indem Sie den in einem vorherigen Schritt kopierten Zugriffsschlüssel verwenden.

cmd.exe Syntax

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"

PowerShell-Syntax

.\"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"

Hinweis

Wenn Sie die PowerShell-Syntax verwenden, führt das Auslassen des Vorworts zu einem Fehler, der .\ die automatische Installation verhindert.

Installationsoptionen

Name Syntax Obligatorisch für die stille Installation? Beschreibung
Quiet /quiet Ja Führt das Installationsprogramm aus, ohne die Benutzeroberfläche oder die Eingabeaufforderungen anzuzeigen.
Help /help No Bietet Hilfe und Schnellreferenz. Displays the correct use of the setup command, including a list of all options and behaviors.
NetFrameworkCommandLineArguments="/q" NetFrameworkCommandLineArguments="/q" Ja Gibt die Parameter für die .NET Framework-Installation an. Muss festgelegt sein, um die automatische Installation von .NET Framework zu erzwingen.

Installationsparameter

Name Syntax Obligatorisch für die stille Installation? Beschreibung
InstallationPath InstallationPath="" No Legt den Pfad für die Installation von Binärdateien des Defender for Identity-Sensoren fest. Standardpfad: %programfiles%\Azure Advanced Threat Protection Sensor
AccessKey AccessKey="\*\*" Ja Legt den Zugriffsschlüssel fest, der zum Registrieren des Defender for Identity-Sensors beim Defender for Identity-Arbeitsbereich verwendet wird.
AccessKeyFile AccessKeyFile="" No Legt den Zugriffsschlüssel des Arbeitsbereichs aus dem bereitgestellten Textdateipfad fest.
DelayedUpdate DelayedUpdate=true No Legt den Updatemechanismus des Sensors fest, um das Update 72 Stunden ab der offiziellen Veröffentlichung jedes Dienstupdates zu verzögern. Weitere Informationen finden Sie unter Verzögertes Sensor-Update.
LogsPath LogsPath="" No Legt den Pfad für die Defender for Identity-Sensorprotokolle fest. Standardpfad: %programfiles%\Azure Advanced Threat Protection Sensor

Beispiele

Verwenden Sie die folgenden Befehle, um den Defender for Identity-Sensor automatisch zu installieren:

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<access key value>"
"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKeyFile="C:\Path\myAccessKeyFile.txt"

Befehl zum Ausführen einer automatischen Installation mit einer Proxykonfiguration

Verwenden Sie den folgenden Befehl, um Ihren Proxy zusammen mit einer automatischen Installation zu konfigurieren:

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [ProxyUrl="http://proxy.internal.com"] [ProxyUserName="domain\proxyuser"] [ProxyUserPassword="ProxyPassword"]`

Hinweis

Wenn Sie Ihren Proxy zuvor mithilfe von Legacyoptionen konfiguriert haben, einschließlich WinINet oder einer Aktualisierung eines Registrierungsschlüssels, müssen Sie alle Änderungen mit der gleichen Methode vornehmen, die Sie ursprünglich verwendet haben. Weitere Informationen finden Sie unter Ändern der Proxykonfiguration mithilfe von Legacymethoden.

Installationsparameter

Name Syntax Obligatorisch für die stille Installation? Beschreibung
ProxyUrl ProxyUrl="http://proxy.contoso.com:8080" No Gibt die Proxy-URL und die Portnummer für den Defender for Identity-Sensor an.
ProxyUserName ProxyUserName="Contoso\ProxyUser" No Wenn Ihr Proxydienst eine Authentifizierung erfordert, definieren Sie einen Benutzernamen im DOMAIN\user Format.
ProxyUserPassword ProxyUserPassword="P@ssw0rd" No Gibt das Kennwort für Ihren Proxybenutzernamen an.

Anmeldeinformationen werden vom Defender for Identity-Sensor verschlüsselt und lokal gespeichert.

Tipp

Wenn Sie Ihre Proxyeinstellungen später aktualisieren müssen, verwenden Sie PowerShell oder Azure CLI. Weitere Informationen finden Sie unter Konfigurieren der Endpunkt-Proxy- und Internetverbindungseinstellungen. Es wird empfohlen, einen benutzerdefinierten DNS A-Eintrag für den Proxyserver zu erstellen und zu verwenden. Sie können diesen Eintrag dann verwenden, um die Adresse des Proxyservers bei Bedarf zu ändern und die hosts-Datei zu Testzwecken zu verwenden.

Nachdem Sie einen Sensor installiert haben, können Sie zusätzliche Schritte ausführen:

Nächster Schritt