Настройка датчиков для AD FS, AD CS и Microsoft Entra Connect

Установите датчики Defender для удостоверений на службы федерации Active Directory (AD FS) (AD FS), службы сертификатов Active Directory (AD CS) и серверы Microsoft Entra Connect, чтобы защитить их от локальных и гибридных атак. В этой статье описаны этапы установки.

Эти рекомендации применяются:

  • Для сред AD FS датчики Defender для удостоверений поддерживаются только на серверах федерации. Они не требуются на серверах прокси веб-приложения (WAP).
  • Для сред CS AD не требуется устанавливать датчики на серверах AD CS, которые находятся в автономном режиме.
  • Для серверов Microsoft Entra Connect необходимо установить датчики как на активных, так и на промежуточных серверах.

Необходимые компоненты

Предварительные требования для установки датчиков Defender для удостоверений на серверах AD FS, AD CS или Microsoft Entra Connect совпадают с установкой датчиков на контроллерах домена. Дополнительные сведения см. в Microsoft Defender для удостоверений предварительных требований.

Датчик, установленный на сервере AD FS, AD CS или Microsoft Entra Connect, не может использовать локальную учетную запись службы для подключения к домену. Вместо этого необходимо настроить учетную запись службы каталогов.

Кроме того, датчик Defender для удостоверений для AD CS поддерживает только серверы AD CS со службой ролей центра сертификации.

Настройка коллекции событий

Если вы работаете с серверами AD FS, AD CS или Microsoft Entra Connect, убедитесь, что при необходимости настроен аудит. Дополнительные сведения см. в разделе:

Настройка разрешений на чтение для базы данных AD FS

Чтобы датчики, работающие на серверах AD FS, имели доступ к базе данных AD FS, необходимо предоставить разрешения на чтение (db_datareader) для соответствующей учетной записи службы каталогов.

Если у вас несколько серверов AD FS, обязательно предоставьте это разрешение для всех этих серверов. Разрешения базы данных не реплицируются на серверах.

Настройте SQL Server, чтобы разрешить учетную запись службы каталогов со следующими разрешениями для базы данных AdfsConfiguration :

  • connect
  • Войти
  • чтение
  • select

Примечание.

Если база данных AD FS выполняется на выделенном сервере SQL, а не на локальном сервере AD FS, и вы используете групповую управляемую учетную запись службы (gMSA) в качестве учетной записи службы каталогов, убедитесь, что вы предоставляете серверу SQL Server необходимые разрешения для получения пароля gMSA.

Предоставление доступа к базе данных AD FS

Предоставьте доступ к базе данных AD FS с помощью SQL Server Management Studio, Transact-SQL (T-SQL) или PowerShell.

Например, следующие команды могут оказаться полезными, если вы используете внутренняя база данных Windows (WID) или внешний СЕРВЕР SQL Server.

В следующих примерах кодов:

  • [DOMAIN1\mdiSvc01] — это пользователь служб каталогов рабочей области. Если вы работаете с gMSA, добавьте $ его в конец имени пользователя. Например: [DOMAIN1\mdiSvc01$].
  • AdfsConfigurationV4 пример имени базы данных AD FS и может отличаться.
  • server=\.\pipe\MICROSOFT##WID\tsql\query— это строка подключения в базу данных, если вы используете WID.

Совет

Если вы не знаете строка подключения, выполните действия, описанные в документации по Windows Server.

Чтобы предоставить датчику доступ к базе данных AD FS с помощью T-SQL:

USE [master]
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
USE [AdfsConfigurationV4]
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]
GRANT CONNECT TO [DOMAIN1\mdiSvc01]
GRANT SELECT TO [DOMAIN1\mdiSvc01]
GO

Чтобы предоставить датчику доступ к базе данных AD FS с помощью PowerShell:

$ConnectionString = 'server=\\.\pipe\MICROSOFT##WID\tsql\query;database=AdfsConfigurationV4;trusted_connection=true;'
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [AdfsConfigurationV4]; 
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]; 
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]; 
GRANT CONNECT TO [DOMAIN1\mdiSvc01]; 
GRANT SELECT TO [DOMAIN1\mdiSvc01];
"@
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

Настройка разрешений для базы данных Microsoft Entra Connect (ADSync)

Примечание.

Этот раздел применим только в том случае, если база данных Entra Connect размещена во внешнем экземпляре SQL Server.

Датчики, работающие на серверах Microsoft Entra Connect, должны иметь доступ к базе данных ADSync и иметь разрешения на выполнение соответствующих хранимых процедур. Если у вас несколько серверов Microsoft Entra Connect, убедитесь, что все они выполняются.

Чтобы предоставить разрешения датчика базе данных Microsoft Entra Connect ADSync с помощью PowerShell:

$entraConnectServerDomain = $env:USERDOMAIN
$entraConnectServerComputerAccount = $env:COMPUTERNAME
$entraConnectDBName = (Get-ItemProperty 'registry::HKLM\SYSTEM\CurrentControlSet\Services\ADSync\Parameters' -Name 'DBName').DBName
$entraConnectSqlServer = (Get-ItemProperty 'registry::HKLM\SYSTEM\CurrentControlSet\Services\ADSync\Parameters' -Name 'Server').Server
$entraConnectSqlInstance = (Get-ItemProperty 'registry::HKLM\SYSTEM\CurrentControlSet\Services\ADSync\Parameters' -Name 'SQLInstance').SQLInstance

$ConnectionString = 'server={0}\{1};database={2};trusted_connection=true;' -f $entraConnectSqlServer, $entraConnectSqlInstance, $entraConnectDBName
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [{0}\{1}$] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [{2}];
CREATE USER [{0}\{1}$] FOR LOGIN [{0}\{1}$];
GRANT CONNECT TO [{0}\{1}$];
GRANT SELECT TO [{0}\{1}$];
GRANT EXECUTE ON OBJECT::{2}.dbo.mms_get_globalsettings TO [{0}\{1}$];
GRANT EXECUTE ON OBJECT::{2}.dbo.mms_get_connectors TO [{0}\{1}$];
"@ -f $entraConnectServerDomain, $entraConnectServerComputerAccount, $entraConnectDBName
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

Шаги после установки (необязательно)

Во время установки датчика на сервере AD FS, AD CS или Microsoft Entra Connect ближайший контроллер домена автоматически выбирается. Чтобы проверить или изменить выбранный контроллер домена, выполните следующие действия.

  1. В Microsoft Defender XDR перейдите к >датчикам параметров удостоверений>, чтобы просмотреть все датчики Defender для удостоверений.

  2. Найдите и выберите датчик, установленный на сервере.

  3. На открывающейся панели в поле контроллера домена (FQDN) введите полное доменное имя (FQDN) контроллеров домена сопоставителя. Нажмите кнопку +Добавить, чтобы добавить полное доменное имя, а затем нажмите кнопку "Сохранить".

    Снимок экрана: выбор для настройки сопоставителя датчика службы федерации Active Directory (AD FS) в Defender для удостоверений.

Инициализация датчика может занять несколько минут. После завершения работы состояние службы AD FS, AD CS или Датчик Microsoft Entra Connect перестает работать.

Проверка успешного развертывания

Чтобы проверить успешность развертывания датчика Defender для удостоверений на сервере AD FS или AD CS, выполните следующие действия.

  1. Убедитесь, что служба датчика Расширенной защиты от угроз Azure запущена. После сохранения параметров датчика Defender для удостоверений может потребоваться несколько секунд для запуска службы.

  2. Если служба не запускается, просмотрите файл, расположенный Microsoft.Tri.sensor-Errors.log по умолчанию %programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs.

  3. Используйте AD FS или AD CS для проверки подлинности пользователя в любом приложении, а затем убедитесь, что Defender для удостоверений наблюдал проверку подлинности.

    Например, выберите "Охота>расширенной охоты". На панели запросов введите и выполните один из следующих запросов:

    • Для AD FS:

      IdentityLogonEvents | where Protocol contains 'Adfs'
      

      Область результатов должна содержать список событий со значением LogonType для входа с проверкой подлинности ADFS.

    • Для AD CS:

      IdentityDirectoryEvents | where Protocol == "Adcs"
      

      В области результатов отображается список событий сбоя и успешной выдачи сертификата. Выберите определенную строку, чтобы просмотреть дополнительные сведения на панели "Проверка записей ".

      Снимок экрана: результаты запроса расширенного поиска служб сертификатов Active Directory.

Дополнительные сведения см. в разделе: