AD FS, AD CS ve Microsoft Entra Connect için algılayıcıları yapılandırma

Active Directory Federasyon Hizmetleri (AD FS) (AD FS), Active Directory Sertifika Hizmetleri (AD CS) ve Microsoft Entra Connect sunucularına Kimlik için Defender algılayıcılarını yükleyerek şirket içi ve karma saldırılardan korunmasına yardımcı olun. Bu makalede yükleme adımları açıklanmaktadır.

Dikkat edilmesi gerekenler şunlardır:

  • AD FS ortamlarında Kimlik için Defender algılayıcıları yalnızca federasyon sunucularında desteklenir. Web Uygulama Ara Sunucusu (WAP) sunucularında gerekli değildir.
  • AD CS ortamlarında, çevrimdışı olan herhangi bir AD CS sunucusuna algılayıcı yüklemeniz gerekmez.
  • Microsoft Entra Connect sunucuları için algılayıcıları hem etkin hem de hazırlama sunucularına yüklemeniz gerekir.

Önkoşullar

AD FS, AD CS veya Microsoft Entra Connect sunucularına Kimlik algılayıcıları için Defender yükleme önkoşulları, etki alanı denetleyicilerine algılayıcı yüklemeyle aynıdır. Daha fazla bilgi için bkz. Kimlik için Microsoft Defender önkoşulları.

AD FS, AD CS veya Microsoft Entra Connect sunucusuna yüklenmiş bir algılayıcı, etki alanına bağlanmak için yerel hizmet hesabını kullanamaz. Bunun yerine, bir Dizin Hizmeti Hesabı yapılandırmanız gerekir.

Ayrıca, AD CS için Kimlik için Defender algılayıcısı yalnızca Sertifika Yetkilisi Rol Hizmeti'ne sahip AD CS sunucularını destekler.

Olay koleksiyonunu yapılandırma

AD FS, AD CS veya Microsoft Entra Connect sunucularıyla çalışıyorsanız, denetimi gerektiği gibi yapılandırdığınızdan emin olun. Daha fazla bilgi için bkz.

AD FS veritabanı için okuma izinlerini yapılandırma

AD FS sunucularında çalışan algılayıcıların AD FS veritabanına erişimi olması için ilgili Dizin Hizmeti Hesabı için okuma (db_datareader) izinleri vermeniz gerekir.

Birden fazla AD FS sunucunuz varsa, tüm sunucularda bu izni verdiğinden emin olun. Veritabanı izinleri sunucular arasında çoğaltılamaz.

SQL sunucusunu AdfsConfiguration veritabanında aşağıdaki izinlere sahip Dizin Hizmeti Hesabına izin verecek şekilde yapılandırın:

  • bağlamak
  • Oturum aç
  • read
  • seçmek

Not

AD FS veritabanı yerel AD FS sunucusu yerine ayrılmış bir SQL sunucusunda çalışıyorsa ve Dizin Hizmeti Hesabı olarak bir grup Yönetilen Hizmet Hesabı (gMSA) kullanıyorsanız, SQL sunucusuna gMSA'nın parolasını almak için gerekli izinleri verdiğinden emin olun.

AD FS veritabanına erişim izni verme

SQL Server Management Studio, Transact-SQL (T-SQL) veya PowerShell kullanarak AD FS veritabanına erişim izni verin.

Örneğin, Windows İç Veritabanı (WID) veya bir dış SQL sunucusu kullanıyorsanız aşağıdaki komutlar yararlı olabilir.

Bu örnek kodlarda:

  • [DOMAIN1\mdiSvc01] , çalışma alanının dizin hizmetleri kullanıcısıdır. gMSA ile çalışıyorsanız kullanıcı adının sonuna ekleme $ . Örneğin: [DOMAIN1\mdiSvc01$].
  • AdfsConfigurationV4 bir AD FS veritabanı adı örneğidir ve farklılık gösterebilir.
  • server=\.\pipe\MICROSOFT##WID\tsql\query, WID kullanıyorsanız veritabanına bağlantı dizesi.

İpucu

bağlantı dizesi bilmiyorsanız Windows Server belgelerindeki adımları izleyin.

Algılayıcıya T-SQL kullanarak AD FS veritabanına erişim vermek için:

USE [master]
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
USE [AdfsConfigurationV4]
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]
GRANT CONNECT TO [DOMAIN1\mdiSvc01]
GRANT SELECT TO [DOMAIN1\mdiSvc01]
GO

Algılayıcıya PowerShell kullanarak AD FS veritabanına erişim vermek için:

$ConnectionString = 'server=\\.\pipe\MICROSOFT##WID\tsql\query;database=AdfsConfigurationV4;trusted_connection=true;'
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [AdfsConfigurationV4]; 
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]; 
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]; 
GRANT CONNECT TO [DOMAIN1\mdiSvc01]; 
GRANT SELECT TO [DOMAIN1\mdiSvc01];
"@
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

Microsoft Entra Connect (ADSync) veritabanı için izinleri yapılandırma

Not

Bu bölüm yalnızca Entra Connect veritabanı bir dış SQL sunucusu örneğinde barındırılıyorsa geçerlidir.

Microsoft Entra Connect sunucularında çalışan algılayıcıların ADSync veritabanına erişimi olması ve ilgili saklı yordamlar için yürütme izinlerine sahip olması gerekir. Birden fazla Microsoft Entra Connect sunucunuz varsa, bunu tüm sunucularda çalıştırdığınızdan emin olun.

PowerShell kullanarak Microsoft Entra Connect ADSync veritabanına algılayıcı izinleri vermek için:

$entraConnectServerDomain = $env:USERDOMAIN
$entraConnectServerComputerAccount = $env:COMPUTERNAME
$entraConnectDBName = (Get-ItemProperty 'registry::HKLM\SYSTEM\CurrentControlSet\Services\ADSync\Parameters' -Name 'DBName').DBName
$entraConnectSqlServer = (Get-ItemProperty 'registry::HKLM\SYSTEM\CurrentControlSet\Services\ADSync\Parameters' -Name 'Server').Server
$entraConnectSqlInstance = (Get-ItemProperty 'registry::HKLM\SYSTEM\CurrentControlSet\Services\ADSync\Parameters' -Name 'SQLInstance').SQLInstance

$ConnectionString = 'server={0}\{1};database={2};trusted_connection=true;' -f $entraConnectSqlServer, $entraConnectSqlInstance, $entraConnectDBName
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [{0}\{1}$] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [{2}];
CREATE USER [{0}\{1}$] FOR LOGIN [{0}\{1}$];
ALTER ROLE [db_datareader] ADD MEMBER [{0}\{1}$];
GRANT CONNECT TO [{0}\{1}$];
GRANT SELECT TO [{0}\{1}$];
GRANT EXECUTE ON OBJECT::{2}.dbo.mms_get_globalsettings TO [{0}\{1}$];
GRANT EXECUTE ON OBJECT::{2}.dbo.mms_get_connectors TO [{0}\{1}$];
"@ -f $entraConnectServerDomain, $entraConnectServerComputerAccount, $entraConnectDBName
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

Yükleme sonrası adımlar (isteğe bağlı)

AD FS, AD CS veya Microsoft Entra Connect sunucusuna algılayıcı yüklemesi sırasında, en yakın etki alanı denetleyicisi otomatik olarak seçilir. Seçili etki alanı denetleyicisini denetlemek veya değiştirmek için aşağıdaki adımları kullanın:

  1. Microsoft Defender XDR'de, Tüm Kimlikler>için Defender algılayıcılarınızı görüntülemek için Ayarlar>Kimlik Algılayıcıları'na gidin.

  2. Sunucuya yüklediğiniz algılayıcıyı bulun ve seçin.

  3. Açılan bölmedeki Etki alanı denetleyicisi (FQDN) kutusuna çözümleyici etki alanı denetleyicilerinin tam etki alanı adını (FQDN) girin. FQDN'yi eklemek için + Ekle'yi ve ardından Kaydet'i seçin.

    Kimlik için Defender'da Active Directory Federasyon Hizmetleri (AD FS) algılayıcı çözümleyicisini yapılandırmaya yönelik seçimlerin ekran görüntüsü.

Algılayıcının başlatılması birkaç dakika sürebilir. Tamamlandığında AD FS, AD CS veya Microsoft Entra Connect algılayıcısının hizmet durumu durduruldu durumundan çalıştırmaya dönüşür.

Başarılı dağıtımı doğrulama

Ad FS veya AD CS sunucusunda Kimlik için Defender algılayıcısını başarıyla dağıttığını doğrulamak için:

  1. Azure Gelişmiş Tehdit Koruması algılayıcı hizmetinin çalışıp çalışmadığını denetleyin. Kimlik için Defender algılayıcı ayarlarını kaydettikten sonra hizmetin başlatılması birkaç saniye sürebilir.

  2. Hizmet başlatılmazsa, konumunda varsayılan olarak %programfiles%\Azure Advanced Threat Protection sensor\Version X\Logsbulunan dosyayı gözden geçirinMicrosoft.Tri.sensor-Errors.log.

  3. Herhangi bir uygulamada bir kullanıcının kimliğini doğrulamak için AD FS veya AD CS kullanın ve kimlik doğrulamasını Kimlik için Defender'ın gözlemlediğini doğrulayın.

    Örneğin, Tehdit Avcılığı Gelişmiş Avcılık'ı> seçin. Sorgu bölmesinde, aşağıdaki sorgulardan birini girin ve çalıştırın:

    • AD FS için:

      IdentityLogonEvents | where Protocol contains 'Adfs'
      

      Sonuçlar bölmesi, ADFS kimlik doğrulamasıyla Oturum Açma LogonType değerine sahip olayların listesini içermelidir.

    • AD CS için:

      IdentityDirectoryEvents | where Protocol == "Adcs"
      

      Sonuçlar bölmesinde başarısız ve başarılı sertifika verme olaylarının listesi gösterilir. Kaydı incele bölmesinde ek ayrıntıları görmek için belirli bir satır seçin.

      Active Directory Sertifika Hizmetleri oturum açma gelişmiş tehdit avcılığı sorgusunun sonuçlarının ekran görüntüsü.

Daha fazla bilgi için bkz.