Compartir a través de

Configuración de sensores para AD FS, AD CS y Microsoft Entra Connect

  • Artículo

Instale los sensores de Defender for Identity en Servicios de federación de Active Directory (AD FS) (AD FS), Servicios de certificados de Active Directory (AD CS) y Microsoft Entra servidores Connect para ayudarles a protegerlos de ataques locales e híbridos. En este artículo se describen los pasos de instalación.

Estas consideraciones se aplican:

  • Para entornos de AD FS, los sensores de Defender for Identity solo se admiten en los servidores de federación. No son necesarios en servidores de Application Proxy web (WAP).
  • En el caso de los entornos de AD CS, no es necesario instalar sensores en ningún servidor de AD CS que esté sin conexión.
  • Para los servidores de Microsoft Entra Connect, debe instalar los sensores en servidores activos y provisionales.

Requisitos previos

Los requisitos previos para instalar sensores de Defender for Identity en AD FS, AD CS o Microsoft Entra Connect son los mismos que para instalar sensores en controladores de dominio. Para obtener más información, consulte Microsoft Defender for Identity requisitos previos.

Un sensor instalado en un servidor de AD FS, AD CS o Microsoft Entra Connect no puede usar la cuenta de servicio local para conectarse al dominio. En su lugar, debe configurar una cuenta de servicio de directorio.

Además, el sensor de Defender for Identity para AD CS solo admite servidores de AD CS con el servicio de rol de entidad de certificación.

Configuración de la colección de eventos

Si trabaja con servidores de AD FS, AD CS o Microsoft Entra Connect, asegúrese de configurar la auditoría según sea necesario. Para más información, vea:

Configuración de permisos de lectura para la base de datos de AD FS

Para que los sensores que se ejecutan en servidores de AD FS tengan acceso a la base de datos de AD FS, debe conceder permisos de lectura (db_datareader) para la cuenta de servicio de directorio correspondiente.

Si tiene más de un servidor de AD FS, asegúrese de conceder este permiso en todos ellos. Los permisos de base de datos no se replican entre servidores.

Configure sql server para permitir la cuenta de servicio de directorio con los permisos siguientes para la base de datos AdfsConfiguration :

  • conectar
  • Inicia sesión
  • leer
  • select

Nota:

Si la base de datos de AD FS se ejecuta en un servidor SQL dedicado en lugar del servidor de AD FS local y usa una cuenta de servicio administrada (gMSA) de grupo como cuenta de servicio de directorio, asegúrese de conceder al servidor SQL los permisos necesarios para recuperar la contraseña de gMSA.

Concesión de acceso a la base de datos de AD FS

Conceda acceso a la base de datos de AD FS mediante SQL Server Management Studio, Transact-SQL (T-SQL) o PowerShell.

Por ejemplo, los siguientes comandos pueden ser útiles si usa el Windows Internal Database (WID) o un servidor SQL externo.

En estos códigos de ejemplo:

  • [DOMAIN1\mdiSvc01] es el usuario de servicios de directorio del área de trabajo. Si está trabajando con una gMSA, anexe $ al final del nombre de usuario. Por ejemplo: [DOMAIN1\mdiSvc01$].
  • AdfsConfigurationV4 es un ejemplo de un nombre de base de datos de AD FS y puede variar.
  • server=\.\pipe\MICROSOFT##WID\tsql\queryes la cadena de conexión a la base de datos si usa WID.

Sugerencia

Si no conoce su cadena de conexión, siga los pasos de la documentación de Windows Server.

Para conceder al sensor acceso a la base de datos de AD FS mediante T-SQL:

USE [master]
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
USE [AdfsConfigurationV4]
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]
GRANT CONNECT TO [DOMAIN1\mdiSvc01]
GRANT SELECT TO [DOMAIN1\mdiSvc01]
GO

Para conceder al sensor acceso a la base de datos de AD FS mediante PowerShell:

$ConnectionString = 'server=\\.\pipe\MICROSOFT##WID\tsql\query;database=AdfsConfigurationV4;trusted_connection=true;'
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [AdfsConfigurationV4]; 
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]; 
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]; 
GRANT CONNECT TO [DOMAIN1\mdiSvc01]; 
GRANT SELECT TO [DOMAIN1\mdiSvc01];
"@
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

Configuración de permisos para la base de datos de Microsoft Entra Connect (ADSync)

Nota:

Esta sección solo es aplicable si la base de datos Entra Connect está hospedada en una instancia externa de SQL Server.

Los sensores que se ejecutan en servidores de Microsoft Entra Connect deben tener acceso a la base de datos ADSync y tener permisos de ejecución para los procedimientos almacenados pertinentes. Si tiene más de un servidor Microsoft Entra Connect, asegúrese de ejecutarlo en todos ellos.

Para conceder permisos de sensor a la base de datos Microsoft Entra Connect ADSync mediante PowerShell:

$entraConnectServerDomain = $env:USERDOMAIN
$entraConnectServerComputerAccount = $env:COMPUTERNAME
$entraConnectDBName = (Get-ItemProperty 'registry::HKLM\SYSTEM\CurrentControlSet\Services\ADSync\Parameters' -Name 'DBName').DBName
$entraConnectSqlServer = (Get-ItemProperty 'registry::HKLM\SYSTEM\CurrentControlSet\Services\ADSync\Parameters' -Name 'Server').Server
$entraConnectSqlInstance = (Get-ItemProperty 'registry::HKLM\SYSTEM\CurrentControlSet\Services\ADSync\Parameters' -Name 'SQLInstance').SQLInstance

$ConnectionString = 'server={0}\{1};database={2};trusted_connection=true;' -f $entraConnectSqlServer, $entraConnectSqlInstance, $entraConnectDBName
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [{0}\{1}$] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [{2}];
CREATE USER [{0}\{1}$] FOR LOGIN [{0}\{1}$];
GRANT CONNECT TO [{0}\{1}$];
GRANT SELECT TO [{0}\{1}$];
GRANT EXECUTE ON OBJECT::{2}.dbo.mms_get_globalsettings TO [{0}\{1}$];
GRANT EXECUTE ON OBJECT::{2}.dbo.mms_get_connectors TO [{0}\{1}$];
"@ -f $entraConnectServerDomain, $entraConnectServerComputerAccount, $entraConnectDBName
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

Pasos posteriores a la instalación (opcional)

Durante la instalación del sensor en un servidor de AD FS, AD CS o Microsoft Entra Connect, se selecciona automáticamente el controlador de dominio más cercano. Siga estos pasos para comprobar o modificar el controlador de dominio seleccionado:

  1. En Microsoft Defender XDR, vaya a Configuración>Sensores deidentidades> para ver todos los sensores de Defender for Identity.

  2. Busque y seleccione el sensor que instaló en el servidor.

  3. En el panel que se abre, en el cuadro Controlador de dominio (FQDN), escriba el nombre de dominio completo (FQDN) de los controladores de dominio de resolución. Seleccione + Agregar para agregar el FQDN y, a continuación, seleccione Guardar.

    Captura de pantalla de las selecciones para configurar un solucionador de sensor de Servicios de federación de Active Directory (AD FS) en Defender for Identity.

Inicializar el sensor puede tardar un par de minutos. Cuando finaliza, el estado del servicio de AD FS, AD CS o Microsoft Entra sensor Connect cambia de detenido a en ejecución.

Validación de una implementación correcta

Para validar que ha implementado correctamente un sensor de Defender for Identity en un servidor de AD FS o AD CS:

  1. Compruebe que el servicio de sensor de Azure Advanced Threat Protection se está ejecutando. Después de guardar la configuración del sensor de Defender for Identity, el servicio puede tardar unos segundos en iniciarse.

  2. Si el servicio no se inicia, revise el Microsoft.Tri.sensor-Errors.log archivo, que se encuentra de forma predeterminada en %programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs.

  3. Use AD FS o AD CS para autenticar a un usuario en cualquier aplicación y, a continuación, compruebe que Defender for Identity observó la autenticación.

    Por ejemplo, seleccione Búsquedade búsqueda> avanzada. En el panel Consulta , escriba y ejecute una de las siguientes consultas:

    • Para AD FS:

      IdentityLogonEvents | where Protocol contains 'Adfs'

      El panel de resultados debe incluir una lista de eventos con un valor LogonType de Inicio de sesión con autenticación de ADFS.

    • Para AD CS:

      IdentityDirectoryEvents | where Protocol == "Adcs"

      En el panel de resultados se muestra una lista de eventos de emisión de certificados errónea y correcta. Seleccione una fila específica para ver detalles adicionales en el panel Inspeccionar registro .

      Captura de pantalla de los resultados de una consulta de búsqueda avanzada de inicio de sesión de Active Directory Certificate Services.

Contenido relacionado

Para más información, vea: