Partilhar via

Configurar sensores para AD FS, AD CS e Microsoft Entra Connect

  • Artigo

Instale o Defender para sensores de identidade nos servidores dos Serviços de Federação do Ative Directory (AD FS), Serviços de Certificados do Ative Directory (AD CS) e Microsoft Entra Connect para ajudar a protegê-los contra ataques locais e híbridos. Este artigo descreve as etapas de instalação.

Estas considerações aplicam-se:

  • Para ambientes AD FS, os sensores do Defender for Identity são suportados apenas nos servidores de federação. Eles não são necessários em servidores WAP (Web Application Proxy).
  • Para ambientes AD CS, não é necessário instalar sensores em nenhum servidor AD CS que esteja offline.
  • Para servidores Microsoft Entra Connect, você precisa instalar os sensores em servidores ativos e de preparação.

Pré-requisitos

Os pré-requisitos para instalar sensores do Defender for Identity em servidores AD FS, AD CS ou Microsoft Entra Connect são os mesmos que para instalar sensores em controladores de domínio. Para obter mais informações, consulte Pré-requisitos do Microsoft Defender for Identity.

Um sensor instalado em um servidor AD FS, AD CS ou Microsoft Entra Connect não pode usar a conta de serviço local para se conectar ao domínio. Em vez disso, você precisa configurar uma Conta de Serviço de Diretório.

Além disso, o sensor do Defender for Identity para AD CS suporta apenas servidores AD CS com Serviço de Função de Autoridade de Certificação.

Configurar o log detalhado para eventos do AD FS

Os sensores executados em servidores AD FS devem ter o nível de auditoria definido como Detalhado para eventos relevantes. Por exemplo, use o seguinte comando para configurar o nível de auditoria para Verbose:

Set-AdfsProperties -AuditLevel Verbose

Para obter mais informações, consulte:

Configurar permissões de leitura para o banco de dados do AD FS

Para que os sensores executados em servidores AD FS tenham acesso ao banco de dados do AD FS, você precisa conceder permissões de leitura (db_datareader) para a Conta de Serviço de Diretório relevante.

Se você tiver mais de um servidor AD FS, certifique-se de conceder essa permissão em todos eles. As permissões de banco de dados não são replicadas entre servidores.

Configure o servidor SQL para permitir a Conta de Serviço de Diretório com as seguintes permissões para o banco de dados AdfsConfiguration :

  • Conecte-se
  • Iniciar sessão
  • Leia
  • selecione

Nota

Se o banco de dados do AD FS for executado em um servidor SQL dedicado em vez do servidor AD FS local e você estiver usando uma Conta de Serviço Gerenciado (gMSA) de grupo como a Conta de Serviço de Diretório, certifique-se de conceder ao servidor SQL as permissões necessárias para recuperar a senha do gMSA.

Conceder acesso ao banco de dados do AD FS

Conceda acesso ao banco de dados do AD FS usando o SQL Server Management Studio, Transact-SQL (T-SQL) ou PowerShell.

Por exemplo, os comandos a seguir podem ser úteis se você estiver usando o Banco de Dados Interno do Windows (WID) ou um servidor SQL externo.

Nestes códigos de exemplo:

  • [DOMAIN1\mdiSvc01] é o usuário de serviços de diretório do espaço de trabalho. Se você estiver trabalhando com um gMSA, anexe $ ao final do nome de usuário. Por exemplo: [DOMAIN1\mdiSvc01$].
  • AdfsConfigurationV4 é um exemplo de um nome de banco de dados do AD FS e pode variar.
  • server=\.\pipe\MICROSOFT##WID\tsql\query é a cadeia de conexão com o banco de dados se você estiver usando WID.

Gorjeta

Se você não souber sua cadeia de conexão, siga as etapas na documentação do Windows Server.

Para conceder ao sensor acesso ao banco de dados do AD FS usando T-SQL:

USE [master]
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
USE [AdfsConfigurationV4]
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]
GRANT CONNECT TO [DOMAIN1\mdiSvc01]
GRANT SELECT TO [DOMAIN1\mdiSvc01]
GO

Para conceder ao sensor acesso ao banco de dados do AD FS usando o PowerShell:

$ConnectionString = 'server=\\.\pipe\MICROSOFT##WID\tsql\query;database=AdfsConfigurationV4;trusted_connection=true;'
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [AdfsConfigurationV4]; 
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]; 
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]; 
GRANT CONNECT TO [DOMAIN1\mdiSvc01]; 
GRANT SELECT TO [DOMAIN1\mdiSvc01];
"@
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

Configurar coleção de eventos

Se estiver a trabalhar com servidores AD FS, AD CS ou Microsoft Entra Connect, certifique-se de que configurou a auditoria conforme necessário. Para obter mais informações, consulte:

Validar a implantação bem-sucedida

Para validar que você implantou com êxito um sensor do Defender for Identity em um servidor AD FS ou AD CS:

  1. Verifique se o serviço do sensor Proteção Avançada contra Ameaças do Azure está em execução. Depois de salvar as configurações do sensor do Defender for Identity, pode levar alguns segundos para que o serviço seja iniciado.

  2. Se o serviço não iniciar, revise o Microsoft.Tri.sensor-Errors.log arquivo, localizado por padrão em %programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs.

  3. Use o AD FS ou AD CS para autenticar um usuário em qualquer aplicativo e verifique se o Defender for Identity observou a autenticação.

    Por exemplo, selecione Hunting>Advanced Hunting. No painel Consulta, insira e execute uma das seguintes consultas:

    • Para o AD FS:

      IdentityLogonEvents | where Protocol contains 'Adfs'

      O painel de resultados deve incluir uma lista de eventos com um valor LogonType de Logon com autenticação ADFS.

    • Para AD CS:

      IdentityDirectoryEvents | where Protocol == "Adcs"

      O painel de resultados mostra uma lista de eventos de emissão de certificado com falha e bem-sucedida. Selecione uma linha específica para ver detalhes adicionais no painel Inspecionar registro .

      Captura de ecrã dos resultados de uma consulta de caça avançada de início de sessão dos Serviços de Certificados do Ative Directory.

Etapas pós-instalação (opcional)

Durante a instalação do sensor em um servidor AD FS, AD CS ou Microsoft Entra Connect, o controlador de domínio mais próximo é selecionado automaticamente. Use as seguintes etapas para verificar ou modificar o controlador de domínio selecionado:

  1. No Microsoft Defender XDR, vá para Sensores de identidades>de configurações>para exibir todos os sensores do Defender for Identity.

  2. Localize e selecione o sensor que você instalou no servidor.

  3. No painel aberto, na caixa Controlador de domínio (FQDN), insira o nome de domínio totalmente qualificado (FQDN) dos controladores de domínio do resolvedor. Selecione + Adicionar para adicionar o FQDN e, em seguida, selecione Guardar.

    Captura de tela de seleções para configurar um resolvedor de sensor dos Serviços de Federação do Ative Directory no Defender for Identity.

A inicialização do sensor pode levar alguns minutos. Quando terminar, o status do serviço do sensor AD FS, AD CS ou Microsoft Entra Connect muda de interrompido para em execução.

Conteúdos relacionados

Para obter mais informações, consulte: