Поделиться через

Настройка датчиков для AD FS, AD CS и Microsoft Entra Connect

  • Статья

Установите датчики Defender для удостоверений на серверах службы федерации Active Directory (AD FS) (AD FS), службах сертификатов Active Directory (AD CS) и Microsoft Entra Connect, чтобы защитить их от локальных и гибридных атак. В этой статье описаны шаги установки.

Ниже приведены рекомендации.

  • Для сред AD FS датчики Defender для удостоверений поддерживаются только на серверах федерации. Они не требуются на серверах веб-Application Proxy (WAP).
  • Для сред AD CS не требуется устанавливать датчики на серверах AD CS, которые находятся в автономном режиме.
  • Для серверов Microsoft Entra Connect необходимо установить датчики как на активных, так и на промежуточных серверах.

Предварительные условия

Предварительные требования для установки датчиков Defender для удостоверений на серверах AD FS, AD CS или Microsoft Entra Connect такие же, как и для установки датчиков на контроллерах домена. Дополнительные сведения см. в разделе предварительные требования Microsoft Defender для удостоверений.

Датчик, установленный на сервере AD FS, AD CS или Microsoft Entra Connect, не может использовать учетную запись локальной службы для подключения к домену. Вместо этого необходимо настроить учетную запись службы каталогов.

Кроме того, датчик Defender для удостоверений для AD CS поддерживает только серверы AD CS со службой роли центра сертификации.

Настройка сбора событий

Если вы работаете с серверами AD FS, AD CS или Microsoft Entra Connect, убедитесь, что вы настроили аудит по мере необходимости. Дополнительные сведения см. в разделе:

Настройка разрешений на чтение для базы данных AD FS

Чтобы датчики, работающие на серверах AD FS, имели доступ к базе данных AD FS, необходимо предоставить разрешения на чтение (db_datareader) для соответствующей учетной записи службы каталогов.

Если у вас несколько серверов AD FS, обязательно предоставьте это разрешение для всех них. Разрешения базы данных не реплицируются между серверами.

Настройте сервер SQL, чтобы разрешить учетной записи службы каталогов следующие разрешения для базы данных AdfsConfiguration :

  • соединять
  • Войти
  • читать
  • select

Примечание.

Если база данных AD FS работает на выделенном сервере SQL, а не на локальном сервере AD FS, и вы используете групповую управляемую учетную запись службы (gMSA) в качестве учетной записи службы каталогов, убедитесь, что вы предоставляете sql server необходимые разрешения для получения пароля gMSA.

Предоставление доступа к базе данных AD FS

Предоставьте доступ к базе данных AD FS с помощью SQL Server Management Studio, Transact-SQL (T-SQL) или PowerShell.

Например, следующие команды могут быть полезны, если вы используете внутренняя база данных Windows (WID) или внешний СЕРВЕР SQL.

В следующих примерах кодов:

  • [DOMAIN1\mdiSvc01] — пользователь служб каталогов рабочей области. Если вы работаете с gMSA, добавьте $ в конец имени пользователя. Пример: [DOMAIN1\mdiSvc01$].
  • AdfsConfigurationV4 является примером имени базы данных AD FS и может отличаться.
  • server=\.\pipe\MICROSOFT##WID\tsql\query— это строка подключения к базе данных, если вы используете WID.

Совет

Если вы не знаете строка подключения, выполните действия, описанные в документации по Windows Server.

Чтобы предоставить датчику доступ к базе данных AD FS с помощью T-SQL, выполните следующие действия:

USE [master]
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
USE [AdfsConfigurationV4]
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]
GRANT CONNECT TO [DOMAIN1\mdiSvc01]
GRANT SELECT TO [DOMAIN1\mdiSvc01]
GO

Чтобы предоставить датчику доступ к базе данных AD FS с помощью PowerShell, выполните следующие действия:

$ConnectionString = 'server=\\.\pipe\MICROSOFT##WID\tsql\query;database=AdfsConfigurationV4;trusted_connection=true;'
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [AdfsConfigurationV4]; 
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]; 
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]; 
GRANT CONNECT TO [DOMAIN1\mdiSvc01]; 
GRANT SELECT TO [DOMAIN1\mdiSvc01];
"@
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

Настройка разрешений для базы данных Microsoft Entra Connect (ADSync)

Примечание.

Этот раздел применим, только если база данных Entra Connect размещена во внешнем экземпляре SQL Server.

Датчики, работающие на серверах Microsoft Entra Connect, должны иметь доступ к базе данных ADSync и иметь разрешения на выполнение соответствующих хранимых процедур. Если у вас есть несколько серверов Microsoft Entra Connect, убедитесь, что они выполняются на всех серверах.

Чтобы предоставить датчику разрешения для Microsoft Entra подключить базу данных ADSync с помощью PowerShell, выполните следующие действия:

$entraConnectServerDomain = $env:USERDOMAIN
$entraConnectServerComputerAccount = $env:COMPUTERNAME
$entraConnectDBName = (Get-ItemProperty 'registry::HKLM\SYSTEM\CurrentControlSet\Services\ADSync\Parameters' -Name 'DBName').DBName
$entraConnectSqlServer = (Get-ItemProperty 'registry::HKLM\SYSTEM\CurrentControlSet\Services\ADSync\Parameters' -Name 'Server').Server
$entraConnectSqlInstance = (Get-ItemProperty 'registry::HKLM\SYSTEM\CurrentControlSet\Services\ADSync\Parameters' -Name 'SQLInstance').SQLInstance

$ConnectionString = 'server={0}\{1};database={2};trusted_connection=true;' -f $entraConnectSqlServer, $entraConnectSqlInstance, $entraConnectDBName
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [{0}\{1}$] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [{2}];
CREATE USER [{0}\{1}$] FOR LOGIN [{0}\{1}$];
GRANT CONNECT TO [{0}\{1}$];
GRANT SELECT TO [{0}\{1}$];
GRANT EXECUTE ON OBJECT::{2}.dbo.mms_get_globalsettings TO [{0}\{1}$];
GRANT EXECUTE ON OBJECT::{2}.dbo.mms_get_connectors TO [{0}\{1}$];
"@ -f $entraConnectServerDomain, $entraConnectServerComputerAccount, $entraConnectDBName
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

Этапы после установки (необязательно)

Во время установки датчика на сервере AD FS, AD CS или Microsoft Entra Connect ближайший контроллер домена автоматически выбирается. Чтобы проверка или изменить выбранный контроллер домена, выполните следующие действия.

  1. В Microsoft Defender XDR перейдите в раздел Параметры>Датчики>удостоверений, чтобы просмотреть все датчики Defender для удостоверений.

  2. Найдите и выберите датчик, установленный на сервере.

  3. На открывающейся панели в поле Контроллер домена (FQDN) введите полное доменное имя (FQDN) контроллеров домена сопоставителя. Выберите + Добавить , чтобы добавить полное доменное имя, а затем нажмите кнопку Сохранить.

    Снимок экрана: выбор для настройки сопоставителя датчика службы федерации Active Directory (AD FS) в Defender для удостоверений.

Инициализация датчика может занять несколько минут. После завершения работы состояние службы AD FS, AD CS или датчика Microsoft Entra Connect изменится с остановленного на работающее.

Проверка успешного развертывания

Чтобы убедиться, что датчик Defender для удостоверений успешно развернут на сервере AD FS или AD CS, выполните следующие действия:

  1. Убедитесь, что служба датчика Расширенной защиты от угроз Azure запущена. После сохранения параметров датчика Defender для удостоверений может потребоваться несколько секунд для запуска службы.

  2. Если служба не запускается, просмотрите файл, расположенный Microsoft.Tri.sensor-Errors.log по умолчанию по адресу %programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs.

  3. Используйте AD FS или AD CS для проверки подлинности пользователя в любом приложении, а затем убедитесь, что Defender для удостоверений наблюдал проверку подлинности.

    Например, выберите Охота>на расширенную охоту. В области Запрос введите и выполните один из следующих запросов:

    • Для AD FS:

      IdentityLogonEvents | where Protocol contains 'Adfs'

      Область результатов должна содержать список событий со значением LogonTypeв поле Вход с проверкой подлинности ADFS.

    • Для AD CS:

      IdentityDirectoryEvents | where Protocol == "Adcs"

      В области результатов отображается список событий неудачной и успешной выдачи сертификата. Выберите определенную строку, чтобы просмотреть дополнительные сведения на панели Проверка записи .

      Снимок экрана: результаты расширенного запроса на поиск в службах сертификатов Active Directory.

Связанные материалы

Дополнительные сведения см. в разделе: