Aktivieren Microsoft Defender for Identity Funktionen direkt auf einem Domänencontroller
Microsoft Defender for Endpoint Kunden, die ihre Domänencontroller bereits in Defender für Endpunkt integriert haben, können Microsoft Defender for Identity Funktionen direkt auf einem Domänencontroller aktivieren, anstatt Microsoft Defender for Identity klassischer Sensor.
In diesem Artikel wird beschrieben, wie Sie Microsoft Defender for Identity Funktionen auf Ihrem Domänencontroller aktivieren und testen.
Wichtig
Der neue Defender for Identity-Sensor (Version 3.x) wird für Kunden empfohlen, die Kernidentitätsschutz auf neuen Domänencontrollern bereitstellen möchten, die Windows Server 2019 oder höher ausgeführt werden. Für alle anderen Identitätsinfrastrukturen oder für Kunden, die den stabilsten Identitätsschutz bereitstellen möchten, der derzeit von Microsoft Defender for Identity verfügbar ist, empfehlen wir die Bereitstellung des klassischen Sensors hier.
Voraussetzungen
Stellen Sie vor dem Aktivieren der Defender for Identity-Funktionen auf Ihrem Domänencontroller sicher, dass Ihre Umgebung die Voraussetzungen in diesem Abschnitt erfüllt.
Defender for Identity-Sensorkonflikte
Die in diesem Artikel beschriebene Konfiguration unterstützt keine parallele Installation mit einem vorhandenen Defender for Identity-Sensor und wird nicht als Ersatz für den klassischen Defender for Identity-Sensor empfohlen.
Stellen Sie sicher, dass auf dem Domänencontroller, auf dem Sie Defender for Identity-Funktionen aktivieren möchten, kein Defender for Identity-Sensor bereitgestellt wird.
Systemanforderungen
Direct Defender for Identity-Funktionen werden nur auf Domänencontrollern mit einem der folgenden Betriebssysteme unterstützt:
- Windows Server 2019 oder höher
- Kumulatives Update märz 2024 oder höher
Wichtig
Nach der Installation des kumulativen Updates vom März 2024 kann es bei LSASS zu einem Speicherverlust auf Domänencontrollern kommen, wenn lokale und cloudbasierte Active Directory-Domäne Controller Kerberos-Authentifizierungsanforderungen bereitstellen.
Dieses Problem wird im Out-of-Band-Update KB5037422 behoben.
Onboarding von Defender für Endpunkt
Ihr Domänencontroller muss in Microsoft Defender for Endpoint integriert werden.
Weitere Informationen finden Sie unter Onboarding eines Windows-Servers.
Berechtigungsanforderungen
Für den Zugriff auf die Defender for Identity-Aktivierungsseite müssen Sie entweder Sicherheitsadministrator sein oder über die folgenden einheitlichen RBAC-Berechtigungen verfügen:
Authorization and settings / System settings (Read and manage)Authorization and settings / Security setting (All permissions)
Weitere Informationen finden Sie unter:
- Einheitliche rollenbasierte Zugriffssteuerung (RBAC)
- Erstellen einer Rolle zum Zugreifen auf und Verwalten von Rollen und Berechtigungen
Konnektivitätsanforderungen
Defender for Identity-Funktionen direkt auf Domänencontrollern verwenden Defender für Endpunkt-URL-Endpunkte für die Kommunikation, einschließlich vereinfachter URLs.
Weitere Informationen finden Sie unter Konfigurieren Ihrer Netzwerkumgebung zum Sicherstellen der Konnektivität mit Defender für Endpunkt.
Konfigurieren der Windows-Überwachung
Defender for Identity-Erkennungen basieren auf bestimmten Windows-Ereignisprotokolleinträgen, um die Erkennungen zu verbessern und zusätzliche Informationen zu den Benutzern bereitzustellen, die bestimmte Aktionen ausführen, z. B. NTLM-Anmeldungen und Änderungen an Sicherheitsgruppen.
Konfigurieren Sie die Windows-Ereignissammlung auf Ihrem Domänencontroller, um Defender for Identity-Erkennungen zu unterstützen. Weitere Informationen finden Sie unter Ereignissammlung mit Microsoft Defender for Identity und Konfigurieren von Überwachungsrichtlinien für Windows-Ereignisprotokolle.
Möglicherweise möchten Sie das PowerShell-Modul defender for Identity verwenden, um die erforderlichen Einstellungen zu konfigurieren. Weitere Informationen finden Sie unter:
Der folgende Befehl definiert beispielsweise alle Einstellungen für die Domäne, erstellt Gruppenrichtlinienobjekte und verknüpft sie.
Set-MDIConfiguration -Mode Domain -Configuration All
Aktivieren von Defender for Identity-Funktionen
Nachdem Sie sichergestellt haben, dass Ihre Umgebung vollständig konfiguriert ist, aktivieren Sie die Microsoft Defender for Identity Funktionen auf Ihrem Domänencontroller.
Aktivieren Sie Defender for Identity über das Microsoft Defender-Portal.
Navigieren Sie zuSystemeinstellungen>>Identitätsaktivierung>.
Auf der Seite Aktivierung werden server aufgelistet, die im Gerätebestand ermittelt und als berechtigte Domänencontroller identifiziert wurden.
Wählen Sie den Domänencontroller aus, auf dem Sie die Defender for Identity-Funktionen aktivieren möchten, und wählen Sie dann Aktivieren aus. Bestätigen Sie Ihre Auswahl, wenn Sie dazu aufgefordert werden.
Hinweis
Sie können geeignete Domänencontroller entweder automatisch aktivieren, wobei Defender for Identity sie sofort nach ihrer Ermittlung aktiviert, oder manuell, wobei Sie bestimmte Domänencontroller aus der Liste der berechtigten Server auswählen.
Wenn die Aktivierung abgeschlossen ist, wird ein grünes Erfolgsbanner angezeigt. Wählen Sie im Banner Klicken Sie hier aus, um die integrierten Server anzuzeigen, um zur Seite Einstellungen > Identitäten Sensoren zu springen>, auf der Sie die Integrität Ihres Sensors überprüfen können.
Onboardingbestätigung
So bestätigen Sie, dass der Sensor integriert wurde:
Navigieren Sie zuSystemeinstellungen>>Identitätssensoren>.
Überprüfen Sie, ob der integrierte Domänencontroller aufgeführt ist.
Hinweis
Für die Aktivierung ist kein Neustart/Neustart erforderlich. Wenn Sie defender for Identity-Funktionen zum ersten Mal auf Ihrem Domänencontroller aktivieren, kann es bis zu einer Stunde dauern, bis der erste Sensor auf der Seite Sensoren als Wird ausgeführt angezeigt wird. Nachfolgende Aktivierungen werden innerhalb von fünf Minuten angezeigt.
Testen aktivierter Funktionen
Wenn Sie defender for Identity-Funktionen zum ersten Mal auf Ihrem Domänencontroller aktivieren, kann es bis zu einer Stunde dauern, bis der erste Sensor auf der Seite Sensoren als Wird ausgeführt angezeigt wird. Nachfolgende Aktivierungen werden innerhalb von fünf Minuten angezeigt.
Defender for Identity-Funktionen auf Domänencontrollern unterstützen derzeit die folgenden Defender for Identity-Funktionen:
- Untersuchungsfeatures für ITDR-Dashboard, Identitätsinventur und erweiterte Identitätssuchedaten
- Empfehlungen für den angegebenen Sicherheitsstatus
- Angegebene Warnungserkennungen
- Wartungsaktionen
- Automatische Angriffsunterbrechung
Verwenden Sie die folgenden Verfahren, um Ihre Umgebung für Defender for Identity-Funktionen auf einem Domänencontroller zu testen.
Überprüfen Sie die ITDR-Dashboard
Wählen Sie im Defender-Portal Identitätsdashboard> aus, und überprüfen Sie die angezeigten Details, und überprüfen Sie die erwarteten Ergebnisse aus Ihrer Umgebung.
Weitere Informationen finden Sie unter Arbeiten mit dem ITDR-Dashboard von Defender for Identity.
Details der Entitätsseite bestätigen
Vergewissern Sie sich, dass Entitäten wie Domänencontroller, Benutzer und Gruppen erwartungsgemäß aufgefüllt werden.
Überprüfen Sie im Defender-Portal die folgenden Details:
Geräteentitäten: Wählen Sie Assets > Geräte und dann den Computer für Ihren neuen Sensor aus. Defender for Identity-Ereignisse werden auf dem Gerät Zeitleiste angezeigt.
Benutzerentitäten: Wählen Sie Ressourcenbenutzer > aus, und suchen Sie nach Benutzern aus einer neu integrierten Domäne. Verwenden Sie alternativ die Option globale Suche, um nach bestimmten Benutzern zu suchen. Benutzerdetailseite sollten übersichts-, beobachtete in organization- und Zeitachsendaten enthalten.
Gruppenentitäten: Verwenden Sie die globale Suche, um eine Benutzergruppe zu finden, oder navigieren Sie von einer Benutzer- oder Gerätedetailseite, auf der Gruppendetails angezeigt werden. Überprüfen Sie, ob Details zur Gruppenmitgliedschaft, Gruppenbenutzer und Gruppen Zeitleiste daten angezeigt werden.
Wenn keine Ereignisdaten in der Gruppe Zeitleiste gefunden werden, müssen Sie einige möglicherweise manuell erstellen. Dazu können Sie beispielsweise Benutzer in Active Directory hinzufügen und daraus entfernen.
Weitere Informationen finden Sie unter Untersuchen von Ressourcen.
Testen von Tabellen für die erweiterte Suche
Verwenden Sie auf der Seite Erweiterte Suche im Defender-Portal die folgenden Beispielabfragen, um zu überprüfen, ob Daten in relevanten Tabellen wie erwartet für Ihre Umgebung angezeigt werden:
IdentityDirectoryEvents
| where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN
IdentityInfo
| where AccountDomain contains "domain" // insert domain
IdentityQueryEvents
| where DeviceName contains "DC_FQDN" // insert domain controller FQDN
Weitere Informationen finden Sie unter Erweiterte Suche im Microsoft Defender-Portal.
Testen von Ispm-Empfehlungen (Identity Security Posture Management)
Es wird empfohlen, risikobehaftetes Verhalten in einer Testumgebung zu simulieren, um unterstützte Bewertungen auszulösen und zu überprüfen, ob sie wie erwartet angezeigt werden. Zum Beispiel:
Lösen Sie eine neue Empfehlung zur Auflösung unsicherer Domänenkonfigurationen aus, indem Sie Ihre Active Directory-Konfiguration auf einen nicht konformen Zustand festlegen und dann in einen konformen Zustand zurücksetzen. Führen Sie beispielsweise die folgenden Befehle aus:
So legen Sie einen nicht konformen Zustand fest
Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}So kehren Sie in einen konformen Zustand zurück:
Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}So überprüfen Sie Ihre lokale Konfiguration:
Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuotaWählen Sie unter Microsoft-Sicherheitsbewertung die Option Empfohlene Aktionen aus, um nach einer neuen Empfehlung zur Auflösung unsicherer Domänenkonfigurationen zu suchen. Möglicherweise möchten Sie Empfehlungen nach dem Defender for Identity-Produkt filtern.
Weitere Informationen finden Sie unter Sicherheitsstatusbewertungen von Microsoft Defender for Identity.
Testen der Warnungsfunktionalität
Testen Sie die Warnungsfunktionalität, indem Sie riskante Aktivitäten in einer Testumgebung simulieren. Zum Beispiel:
- Markieren Sie ein Konto als Honeytoken-Konto, und versuchen Sie dann, sich über den aktivierten Domänencontroller beim Honeytoken-Konto anzumelden.
- Erstellen Sie einen verdächtigen Dienst auf Ihrem Domänencontroller.
- Führen Sie einen Remotebefehl auf Ihrem Domänencontroller als Administrator aus, der von Ihrer Arbeitsstation angemeldet ist.
Weitere Informationen finden Sie unter Untersuchen von Defender for Identity-Sicherheitswarnungen in Microsoft Defender XDR.
Testen von Wiederherstellungsaktionen
Testwartungsaktionen für einen Testbenutzer. Zum Beispiel:
Navigieren Sie im Defender-Portal zur Seite mit den Benutzerdetails für einen Testbenutzer.
Wählen Sie im Menü Optionen eine der verfügbaren Wartungsaktionen aus.
Überprüfen Sie Active Directory auf die erwartete Aktivität.
Weitere Informationen finden Sie unter Wartungsaktionen in Microsoft Defender for Identity.
Deaktivieren von Defender for Identity-Funktionen auf Ihrem Domänencontroller
Wenn Sie Defender for Identity-Funktionen auf Ihrem Domänencontroller deaktivieren möchten, löschen Sie ihn auf der Seite Sensoren :
Wählen Sie im Defender-Portal Einstellungen>Identitäten>Sensoren aus.
Wählen Sie den Domänencontroller aus, für den Sie Defender for Identity-Funktionen deaktivieren möchten, wählen Sie Löschen aus, und bestätigen Sie Ihre Auswahl.
Wenn Sie Defender for Identity-Funktionen von Ihrem Domänencontroller deaktivieren, wird der Domänencontroller nicht aus Defender für Endpunkt entfernt. Weitere Informationen finden Sie in der Dokumentation zu Defender für Endpunkt.
Nächste Schritte
Weitere Informationen finden Sie unter Verwalten und Aktualisieren Microsoft Defender for Identity Sensoren.