Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описаны требования к установке датчика Microsoft Defender для удостоверений версии 2.x.
Требования к лицензированию
Для развертывания Defender для удостоверений требуется одна из следующих лицензий Microsoft 365:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Безопасности
- Безопасность и соответствие требованиям Microsoft 365 F5*
- Автономная лицензия Defender для удостоверений
* Для обеих лицензий F5 требуется Microsoft 365 F1/F3 или Office 365 F3 и Enterprise Mobility + Security E3.
Получите лицензии непосредственно на портале Microsoft 365 или используйте модель лицензирования Cloud Solution Partner (CSP).
Дополнительные сведения см. в разделе Вопросы и ответы о лицензировании и конфиденциальности.
Роли и разрешения
- Чтобы создать рабочую область Defender для удостоверений, требуется клиент Microsoft Entra ID.
- У вас должен быть пользователь с ролью администратора безопасности . Дополнительные сведения см. в разделе Microsoft Defender для удостоверений групп ролей.
- Рекомендуется использовать по крайней мере одну учетную запись службы каталогов с доступом на чтение ко всем объектам в отслеживаемых доменах. Дополнительные сведения см. в разделе Настройка учетной записи службы каталогов для Microsoft Defender для удостоверений.
Требования к подключению
Датчик Defender для удостоверений должен иметь возможность взаимодействовать с облачной службой Defender для удостоверений, используя один из следующих методов:
| Метод | Описание | Рекомендации | Дополнительные сведения |
|---|---|---|---|
| Прокси-сервер | Клиенты, у которых развернут прокси-сервер пересылки, могут воспользоваться преимуществами прокси-сервера для обеспечения подключения к облачной службе MDI. Если вы выберете этот параметр, вам потребуется настроить прокси-сервер позже в процессе развертывания. Конфигурации прокси-сервера включают разрешение трафика на URL-адрес датчика и настройку URL-адресов Defender для удостоверений для любых явных списков разрешений, используемых прокси-сервером или брандмауэром. |
Разрешает доступ к Интернету по одному URL-адресу Проверка SSL не поддерживается |
Настройка прокси-сервера конечной точки и параметров подключения к Интернету Запуск автоматической установки с конфигурацией прокси-сервера |
| ExpressRoute | ExpressRoute можно настроить для перенаправления трафика датчика MDI по экспресс-маршруту клиента. Для маршрутизации сетевого трафика, предназначенного для облачных серверов Defender для удостоверений, используйте пиринг Microsoft ExpressRoute и добавьте сообщество BGP службы Microsoft Defender для удостоверений (12076:5220) в фильтр маршрутов. |
Требуется ExpressRoute | Значение сообщества BGP |
| Брандмауэр, использующий Defender для удостоверений Azure IP-адресов | Клиенты, у которых нет прокси-сервера или ExpressRoute, могут настроить брандмауэр с IP-адресами, назначенными облачной службе MDI. Для этого требуется, чтобы клиент отслеживал список IP-адресов Azure на наличие изменений в IP-адресах, используемых облачной службой MDI. Если вы выбрали этот вариант, рекомендуется скачать файл Azure диапазонов IP-адресов и тегов служб — общедоступное облако и использовать тег службы AzureAdvancedThreatProtection, чтобы добавить соответствующие IP-адреса. |
Клиент должен отслеживать назначения IP-адресов Azure | Теги службы виртуальной сети |
Дополнительные сведения см. в разделе архитектура Microsoft Defender для удостоверений.
Требования и рекомендации по датчику
В следующей таблице приведены требования к серверу и рекомендации для датчика Defender для удостоверений.
| Предварительные требования и рекомендации | Описание |
|---|---|
| Спецификации | Обязательно установите Defender для удостоверений в Windows версии 2016 или более поздней на сервере контроллера домена с минимальным числом: — два ядра — 6 ГБ ОЗУ — требуется 6 ГБ дискового пространства, рекомендуется 10 ГБ, включая пространство для двоичных файлов и журналов Defender для удостоверений. Defender для удостоверений поддерживает контроллеры домена только для чтения (RODC). |
| Производительность | Для оптимальной производительности установите для параметра питания компьютера, на котором работает датчик Defender для удостоверений , значение Высокая производительность. |
| Конфигурация сетевого интерфейса | Если вы используете виртуальные машины VMware, убедитесь, что в конфигурации сетевого адаптера виртуальной машины отключена большая разгрузка отправки (LSO). Дополнительные сведения см. в статье Проблема с датчиком виртуальной машины VMware . |
| Период обслуживания | Рекомендуется запланировать период обслуживания для контроллеров домена, так как перезагрузка может потребоваться, если установка выполняется, а перезапуск уже ожидается или если необходимо установить платформа .NET Framework. Если платформа .NET Framework версии 4.7 или более поздней еще не найден в системе, платформа .NET Framework версии 4.7 установлена, и может потребоваться перезагрузка. |
| Серверы федерации AD FS | В средах AD FS датчики Defender для удостоверений поддерживаются только на серверах федерации. Они не требуются на серверах веб-Application Proxy (WAP). |
| серверы Microsoft Entra Connect | Для серверов Microsoft Entra Connect необходимо установить датчики как на активных, так и на промежуточных серверах. |
| Серверы AD CS | Датчик Defender для удостоверений для AD CS поддерживает только серверы AD CS со службой роли центра сертификации. Вам не нужно устанавливать датчики на серверах AD CS, которые находятся в автономном режиме. |
| синхронизация времени; | Серверы и контроллеры домена, на которые установлен датчик, должны синхронизировать время в течение пяти минут друг от друга. |
Минимальные требования к операционной системе
Датчики Defender для удостоверений можно установить в следующих операционных системах:
- Windows Server 2016
-
Windows Server 2019 г.
Требуется KB4487044 или более новое накопительное обновление. Датчики, установленные в Server 2019 без этого обновления, будут автоматически остановлены, если
ntdsai.dllверсия файла, найденная в системном каталоге, является более старойthan 10.0.17763.316 - Windows Server 2022
- Windows Server 2025 г.
Для всех операционных систем:
- Поддерживаются оба сервера с возможностями рабочего стола и серверные ядра.
- Серверы Nano не поддерживаются.
- Установка поддерживается для контроллеров домена, СЕРВЕРОВ AD FS, AD CS и Entra Connect.
Устаревшие операционные системы
Windows Server 2012 и Windows Server 2012 R2 достигли расширенного окончания поддержки 10 октября 2023 г. Датчики, работающие в этих операционных системах, по-прежнему передаются в Defender для удостоверений и даже получают обновления датчиков, но некоторые функции, зависящие от возможностей операционной системы, могут быть недоступны. Рекомендуется обновить все серверы с помощью этих операционных систем.
Необходимые порты
Чтобы включить связь датчика Defender для удостоверений с облачной службой, разрешите исходящий трафик HTTPS в URL-адрес API датчика рабочей области в следующем формате: https://<your-workspace-name>sensorapi.atp.azure.com. Например, если имя рабочей области — Contoso, разрешите трафик в https://contoso-corpsensorapi.atp.azure.com.
| Протокол | Transport | Порт | From | To | Примечания |
|---|---|---|---|---|---|
| Порты Интернета | |||||
| SSL (*.atp.azure.com) | TCP | 443 | Датчик Defender для удостоверений | Облачная служба Defender для удостоверений | Кроме того, настройте доступ через прокси-сервер. |
| Внутренние порты | |||||
| DNS | TCP и UDP | 53 | Датчик Defender для удостоверений | DNS-серверы | |
| Netlogon (SMB, CIFS, SAM-R) |
TCP/UDP | 445 | Датчик Defender для удостоверений | Все устройства в сети (DCs, ADFS, ADCS и Entra Connect) | |
| РАДИУС | UDP | 1813 | РАДИУС | Датчик Defender для удостоверений | |
| Порт Localhost | Требуется для обновления службы датчиков. По умолчанию трафик localhost to localhost разрешен, если пользовательская политика брандмауэра не блокирует его. | ||||
| SSL | TCP | 444 | Служба датчика | Служба обновления датчиков | |
| Порты разрешения сетевых имен (NNR) | Чтобы разрешить IP-адреса в имена компьютеров, рекомендуется открыть все перечисленные порты. Однако требуется только один порт. | ||||
| NTLM по RPC | TCP | Порт 135 | Датчик Defender для удостоверений | Все сетевые устройства (DCs, ADFS, ADCS и Microsoft Entra Connect) | |
| Netbios | UDP | 137 | Датчик Defender для удостоверений | Все сетевые устройства (DCs, ADFS, ADCS и Microsoft Entra Connect) | |
| RDP | TCP | 3389 | Датчик Defender для удостоверений | Все сетевые устройства (DCs, ADFS, ADCS и Microsoft Entra Connect) | Только первый пакет Client hello запрашивает DNS-сервер с помощью обратного поиска DNS IP-адреса (UDP 53) |
Если вы работаете с несколькими лесами, убедитесь, что на любом компьютере, где установлен датчик Defender для удостоверений, открыты следующие порты:
| Протокол | Transport | Порт | To/From | Направление |
|---|---|---|---|---|
| Порты Интернета | ||||
| SSL (*.atp.azure.com) | TCP | 443 | Облачная служба Defender для удостоверений | Исходящий |
| Внутренние порты | ||||
| LDAP | TCP и UDP | 389 | Контроллеры доменов | Исходящий |
| Secure LDAP (LDAPS) | TCP | 636 | Контроллеры доменов | Исходящий |
| LDAP к глобальному каталогу | TCP | 3268 | Контроллеры доменов | Исходящий |
| LDAPS к глобальному каталогу | TCP | 3269 | Контроллеры доменов | Исходящий |
Совет
По умолчанию датчики Defender для удостоверений запрашивают каталог с помощью ПРОТОКОЛА LDAP на портах 389 и 3268. Чтобы переключиться на LDAPS на портах 636 и 3269, откройте обращение в службу поддержки. Дополнительные сведения см. в разделе поддержка Microsoft Defender для удостоверений.
Требования к динамической памяти
В следующей таблице описаны требования к памяти на сервере, используемом для датчика Defender для удостоверений, в зависимости от типа используемой виртуализации:
| Виртуальная машина, запущенная на | Описание |
|---|---|
| Hyper-V | Убедитесь, что параметр Включить динамическую память не включен для виртуальной машины. |
| Vmware | Убедитесь, что настроенный объем памяти и зарезервированная память одинаковы, или выберите параметр Зарезервировать всю гостевую память (все заблокированы) в параметрах виртуальной машины. |
| Другой узел виртуализации | Сведения о том, как обеспечить полное выделение памяти виртуальной машине, см. в предоставленной поставщиком документации. |
Важно!
При запуске в качестве виртуальной машины вся память должна быть выделена виртуальной машине в любое время.
Настройка аудита событий Windows
Обнаружение Defender для удостоверений зависит от определенных записей журнала событий Windows для улучшения обнаружения и предоставления дополнительных сведений о пользователях, выполняющих определенные действия, таких как вход в NTLM и изменения групп безопасности.
Настройте аудит событий Windows на контроллере домена для поддержки обнаружения Defender для удостоверений на портале Defender или с помощью PowerShell.
Тестирование необходимых компонентов
Мы рекомендуем запустить скрипт Test-MdiReadiness.ps1 , чтобы проверить, есть ли в вашей среде необходимые предварительные требования.
Скрипт Test-MdiReadiness.ps1 также доступен в Microsoft Defender XDR на странице Средства удостоверений > (предварительная версия).
Следующее действие
Планирование ресурсов для Microsoft Defender для удостоверений