Microsoft Defender for Identity (以下 MDI)とは、企業のオンプレミスActive Directory(以下 AD) 環境を保護するための、クラウドベースのセキュリティソリューションです。
オンプレミスのActive Directory ID とクラウドID 双方のシグナルを利用して、組織に向けられた高度な脅威をより適切に特定、検出、調査することが可能です。
本記事では、MDI センサーインストール時に発生しがちな、「正常性の問題」の解決方法について記載します。
正常性の問題とは
Microsoft Defender for Identity の正常性の問題とは、サービスが正常に動作していない、または構成に問題がある状態を指します。
今回は、「NTLM監査が有効になっていません」という問題の解決方法について記載します。
※ NTLM監査を有効化した場合の影響につきましては、実施環境にて調査いただくようお願いします。
正常性の問題「NTLM監査が有効になっていません」の解決方法
- センサーをインストールしたサーバーにローカル管理者でログオンする
- スタートメニューより[サーバーマネージャー]を起動する
- [ツール]>[グループポリシーの管理]をクリックする
- [グループポリシーの管理]を展開し、[Default Domain Controllers Policy] を右クリックし、[編集]を選択する
- [コンピューターの構成] > [ポリシー] > [Windowsの設定] > [セキュリティの設定] >[監査ポリシーの詳細な構成] > [監査ポリシー]の順に選択する
※[管理用テンプレート]のポップアップが表示された場合は[OK]をクリックする
- [アカウントログオン] をダブルクリックする
- [資格情報の確認の監査]をダブルクリックする
- [次の監査イベントを構成する]をクリックし、[成功]と[失敗]にチェックを入れる
- [適用]を選択後、[OK]をクリックしてタブを閉じる
- [グループポリシー管理エディター]で、[コンピューターの構成] > [ポリシー] > [Windowsの設定] > [セキュリティの設定] > [ローカルポリシー] > [セキュリティオプション]の順に選択する
- [ネットワークセキュリティ:NTLMを制限する]までスクロールし、以下の項目の設定を行う
※設定を行うときは[適用]を選択後、[OK]をクリックして設定を保存する
- [リモートサーバーに対する送信NTLMトラフィック]:[すべて監査]
- [このドメイン内のNTLM認証を監査する]:[すべて有効にする]
- [着信NTLMトラフィックを監査する]:[すべてのアカウントに対して監査を有効にする]
- [コマンドプロンプト]を管理者権限で起動し、以下のコマンドを実行してポリシーを適用する
gpupdate/force
まとめ
今回は、MDIセンサーインストール時に発生しがちな正常性の問題の解決方法について記載しました。
同様の事象が発生した際は、ぜひ本記事をご活用ください。
執筆担当者プロフィール
德島 花梨(日本ビジネスシステムズ株式会社)
通信・サービス本部 クラウドインテグレーション部に所属。Microsoft 365 セキュリティ製品に携わっています。MARVEL映画を見るのが好きです。
担当記事一覧