Inhalt

Defender for Identity, Npcap und Windows Server 2022

Microsoft Defender for Identity ist ein sehr hilfreiches Tool um einen tiefen Einblick in eine Active Directory Umgebung zu erlangen. Die, auf jedem Domain Controller installierten, Agents sammeln dabei unter anderem Informationen direkt aus dem Netzwerkverkehr des Servers und leiten diese an Microsoft Defender weiter.

Für die Analyse nutzt der Agent standardmäßig den WinPcap Treiber. Dieser führt auf einem Windows Server 2022 schon bei mäßiger Auslastung zu folgender Fehlermeldung:

/defender-identity-npcap-windows-server-2022/images/Preview.png

Die CPU, RAM und Netzwerkauslastung des betroffenen Domain Controllers ist jedoch nicht sonderlich hoch.

/defender-identity-npcap-windows-server-2022/images/Performance.png

Die Ursache hier ist der veraltete WinPcap Treiber. Dieser wird seit 2013 nicht mehr aktualisiert und die offizielle Weiterentwicklung wurde eingestellt. Die letzte offiziell unterstützte Betriebssystemversion war Windows Server 2012.

Mit der Agentversion 2.156 bietet Microsoft als Ersatz für WinPcap mittlerweile den Npcap Treiber an.

Dieser Treiber wird aktiv weiterentwickelt und basiert auf einer libpcap Version aus dem Jahr 2021 und nicht 2008.

Dazu hat Microsoft eine entsprechende Lizenzvereinbarung abgeschlossen, die die Nutzung der OEM Version zulässt und so z.B. das Limit von 5 Installationen umgeht. Ein weiterer Vorteil der OEM Version ist, dass Sie sich mittels Script installieren lässt.

Notiz
Microsoft selbst empfiehlt die Nutzung von Npcap mit Defender for Identity.

Npcap mit Defender for Identity nutzen

Damit Defender for Identity den neuen Treiber nutzt muss dieser vor der Installation des Agents installiert werden. Ansonsten installiert der Agent den alten WinPcap Treiber automatisch.

Download

Der erste Schritt ist der Download des neuen Agentpakets.

/defender-identity-npcap-windows-server-2022/images/DownloadAgent.png

Die neue Azure ATP Sensor Setup.zip Datei enthält zwei Setupdateien. Azure ATP Sensor Setup.exe und Npcap-1.00-oem.exe.

/defender-identity-npcap-windows-server-2022/images/DefenderZip.png

Deinstallation

Sollte der Agent schon installiert sein, kann die neue Version inkl. neuem Treiber ohne Neustart des Servers installiert werden werden. Dazu muss aber der aktuelle Agent deinstalliert werden.

/defender-identity-npcap-windows-server-2022/images/WinPCAP.png

# Remove Current sensor version
$RemoveATPSensor = Get-ChildItem "HKLM:\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\" | Get-ItemProperty | Where-Object { $_.DisplayName -eq "Azure Advanced Threat Protection Sensor" } | Select-Object -ExpandProperty BundleCachePath
Start-Process -Wait -NoNewWindow -FilePath $RemoveATPSensor -ArgumentList "/uninstall /quiet"

Wichtig ist, das nach der Deinstallation der Agent und WinPcap entfernt wurden. Sollte WinPcap noch installiert sein, muss es manuell deinstalliert werden.

/defender-identity-npcap-windows-server-2022/images/NotInstalled.png

Installation

Bei der Installation muss der Npcap Treiber als erstes installiert werden. Dabei aktivieren wir den WinPcap kompatible Modus und deaktivieren Loopback Support.

Anschließend kann der Defender for Identity Agent wie gewohnt installiert werden.

# Install Npcap with WinPcap Mode activated and loopback support disabled
Start-Process -Wait -NoNewWindow -FilePath ".\Npcap\npcap-1.00-oem.exe" -ArgumentList "/S /winpcap_mode=yes /loopback_support=no"
# Install Microsoft Defender for Identity Agent
Start-Process -Wait -NoNewWindow -FilePath ".\Azure ATP Sensor Setup.exe" -ArgumentList '/quiet NetFrameworkCommandLineArguments="/q" AccessKey="YOURACCESSKEYHERE" ProxyUrl="http://PROXYURL"'

/defender-identity-npcap-windows-server-2022/images/NPCAP.png

Nach der Umstellung auf den Npcap Treibers kam es nicht mehr zu der oben gezeigten Fehlermeldung. Die von Microsoft versprochenen Performance-Verbesserungen sind somit wirklich vorhanden.