Host Defender 无法在 Windows Active Directory 服务器上安装,并显示错误“找不到组 S-1-5-32-544”
5238
Created On 07/07/24 20:48 PM - Last Modified 11/01/24 17:20 PM
Symptom
在 Powershell 中运行 defender 安装脚本时,返回以下错误:
Get-LocalGroup : Group S-1-5-32-544 was not found. At C:\Program Files\defender.ps1:214 char:14 + $group = Get-LocalGroup -SID "S-1-5-32-544" + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : ObjectNotFound: (S-1-5-32-544:SecurityIdentifier) [Get-LocalGroup], GroupNotFoundException + FullyQualifiedErrorId : GroupNotFound,Microsoft.PowerShell.Commands.GetLocalGroupCommand
Environment
Prisma 云计算版
Prisma 云运行时安全性(SaaS 企业版)
带有 Active Directory 的 Windows Server
Cause
默认情况下,defender 脚本使用 SID“S-1-5-32-544”查找默认本地组的组名
$group = Get-LocalGroup -SID "S-1-5-32-544"
但是,在充当 Active Directory 服务器的服务器上没有“本地组”。 相反,他们使用“AD 组”
Resolution
1. 编辑 defender.ps1 脚本。 在上次安装失败后,该脚本仍应保留在 Windows VM 中。 它位于“C:/Program Files/Twistlock/scripts”中。
2. 使用任何文本编辑器打开文件,并找到函数“get-admin-group-name”。
function get-admin-group-name {
# Built-in SID for the Administrators group
$group = Get-LocalGroup -SID "S-1-5-32-544"
return $group.Name
}
3. 将其修改为改用 Get-ADGroup 。 修改后的脚本应类似于以下内容:
function get-admin-group-name {
# Built-in SID for the Administrators group
# $group = Get-LocalGroup -SID "S-1-5-32-544"
$group = Get-ADGroup -Identity S-1-5-32-544 -Properties member
return $group.Name
}
4. 保存更改并手动安装 defender,方法是首先在 Powershell 中运行以下命令,确保位于正确的目录中:
cd 'C:/Program Files/Twistlock/scripts'然后运行以下命令:
.\defender.ps1 -type serverWindows -consoleCN xxxxx.cloud.twistlock.com -install* 更改 consoleCN 的值以匹配您的“控制台路径”减去您的客户 ID。 (例 us-east1.cloud.twistlock.com)
5. 主机防御者应已成功安装。