مشاركة عبر

تكوين نهج التدقيق لسجلات أحداث Windows

  • مقالة

لتحسين عمليات الكشف وجمع مزيد من المعلومات حول إجراءات المستخدم مثل عمليات تسجيل دخول NTLM وتغييرات مجموعة الأمان، يعتمد Microsoft Defender for Identity على إدخالات محددة في سجلات أحداث Windows. يعد التكوين المناسب لإعدادات نهج التدقيق المتقدم على وحدات التحكم بالمجال أمرا بالغ الأهمية لتجنب الثغرات في سجلات الأحداث وتغطية Defender for Identity غير المكتملة.

توضح هذه المقالة كيفية تكوين إعدادات نهج التدقيق المتقدم حسب الحاجة لمستشعر Defender for Identity. كما يصف التكوينات الأخرى أنواع أحداث معينة.

ينشئ Defender for Identity مشكلات صحية لكل من هذه السيناريوهات إذا تم اكتشافها. لمزيد من المعلومات، راجع Microsoft Defender for Identity المشكلات الصحية.

المتطلبات الأساسية

إنشاء تقرير بالتكوينات الحالية عبر PowerShell

قبل البدء في إنشاء نهج جديدة للحدث والتدقيق، نوصي بتشغيل أمر PowerShell التالي لإنشاء تقرير عن تكوينات المجال الحالية:

New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]

في الأمر السابق:

  • Path يحدد المسار الذي يجب حفظ التقارير إليه.
  • Mode يحدد ما إذا كنت تريد استخدام Domain أو LocalMachine الوضع. في Domain الوضع، يتم جمع الإعدادات من كائنات نهج المجموعة (GPOs). في LocalMachine الوضع، يتم جمع الإعدادات من الجهاز المحلي.
  • OpenHtmlReport يفتح تقرير HTML بعد إنشاء التقرير.

على سبيل المثال، لإنشاء تقرير وفتحه في المستعرض الافتراضي، قم بتشغيل الأمر التالي:

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

لمزيد من المعلومات، راجع مرجع DefenderforIdentity PowerShell.

تلميح

Domain يتضمن تقرير الوضع التكوينات التي تم تعيينها فقط كنهج مجموعة على المجال. إذا كانت لديك إعدادات محددة محليا على وحدات التحكم بالمجال، نوصي أيضا بتشغيل البرنامج النصي Test-MdiReadiness.ps1 .

تكوين التدقيق لوحدات التحكم بالمجال

قم بتحديث إعدادات نهج التدقيق المتقدم والتكوينات الإضافية لأحداث وأنواع أحداث معينة، مثل المستخدمين والمجموعات وأجهزة الكمبيوتر والمزيد. تتضمن تكوينات التدقيق لوحدات التحكم بالمجال ما يلي:

لمزيد من المعلومات، راجع الأسئلة المتداولة حول تدقيق الأمان المتقدم.

استخدم الإجراءات التالية لتكوين التدقيق على وحدات التحكم بالمجال التي تستخدمها مع Defender for Identity.

تكوين إعدادات نهج التدقيق المتقدم من واجهة المستخدم

يصف هذا الإجراء كيفية تعديل إعدادات نهج التدقيق المتقدم لوحدة التحكم بالمجال حسب الحاجة ل Defender for Identity عبر واجهة المستخدم.

مشكلة صحية ذات صلة:لم يتم تمكين التدقيق المتقدم لخدمات الدليل كما هو مطلوب

لتكوين إعدادات نهج التدقيق المتقدم:

  1. سجل الدخول إلى الخادم كمسؤول المجال.

  2. افتح المحرر إدارة نهج المجموعة منأدوات>إدارة> الخادم نهج المجموعة Management.

  3. قم بتوسيع وحدات التحكم بالمجال التنظيمية، وانقر بزر الماوس الأيمن فوق نهج وحدات التحكم بالمجال الافتراضية، ثم حدد تحرير.

    لقطة شاشة لجزء تحرير النهج الافتراضي لوحدات التحكم بالمجال.

    ملاحظة

    استخدم نهج وحدات التحكم بالمجال الافتراضية أو عنصر نهج نهج المجموعة المخصص لتعيين هذه النهج.

  4. في النافذة التي تفتح، انتقل إلى نهج تكوين>> الكمبيوترإعدادات> إعداداتWindows إعدادات الأمان. استنادا إلى النهج الذي تريد تمكينه، قم بما يلي:

    1. انتقل إلى نهجتدقيق تكوين نهج >التدقيق المتقدمة.

      لقطة شاشة للتحديدات لفتح نهج التدقيق.

    2. ضمن نهج التدقيق، قم بتحرير كل نهج من النهج التالية وحدد تكوين أحداث التدقيق التالية لكل من أحداث النجاحوالفشل .

      نهج التدقيق فئه فرعيه تشغيل معرفات الأحداث
      تسجيل الدخول إلى الحساب التحقق من صحة بيانات اعتماد التدقيق 4776
      إدارة الحساب تدقيق إدارة حساب الكمبيوتر* 4741, 4743
      إدارة الحساب إدارة مجموعة توزيع التدقيق* 4753, 4763
      إدارة الحساب إدارة مجموعة أمان التدقيق* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      إدارة الحساب تدقيق إدارة حساب المستخدم 4726
      الوصول إلى DS تدقيق تغييرات خدمة الدليل* 5136
      نظام ملحق نظام أمان التدقيق* 7045
      الوصول إلى DS تدقيق الوصول إلى خدمة الدليل 4662 - بالنسبة لهذا الحدث، يجب عليك أيضا تكوين تدقيق عنصر المجال.

      ملاحظة

      * لا تدعم الفئات الفرعية المذكورة أحداث الفشل. ومع ذلك، نوصي بإضافتها لأغراض التدقيق في حالة تنفيذها في المستقبل. لمزيد من المعلومات، راجع تدقيق إدارة حساب الكمبيوتر وإدارة مجموعة أمان التدقيقوملحق نظام أمان التدقيق.

      على سبيل المثال، لتكوين إدارة مجموعة أمان التدقيق، ضمن إدارة الحساب، انقر نقرا مزدوجا فوق إدارة مجموعة أمان التدقيق، ثم حدد تكوين أحداث التدقيق التالية لكل من أحداث النجاحوالفشل .

      لقطة شاشة لمربع حوار خصائص إدارة مجموعة أمان التدقيق.

  5. من موجه أوامر غير مقيد، أدخل gpupdate.

  6. بعد تطبيق النهج عبر عنصر نهج المجموعة، تأكد من ظهور الأحداث الجديدة في عارض الأحداث، ضمن أمن سجلات> Windows.

لاختبار نهج التدقيق من سطر الأوامر، قم بتشغيل الأمر التالي:

auditpol.exe /get /category:*

لمزيد من المعلومات، راجع الوثائق المرجعية لإدارة التدقيق.

تكوين إعدادات نهج التدقيق المتقدم باستخدام PowerShell

تصف الإجراءات التالية كيفية تعديل إعدادات نهج التدقيق المتقدم لوحدة التحكم بالمجال حسب الحاجة ل Defender for Identity باستخدام PowerShell.

مشكلة صحية ذات صلة:لم يتم تمكين التدقيق المتقدم لخدمات الدليل كما هو مطلوب

لتكوين الإعدادات الخاصة بك، قم بتشغيل:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

في الأمر السابق:

  • Mode يحدد ما إذا كنت تريد استخدام Domain أو LocalMachine الوضع. في Domain الوضع، يتم جمع الإعدادات من كائنات نهج المجموعة. في LocalMachine الوضع، يتم جمع الإعدادات من الجهاز المحلي.
  • Configuration يحدد التكوين الذي يجب تعيينه. استخدم All لتعيين جميع التكوينات.
  • CreateGpoDisabled يحدد ما إذا تم إنشاء عناصر نهج المجموعة والاحتفاظ بها على أنها معطلة.
  • SkipGpoLink يحدد عدم إنشاء ارتباطات عنصر نهج المجموعة.
  • Force يحدد تعيين التكوين أو إنشاء عناصر نهج المجموعة دون التحقق من صحة الحالة الحالية.

لعرض نهج التدقيق، استخدم Get-MDIConfiguration الأمر لإظهار القيم الحالية:

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

في الأمر السابق:

  • Mode يحدد ما إذا كنت تريد استخدام Domain أو LocalMachine الوضع. في Domain الوضع، يتم جمع الإعدادات من كائنات نهج المجموعة. في LocalMachine الوضع، يتم جمع الإعدادات من الجهاز المحلي.
  • Configuration يحدد التكوين الذي يجب الحصول عليه. استخدم All للحصول على جميع التكوينات.

لاختبار نهج التدقيق الخاصة بك، استخدم Test-MDIConfiguration الأمر للحصول على أو false استجابة true حول ما إذا كانت القيم قد تم تكوينها بشكل صحيح:

Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

في الأمر السابق:

  • Mode يحدد ما إذا كنت تريد استخدام Domain أو LocalMachine الوضع. في Domain الوضع، يتم جمع الإعدادات من كائنات نهج المجموعة. في LocalMachine الوضع، يتم جمع الإعدادات من الجهاز المحلي.
  • Configuration يحدد التكوين الذي يجب اختباره. استخدم All لاختبار جميع التكوينات.

لمزيد من المعلومات، راجع مراجع DefenderForIdentity PowerShell التالية:

تكوين تدقيق NTLM

يصف هذا القسم خطوات التكوين الإضافية التي تحتاجها لتدقيق حدث Windows 8004.

ملاحظة

  • يجب تطبيق نهج مجموعة المجال لجمع حدث Windows 8004 فقط على وحدات التحكم بالمجال.
  • عندما يقوم مستشعر Defender for Identity بتحليل حدث Windows 8004، يتم إثراء أنشطة مصادقة Defender for Identity NTLM بالبيانات التي يصل إليها الخادم.

مشكلة صحية ذات صلة:لم يتم تمكين تدقيق NTLM

لتكوين تدقيق NTLM:

  1. بعد تكوين إعدادات نهج التدقيق المتقدمة الأولية (عبر واجهة المستخدم أو PowerShell)، افتح نهج المجموعة Management. ثم انتقل إلى خيارات أمانالنهج> المحلية لنهج> وحدات التحكم بالمجالالافتراضية.

  2. تكوين نهج الأمان المحددة كما يلي:

    إعداد نهج الأمان قيمة
    أمان الشبكة: تقييد حركة مرور NTLM الصادرة إلى الخوادم البعيدة تدقيق الكل
    أمان الشبكة: تقييد NTLM: تدقيق مصادقة NTLM في هذا المجال تمكين الكل
    أمان الشبكة: تقييد NTLM: تدقيق حركة مرور NTLM الواردة تمكين التدقيق لجميع الحسابات

على سبيل المثال، لتكوين نسبة استخدام الشبكة الصادرة NTLM إلى الخوادم البعيدة، ضمن خيارات الأمان، انقر نقرا مزدوجا فوق أمان الشبكة: تقييد حركة مرور NTLM الصادرة إلى الخوادم البعيدة، ثم حدد تدقيق الكل.

لقطة شاشة لتكوين التدقيق لحركة مرور NTLM الصادرة إلى الخوادم البعيدة.

تكوين تدقيق كائن المجال

لتجميع الأحداث لتغييرات الكائن، مثل الحدث 4662، يجب عليك أيضا تكوين تدقيق الكائنات على المستخدم والمجموعة والكمبيوتر والكائنات الأخرى. يصف الإجراء التالي كيفية تمكين التدقيق في مجال Active Directory.

هام

مراجعة نهجك وتدقيقها (عبر واجهة المستخدم أو PowerShell) قبل تمكين مجموعة الأحداث، للتأكد من تكوين وحدات التحكم بالمجال بشكل صحيح لتسجيل الأحداث الضرورية. إذا تم تكوين هذا التدقيق بشكل صحيح، يجب أن يكون له تأثير ضئيل على أداء الخادم.

مشكلة صحية ذات صلة:لم يتم تمكين تدقيق كائن خدمات الدليل كما هو مطلوب

لتكوين تدقيق كائن المجال:

  1. انتقل إلى وحدة تحكم Active Directory Users and Computers.

  2. حدد المجال الذي تريد تدقيقه.

  3. حدد القائمة عرض ، ثم حدد ميزات متقدمة.

  4. انقر بزر الماوس الأيمن فوق المجال وحدد خصائص.

    لقطة شاشة للتحديدات لفتح خصائص الحاوية.

  5. انتقل إلى علامة التبويب الأمان ، ثم حدد خيارات متقدمة.

    لقطة شاشة لمربع الحوار لفتح خصائص الأمان المتقدمة.

  6. في Advanced Security Settings، حدد علامة التبويب Auditing ، ثم حدد Add.

    لقطة شاشة لعلامة التبويب Auditing في مربع الحوار Advanced Security Settings.

  7. اختر تحديد أساس.

    لقطة شاشة للزر لتحديد كيان.

  8. ضمن أدخل اسم العنصر المراد تحديده، أدخل الجميع. ثم حدد التحقق من الأسماء>موافق.

    لقطة شاشة لإدخال اسم عنصر

  9. ثم تعود إلى إدخال التدقيق. قم بإجراء التحديدات التالية:

    1. بالنسبة إلى النوع، حدد نجاح.

    2. بالنسبة إلى ينطبق على، حدد عناصر المستخدم التابعة.

    3. ضمن الأذونات، قم بالتمرير لأسفل وحدد الزر مسح الكل .

      لقطة شاشة للزر لمسح جميع الأذونات.

    4. قم بالتمرير احتياطيا وحدد التحكم الكامل. يتم تحديد جميع الأذونات.

    5. قم بإلغاء تحديد محتويات القائمةوقراءة كافة الخصائص وأذونات القراءة ، ثم حدد موافق. تعين هذه الخطوة كافة إعدادات الخصائص إلى كتابة.

      لقطة شاشة لتحديد الأذونات.

      الآن، تظهر جميع التغييرات ذات الصلة بخدمات الدليل ك 4662 حدثا عند تشغيلها.

  10. كرر الخطوات الواردة في هذا الإجراء، ولكن بالنسبة إلى ينطبق على، حدد أنواع العناصر التالية:

    • عناصر المجموعة التابعة
    • عناصر الكمبيوتر التابعة
    • العناصر التابعة msDS-GroupManagedServiceAccount
    • العناصر التابعة msDS-ManagedServiceAccount

ملاحظة

سيعمل تعيين أذونات التدقيق على كافة العناصر التابعة أيضا، ولكنك تحتاج فقط إلى أنواع العناصر المفصلة في الخطوة الأخيرة.

تكوين التدقيق على AD FS

مشكلة صحية ذات صلة:لم يتم تمكين التدقيق على حاوية AD FS كما هو مطلوب

لتكوين التدقيق على خدمات الأمان المشترك لـ Active Directory (AD FS):

  1. انتقل إلى وحدة تحكم Active Directory Users and Computers، وحدد المجال الذي تريد تمكين السجلات فيه.

  2. انتقل إلى بيانات البرنامج>Microsoft>ADFS.

    لقطة شاشة لحاوية خدمات الأمان المشترك لـ Active Directory.

  3. انقر بزر الماوس الأيمن فوق ADFS وحدد خصائص.

  4. انتقل إلى علامة التبويب Security وحدد Advanced Advanced>Security Settings. ثم انتقل إلى علامة التبويب Auditing وحدد Add>Select a principal.

  5. ضمن أدخل اسم العنصر المراد تحديده، أدخل الجميع. ثم حدد التحقق من الأسماء>موافق.

  6. ثم تعود إلى إدخال التدقيق. قم بإجراء التحديدات التالية:

    • بالنسبة إلى النوع، حدد الكل.
    • بالنسبة إلى ينطبق على، حدد هذا الكائن وجميع العناصر التابعة.
    • ضمن Permissions، قم بالتمرير لأسفل وحدد Clear all. قم بالتمرير لأعلى وحدد قراءة جميع الخصائصوكتابة جميع الخصائص.

    لقطة شاشة لإعدادات التدقيق خدمات الأمان المشترك لـ Active Directory.

  7. حدد موافق.

تكوين التسجيل المطول لأحداث AD FS

يجب أن تحتوي أجهزة الاستشعار التي تعمل على خوادم AD FS على مستوى التدقيق المعين إلى مطول للأحداث ذات الصلة. على سبيل المثال، استخدم الأمر التالي لتكوين مستوى التدقيق إلى مطول:

Set-AdfsProperties -AuditLevel Verbose

تكوين التدقيق على AD CS

إذا كنت تعمل مع خادم مخصص تم تكوين خدمات شهادات Active Directory (AD CS)، فقم بتكوين التدقيق كما يلي لعرض التنبيهات المخصصة وتقارير درجة الأمان:

  1. إنشاء نهج مجموعة لتطبيقه على خادم AD CS. قم بتحريره وتكوين إعدادات التدقيق التالية:

    1. انتقل إلى Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Object Access\Audit Certification Services.

    2. حدد خانات الاختيار لتكوين أحداث التدقيق للنجاحوالفشل.

      لقطة شاشة لتكوين أحداث التدقيق لخدمات شهادات Active Directory في المحرر إدارة نهج المجموعة.

  2. تكوين التدقيق على المرجع المصدق (CA) باستخدام إحدى الطرق التالية:

    • لتكوين تدقيق CA باستخدام سطر الأوامر، قم بتشغيل:

      certutil –setreg CA\AuditFilter 127 


net stop certsvc && net start certsvc

    • لتكوين تدقيق CA باستخدام واجهة المستخدم الرسومية:

      1. حدد Start>Certification Authority (تطبيق MMC Desktop). انقر بزر الماوس الأيمن فوق اسم المرجع المصدق وحدد خصائص.

        لقطة شاشة لمربع حوار المرجع المصدق.

      2. حدد علامة التبويب Auditing ، وحدد جميع الأحداث التي تريد تدقيقها، ثم حدد Apply.

        لقطة شاشة لعلامة التبويب Auditing لخصائص المرجع المصدق.

ملاحظة

قد يؤدي تكوين بدء وإيقاف تدقيق حدث خدمات شهادات Active Directory إلى تأخير إعادة التشغيل عند التعامل مع قاعدة بيانات AD CS كبيرة. ضع في اعتبارك إزالة الإدخالات غير ذات الصلة من قاعدة البيانات. بدلا من ذلك، امتنع عن تمكين هذا النوع المحدد من الأحداث.

تكوين التدقيق على Microsoft Entra Connect

لتكوين التدقيق على خوادم Microsoft Entra Connect:

  • إنشاء نهج مجموعة لتطبيقه على خوادم Microsoft Entra Connect. قم بتحريره وتكوين إعدادات التدقيق التالية:

    1. انتقل إلى Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Logon.

    2. حدد خانات الاختيار لتكوين أحداث التدقيق للنجاحوالفشل.

لقطة شاشة المحرر إدارة نهج المجموعة.

تكوين التدقيق على حاوية التكوين

ملاحظة

يتم إعادة تسجيل تدقيق حاوية التكوين فقط للبيئات التي تحتوي حاليا أو سبق لها Microsoft Exchange، حيث تحتوي هذه البيئات على حاوية Exchange موجودة داخل قسم تكوين المجال.

مشكلة صحية ذات صلة:لم يتم تمكين التدقيق على حاوية التكوين كما هو مطلوب

  1. افتح أداة ADSI Edit. حدد بدء>تشغيل، وأدخل ADSIEdit.msc، ثم حدد موافق.

  2. في قائمة Action ، حدد Connect to.

  3. في مربع الحوار إعدادات الاتصال ، ضمن تحديد سياق تسمية معروف، حدد التكوين>موافق.

  4. قم بتوسيع حاوية التكوين لإظهار عقدة التكوين ، والتي تبدأ ب "CN=Configuration,DC=...".

  5. انقر بزر الماوس الأيمن فوق عقدة التكوين وحدد خصائص.

    لقطة شاشة للتحديدات لفتح خصائص عقدة التكوين.

  6. حدد علامة التبويب الأمان ، ثم حدد خيارات متقدمة.

  7. في Advanced Security Settings، حدد علامة التبويب Auditing ، ثم حدد Add.

  8. اختر تحديد أساس.

  9. ضمن أدخل اسم العنصر المراد تحديده، أدخل الجميع. ثم حدد التحقق من الأسماء>موافق.

  10. ثم تعود إلى إدخال التدقيق. قم بإجراء التحديدات التالية:

    • بالنسبة إلى النوع، حدد الكل.
    • بالنسبة إلى ينطبق على، حدد هذا الكائن وجميع العناصر التابعة.
    • ضمن Permissions، قم بالتمرير لأسفل وحدد Clear all. قم بالتمرير لأعلى وحدد Write all properties.

    لقطة شاشة لإعدادات التدقيق لحاوية التكوين.

  11. حدد موافق.

تحديث التكوينات القديمة

لم يعد Defender for Identity يتطلب تسجيل 1644 حدثا. إذا تم تمكين أي من الإعدادات التالية، يمكنك إزالتها من السجل.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

المحتويات ذات الصلة

لمزيد من المعلومات، اطلع على:

الخطوة التالية

ما هي أدوار وأذونات Defender for Identity؟