Sdílet prostřednictvím

Konfigurace zásad auditu pro protokoly událostí Windows

  • Článek

Pokud chcete zvýšit detekci a shromáždit další informace o akcích uživatelů, jako jsou přihlášení ntLM a změny skupin zabezpečení, Microsoft Defender for Identity spoléhá na konkrétní položky v protokolech událostí Systému Windows. Správná konfigurace nastavení rozšířených zásad auditu na řadičích domény je zásadní pro zabránění mezerám v protokolech událostí a neúplném pokrytí identity v defenderu.

Tento článek popisuje, jak nakonfigurovat nastavení rozšířených zásad auditu podle potřeby pro senzor identity v programu Defender for Identity. Popisuje také další konfigurace pro konkrétní typy událostí.

Defender for Identity generuje problémy se stavem pro každý z těchto scénářů, pokud jsou zjištěny. Další informace najdete v tématu Problémy se stavem identity v programu Microsoft Defender for Identity.

Požadavky

  • Než spustíte příkazy Defender for Identity PowerShellu, ujistěte se, že jste stáhli modul PowerShellu pro defender for Identity.

Generování sestavy aktuálních konfigurací pomocí PowerShellu

Než začnete vytvářet nové zásady událostí a auditu, doporučujeme spustit následující příkaz PowerShellu a vygenerovat sestavu aktuálních konfigurací domény:

New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]

V předcházejícím příkazu:

  • Path určuje cestu k uložení sestav.
  • Mode určuje, jestli chcete použít Domain nebo LocalMachine režim. V Domain režimu se nastavení shromažďují z objektů zásad skupiny (GPO). V LocalMachine režimu se nastavení shromažďují z místního počítače.
  • OpenHtmlReport po vygenerování sestavy otevře sestavu HTML.

Pokud například chcete vygenerovat sestavu a otevřít ji ve výchozím prohlížeči, spusťte následující příkaz:

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

Další informace najdete v referenčních informacích k PowerShellu DefenderforIdentity.

Tip

Sestava Domain režimu obsahuje pouze konfigurace nastavené jako zásady skupiny v doméně. Pokud máte nastavení definovaná místně na řadičích domény, doporučujeme spustit také skript Test-MdiReadiness.ps1 .

Konfigurace auditování pro řadiče domény

Aktualizujte nastavení rozšířených zásad auditu a další konfigurace pro konkrétní události a typy událostí, jako jsou uživatelé, skupiny, počítače a další. Konfigurace auditu pro řadiče domény zahrnují:

Další informace najdete v tématu Nejčastější dotazy k rozšířenému auditování zabezpečení.

Pomocí následujících postupů nakonfigurujte auditování řadičů domény, které používáte s defenderem pro identitu.

Konfigurace upřesňujících nastavení zásad auditu z uživatelského rozhraní

Tento postup popisuje, jak upravit nastavení rozšířených zásad auditu řadiče domény podle potřeby pro Defender for Identity prostřednictvím uživatelského rozhraní.

Související problém se stavem: Rozšířené auditování adresářových služeb není povolené podle potřeby

Konfigurace nastavení rozšířených zásad auditu:

  1. Přihlaste se k serveru jako správce domény.

  2. Otevřete Editor pro správu zásad skupiny v nástroji Správce serveru> Nástroje pro>správu zásad skupiny.

  3. Rozbalte organizační jednotky řadičů domény, klikněte pravým tlačítkem myši na výchozí zásady řadičů domény a pak vyberte Upravit.

    Snímek obrazovky s podoknem pro úpravu výchozích zásad pro řadiče domény

    Poznámka:

    K nastavení těchto zásad použijte zásady výchozích řadičů domény nebo vyhrazený objekt zásad skupiny.

  4. V okně, které se otevře, přejděte na Nastavení zabezpečení nastavení nastavení>systému Windows Zásady>konfigurace>počítače. V závislosti na zásadách, které chcete povolit, udělejte toto:

    1. Přejděte do části Pokročilé zásady auditování zásad>auditu.

      Snímek obrazovky s výběrem pro otevření zásad auditu

    2. V části Zásady auditu upravte každou z následujících zásad a vyberte Konfigurovat následující události auditu pro události úspěch i selhání .

      Zásady auditu Podkategorie Triggery ID událostí
      Přihlášení k účtu Auditovat ověření přihlašovacích údajů 4776
      Správa účtů Auditovat správu účtů počítače* 4741, 4743
      Správa účtů Auditovat správu distribuční skupiny* 4753, 4763
      Správa účtů Auditovat správu skupin zabezpečení* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Správa účtů Auditovat správu uživatelských účtů 4726
      DS Access Audit změn adresářové služby* 5136
      Systém Auditovat rozšíření systému zabezpečení* 7045
      DS Access Auditovat přístup k adresářové službě 4662 – Pro tuto událost musíte také nakonfigurovat auditování objektů domény.

      Poznámka:

      * Uvedené podkategorie nepodporují události selhání. Doporučujeme je ale přidat pro účely auditování v případě, že budou v budoucnu implementovány. Další informace najdete v tématu Auditovat správu účtů počítače, auditovat správu skupin zabezpečení a rozšíření Audit Security System.

      Chcete-li například nakonfigurovat správu skupin zabezpečení auditování, v části Správa účtů poklikejte na Auditovat správu skupin zabezpečení a pak vyberte Konfigurovat následující události auditu pro události úspěch i selhání.

      Snímek obrazovky s dialogovým oknem Auditovat vlastnosti správy skupin zabezpečení

  5. Z příkazového řádku se zvýšenými oprávněními zadejte gpupdate.

  6. Jakmile zásadu použijete prostřednictvím objektu zásad, v části Zabezpečení protokolů>systému Windows se zobrazí nové události v Prohlížeč událostí.

Pokud chcete otestovat zásady auditu z příkazového řádku, spusťte následující příkaz:

auditpol.exe /get /category:*

Další informace najdete v referenční dokumentaci k auditpolu.

Konfigurace nastavení rozšířených zásad auditu pomocí PowerShellu

Následující akce popisují, jak upravit nastavení rozšířených zásad auditu řadiče domény podle potřeby pro Defender for Identity pomocí PowerShellu.

Související problém se stavem: Rozšířené auditování adresářových služeb není povolené podle potřeby

Pokud chcete nakonfigurovat nastavení, spusťte:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

V předcházejícím příkazu:

  • Mode určuje, jestli chcete použít Domain nebo LocalMachine režim. V Domain režimu se nastavení shromažďují z objektů zásad skupiny. V LocalMachine režimu se nastavení shromažďují z místního počítače.
  • Configuration určuje, která konfigurace se má nastavit. Slouží All k nastavení všech konfigurací.
  • CreateGpoDisabled určuje, jestli se objekty zásad skupiny vytvářejí a uchovávají jako zakázané.
  • SkipGpoLink určuje, že se nevytvořily odkazy objektů zásad zásad služby.
  • Force Určuje, že konfigurace je nastavena nebo objekty zásad skupiny jsou vytvořeny bez ověření aktuálního stavu.

Pokud chcete zobrazit zásady auditu, použijte Get-MDIConfiguration příkaz k zobrazení aktuálních hodnot:

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

V předcházejícím příkazu:

  • Mode určuje, jestli chcete použít Domain nebo LocalMachine režim. V Domain režimu se nastavení shromažďují z objektů zásad skupiny. V LocalMachine režimu se nastavení shromažďují z místního počítače.
  • Configuration určuje, která konfigurace se má získat. Slouží All k získání všech konfigurací.

Pokud chcete otestovat zásady auditu, pomocí Test-MDIConfiguration příkazu získejte true odpověď false , jestli jsou hodnoty správně nakonfigurované:

Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

V předcházejícím příkazu:

  • Mode určuje, jestli chcete použít Domain nebo LocalMachine režim. V Domain režimu se nastavení shromažďují z objektů zásad skupiny. V LocalMachine režimu se nastavení shromažďují z místního počítače.
  • Configuration určuje, která konfigurace se má testovat. Slouží All k otestování všech konfigurací.

Další informace najdete v následujících odkazech powershellu DefenderForIdentity:

Konfigurace auditování NTLM

Tato část popisuje další kroky konfigurace, které potřebujete pro auditování události Systému Windows 8004.

Poznámka:

  • Zásady skupiny domén pro shromažďování událostí Systému Windows 8004 by se měly použít jenom na řadiče domény.
  • Když senzor služby Defender for Identity analyzuje událost Systému Windows 8004, aktivity ověřování Defender for Identity NTLM jsou rozšířeny o data přístupná k serveru.

Související problém se stavem: Auditování NTLM není povolené

Konfigurace auditování NTLM:

  1. Po nakonfigurování počátečního nastavení rozšířených zásad auditu (prostřednictvím uživatelského rozhraní nebo PowerShellu) otevřete správu zásad skupiny. Pak přejděte na výchozí možnosti zabezpečení zásad místních zásad>>řadiče domény.

  2. Konfigurujte zadané zásady zabezpečení následujícím způsobem:

    Nastavení zásad zabezpečení Hodnota
    Zabezpečení sítě: Omezení protokolu NTLM: Odchozí provoz NTLM na vzdálené servery Auditovat vše
    Zabezpečení sítě: Omezení protokolu NTLM: Audit ověřování NTLM v této doméně Povolit vše
    Zabezpečení sítě: Omezení protokolu NTLM: Audit příchozího provozu NTLM Povolení auditování pro všechny účty

Chcete-li například nakonfigurovat odchozí provoz NTLM na vzdálené servery, v části Možnosti zabezpečení poklikejte na zabezpečení sítě: Omezit protokol NTLM: Odchozí provoz NTLM na vzdálené servery a pak vyberte Audit vše.

Snímek obrazovky s konfigurací auditu pro odchozí provoz NTLM na vzdálené servery

Konfigurace auditování objektů domény

Chcete-li shromažďovat události pro změny objektů, například pro událost 4662, musíte také nakonfigurovat auditování objektů pro uživatele, skupinu, počítač a další objekty. Následující postup popisuje, jak povolit auditování v doméně služby Active Directory.

Důležité

Před povolením shromažďování událostí zkontrolujte a auditujte zásady (prostřednictvím uživatelského rozhraní nebo PowerShellu), abyste měli jistotu, že řadiče domény jsou správně nakonfigurované tak, aby zaznamenávaly potřebné události. Pokud je toto auditování správně nakonfigurované, mělo by mít minimální vliv na výkon serveru.

Související problém se stavem: Auditování objektů adresářových služeb není povolené podle potřeby

Konfigurace auditování objektů domény:

  1. Přejděte do konzoly Uživatelé a počítače služby Active Directory.

  2. Vyberte doménu, kterou chcete auditovat.

  3. Vyberte nabídku Zobrazit a pak vyberte Rozšířené funkce.

  4. Klikněte pravým tlačítkem myši na doménu a vyberte Vlastnosti.

    Snímek obrazovky s výběry pro otevření vlastností kontejneru

  5. Přejděte na kartu Zabezpečení a pak vyberte Upřesnit.

    Snímek obrazovky s dialogovým oknem pro otevření rozšířených vlastností zabezpečení

  6. V části Upřesnit nastavení zabezpečení vyberte kartu Auditování a pak vyberte Přidat.

    Snímek obrazovky s kartou Auditování v dialogovém okně Upřesnit nastavení zabezpečení

  7. Zvolte Vybrat objekt zabezpečení.

    Snímek obrazovky s tlačítkem pro výběr objektu zabezpečení

  8. V části Zadejte název objektu, který chcete vybrat, zadejte Všichni. Pak vyberte Zkontrolovat názvy>OK.

    Snímek obrazovky se zadáním názvu objektu Všichni

  9. Pak se vrátíte do položky auditování. Proveďte následující možnost:

    1. Jako typ vyberte Úspěch.

    2. Chcete-li použít, vyberte objekty potomků uživatele.

    3. V části Oprávnění se posuňte dolů a vyberte tlačítko Vymazat vše .

      Snímek obrazovky s tlačítkem pro vymazání všech oprávnění

    4. Posuňte se zpět nahoru a vyberte Úplné řízení. Jsou vybrána všechna oprávnění.

    5. Zrušte výběr obsahu seznamu, číst všechny vlastnosti a oprávnění ke čtení a pak vyberte OK. Tento krok nastaví všechna nastavení vlastností na Zapisovat.

      Snímek obrazovky s výběrem oprávnění

      Teď se všechny relevantní změny adresářových služeb zobrazí jako události 4662, když se aktivují.

  10. Opakujte kroky v tomto postupu, ale pro příkaz Platí pro vyberte následující typy objektů:

    • Objekty skupiny potomků
    • Objekty počítače potomků
    • Potomek msDS-GroupManagedServiceAccount – objekty
    • Potomky msDS-ManagedServiceAccount – objekty

Poznámka:

Přiřazení oprávnění auditování pro všechny potomky by také fungovalo, ale v posledním kroku potřebujete jenom typy objektů podrobně popsané v posledním kroku.

Konfigurace auditování ve službě AD FS

Související problém se stavem: Auditování kontejneru služby AD FS není povolené podle potřeby

Konfigurace auditování v Active Directory Federation Services (AD FS) (AD FS):

  1. Přejděte do konzoly Uživatelé a počítače služby Active Directory a vyberte doménu, ve které chcete protokoly povolit.

  2. Přejděte na Program Data>Microsoft>ADFS.

    Snímek obrazovky kontejneru pro Active Directory Federation Services (AD FS)

  3. Klikněte pravým tlačítkem myši na ADFS a vyberte Vlastnosti.

  4. Přejděte na kartu Zabezpečení a vyberte Upřesnit>nastavení zabezpečení. Pak přejděte na kartu Auditování a vyberte Přidat>objekt zabezpečení.

  5. V části Zadejte název objektu, který chcete vybrat, zadejte Všichni. Pak vyberte Zkontrolovat názvy>OK.

  6. Pak se vrátíte do položky auditování. Proveďte následující možnost:

    • Jako typ vyberte Vše.
    • Chcete-li použít, vyberte Tento objekt a všechny potomky objekty.
    • V části Oprávnění se posuňte dolů a vyberte Vymazat vše. Posuňte se nahoru a vyberte Číst všechny vlastnosti a Zapisovat všechny vlastnosti.

    Snímek obrazovky s nastavením auditování pro Active Directory Federation Services (AD FS)

  7. Vyberte OK.

Konfigurace podrobného protokolování pro události služby AD FS

Senzory spuštěné na serverech SLUŽBY AD FS musí mít nastavenou úroveň auditování pro relevantní události. Například pomocí následujícího příkazu nakonfigurujte úroveň auditování na Podrobné:

Set-AdfsProperties -AuditLevel Verbose

Konfigurace auditování ve službě AD CS

Pokud pracujete s vyhrazeným serverem, který má nakonfigurovanou službu AD CS (Active Directory Certificate Services), nakonfigurujte auditování následujícím způsobem, abyste zobrazili vyhrazená upozornění a sestavy skóre zabezpečení:

  1. Vytvořte zásadu skupiny, která se použije na server AD CS. Upravte ho a nakonfigurujte následující nastavení auditování:

    1. Přejděte na Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Přístup k objektům\Audit Certifikační služby.

    2. Zaškrtnutím políček nakonfigurujte události auditu pro úspěch a selhání.

      Snímek obrazovky konfigurace událostí auditu pro službu Active Directory Certificate Services v editoru správy zásad skupiny

  2. Nakonfigurujte auditování certifikační autority (CA) pomocí jedné z následujících metod:

    • Pokud chcete nakonfigurovat auditování certifikační autority pomocí příkazového řádku, spusťte:

      certutil –setreg CA\AuditFilter 127 


net stop certsvc && net start certsvc

    • Konfigurace auditování certifikační autority pomocí grafického uživatelského rozhraní:

      1. Vyberte Spustit>certifikační autoritu (desktopová aplikace MMC). Klikněte pravým tlačítkem na název certifikační autority a vyberte Vlastnosti.

        Snímek obrazovky s dialogem Certifikační autorita

      2. Vyberte kartu Auditování, vyberte všechny události, které chcete auditovat, a pak vyberte Použít.

        Snímek obrazovky s kartou Auditování vlastností certifikační autority

Poznámka:

Konfigurace auditování událostí spustit a zastavit službu Active Directory Certificate Services může způsobit zpoždění při restartování při práci s velkou databází SLUŽBY AD CS. Zvažte odebrání irelevantních položek z databáze. Případně se zdržte povolení tohoto konkrétního typu události.

Konfigurace auditování na webu Microsoft Entra Connect

Konfigurace auditování na serverech Microsoft Entra Connect:

  • Vytvořte zásadu skupiny, která se použije na servery Microsoft Entra Connect. Upravte ho a nakonfigurujte následující nastavení auditování:

    1. Přejděte na Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Přihlášení/Logff\Audit Logon.

    2. Zaškrtnutím políček nakonfigurujte události auditu pro úspěch a selhání.

Snímek obrazovky s Editorem správy zásad skupiny

Konfigurace auditování v kontejneru konfigurace

Poznámka:

Audit kontejneru konfigurace je requrid pouze pro prostředí, která aktuálně mají nebo dříve měla Microsoft Exchange, protože tato prostředí mají kontejner Exchange umístěný v části Konfigurace domény.

Související problém se stavem: Auditování kontejneru konfigurace není povolené podle potřeby

  1. Otevřete nástroj ADSI Edit. Vyberte Spustit>, zadejte ADSIEdit.msca pak vyberte OK.

  2. V nabídce Akce vyberte Připojit se.

  3. V dialogovém okně Nastavení připojení v části Vybrat známý kontext pojmenování vyberte Možnost Konfigurace>OK.

  4. Rozbalte kontejner Konfigurace a zobrazte uzel Konfigurace, který začíná na CN=Configuration,DC=...".

  5. Klikněte pravým tlačítkem na uzel Konfigurace a vyberte Vlastnosti.

    Snímek obrazovky s výběry pro otevření vlastností pro uzel Konfigurace

  6. Vyberte kartu Zabezpečení a pak vyberte Upřesnit.

  7. V části Upřesnit nastavení zabezpečení vyberte kartu Auditování a pak vyberte Přidat.

  8. Zvolte Vybrat objekt zabezpečení.

  9. V části Zadejte název objektu, který chcete vybrat, zadejte Všichni. Pak vyberte Zkontrolovat názvy>OK.

  10. Pak se vrátíte do položky auditování. Proveďte následující možnost:

    • Jako typ vyberte Vše.
    • Chcete-li použít, vyberte Tento objekt a všechny potomky objekty.
    • V části Oprávnění se posuňte dolů a vyberte Vymazat vše. Posuňte se nahoru a vyberte Zapisovat všechny vlastnosti.

    Snímek obrazovky s nastavením auditování pro kontejner Konfigurace

  11. Vyberte OK.

Aktualizace starších konfigurací

Defender for Identity už nevyžaduje protokolování 1644 událostí. Pokud máte toto nastavení registru povolené, můžete ho odebrat.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Související obsah

Další informace naleznete v tématu:

Další krok

Co jsou role a oprávnění Defenderu for Identity?