Konfigurace shromažďování událostí Windows

  • Článek

Microsoft Defender for Identity zjišťování se spoléhá na konkrétní položky protokolu událostí systému Windows, které vylepšují některá zjišťování a poskytují další informace o tom, kdo provedl konkrétní akce, jako jsou přihlášení pomocí protokolu NTLM, úpravy skupin zabezpečení a podobné události. Aby bylo možné auditovat správné události a zahrnout je do protokolu událostí systému Windows, vyžadují řadiče domény přesné nastavení rozšířených zásad auditu. Nesprávné nastavení rozšířených zásad auditu může vést k tomu, že se požadované události nezaznamenají do protokolu událostí a způsobí neúplné pokrytí Defenderu pro identitu.

Aby se možnosti detekce hrozeb zlepšily, musí Defender for Identity nakonfigurovat a shromažďovat následující události Windows:

Relevantní události Windows

Události Active Directory Federation Services (AD FS) (AD FS)

  • 1202 – Federační služba ověřila nové přihlašovací údaje
  • 1203 – Službě FS se nepodařilo ověřit nové přihlašovací údaje
  • 4624 – Účet se úspěšně přihlásil.
  • 4625 – Účet se nepovedlo přihlásit

Události služby Ad CS (Active Directory Certificate Services)

  • 4870: Služba Certificate Services odvolal certifikát
  • 4882: Změnila se oprávnění zabezpečení pro Certificate Services.
  • 4885: Filtr auditu pro certificate services se změnil
  • 4887: Služba Certificate Services schválila žádost o certifikát a vydala certifikát
  • 4888: Služba Certificate Services zamítla žádost o certifikát
  • 4890: Nastavení správce certifikátů pro certificate services se změnilo.
  • 4896: Jeden nebo více řádků byly odstraněny z databáze certifikátů

Další informace najdete v tématu Konfigurace auditování pro službu AD CS.

Pro jiné události

  • 1644 – Vyhledávání LDAP
  • 4662 – S objektem byla provedena operace.
  • 4726 – Uživatelský účet se odstranil
  • 4728 – Přidání člena do globální skupiny zabezpečení
  • 4729 – Odebrání člena z globální skupiny zabezpečení
  • 4730 – Globální skupina zabezpečení se odstranila
  • 4732 – Přidání člena do místní skupiny zabezpečení
  • 4733 – Odebrání člena z místní skupiny zabezpečení
  • 4741 – Přidání účtu počítače
  • 4743 – Odstraněný účet počítače
  • 4753 – Globální distribuční skupina se odstranila
  • 4756 – Přidání člena do univerzální skupiny zabezpečení
  • 4757 – Odebrání člena z univerzální skupiny zabezpečení
  • 4758 – Odstraněná univerzální skupina zabezpečení
  • 4763 – Univerzální distribuční skupina se odstranila
  • 4776 – Řadič domény se pokusil ověřit přihlašovací údaje účtu (NTLM)
  • 5136 – Objekt adresářové služby byl změněn.
  • 7045 – Nová služba je nainstalovaná
  • 8004 – Ověřování NTLM

Konfigurace zásad auditu

Upravte rozšířené zásady auditu řadiče domény pomocí následujících pokynů:

  1. Přihlaste se k serveru jako správce domény.

  2. Otevřete editor správy Zásady skupiny z Správce serveru>Tools>Zásady skupiny Management.

  3. Rozbalte organizační jednotky řadičů domény, klikněte pravým tlačítkem na Výchozí zásady řadičů domény a pak vyberte Upravit.

    Poznámka

    K nastavení těchto zásad můžete použít výchozí zásady řadičů domény nebo vyhrazený objektů zásad skupiny.

    Upravte zásady řadiče domény.

  4. V okně, které se otevře, přejděte naZásady>konfigurace> počítače Nastavení >zabezpečenísystému Windowsa v závislosti na zásadách, které chcete povolit, postupujte takto:

    Pro pokročilou konfiguraci zásad auditu

    1. Přejděte do části Rozšířené zásady auditu Konfigurace>zásad auditu. Pokročilá konfigurace zásad auditu.

    2. V části Zásady auditu upravte každou z následujících zásad a vyberte Konfigurovat následující události auditu pro události úspěch i selhání .

      Zásady auditu Subcategory ID událostí triggerů
      Přihlášení k účtu Auditovat ověřování pověření 4776
      Správa účtů Auditovat správu účtů počítače 4741, 4743
      Správa účtů Auditovat správu skupin distribuce 4753, 4763
      Správa účtů Auditovat správu skupiny zabezpečení 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Správa účtů Auditovat správu účtů uživatelů 4726
      Přístup k DS Auditovat přístup k adresářové službě 4662 – Pro tuto událost je také nutné nakonfigurovat auditování objektů.
      Přístup k DS Auditovat změny adresářové služby 5136
      Systémový Auditovat rozšíření systému zabezpečení 7045

      Pokud například chcete nakonfigurovat auditování správy skupin zabezpečení, v části Správa účtu poklikejte na Auditovat správu skupin zabezpečení a pak vyberte Konfigurovat následující události auditu pro události úspěch i selhání .

      Auditovat správu skupin zabezpečení.

  5. Na příkazovém řádku se zvýšenými oprávněními zadejte gpupdate.

  6. Po použití prostřednictvím objektu zásad zásad zabezpečení se nové události zobrazí v Prohlížeč událostí v části Protokoly systému Windows –>Zabezpečení.

ID události 8004

K auditování události s ID 8004 je potřeba provést další kroky konfigurace.

Poznámka

  • Zásady skupiny domén pro shromažďování událostí systému Windows 8004 by se měly použít jenom na řadiče domény.
  • Při analýze události Windows 8004 defender for Identity Sensor jsou aktivity ověřování Defender for Identity NTLM rozšířeny o data, ke kterým přistupuje server.

  1. Podle výše uvedených počátečních kroků otevřete Zásady skupiny Management a přejděte na výchozí zásady řadičů domény.

  2. Přejděte naMožnosti zabezpečenímístních zásad>.

  3. V části Možnosti zabezpečení nakonfigurujte zadané zásady zabezpečení následujícím způsobem.

    Nastavení zásad zabezpečení Hodnota
    Zabezpečení sítě: Omezení protokolu NTLM: Odchozí provoz PROTOKOLU NTLM na vzdálené servery Auditovat vše
    Zabezpečení sítě: Omezení protokolu NTLM: Audit ověřování NTLM v této doméně Povolit vše
    Zabezpečení sítě: Omezit protokol NTLM: Auditovat příchozí provoz protokolu NTLM Povolení auditování pro všechny účty

    Pokud chcete například nakonfigurovat odchozí provoz NTLM na vzdálené servery, v části Možnosti zabezpečení poklikejte na Zabezpečení sítě: Omezit protokol NTLM: Odchozí přenosy protokolu NTLM na vzdálené servery a pak vyberte Auditovat vše.

    Auditujte odchozí provoz protokolu NTLM na vzdálené servery.

Konfigurace auditování pro službu AD CS

Pokud pracujete s vyhrazeným serverem s nakonfigurovanou službou AD CS (Active Directory Certificate Services), nezapomeňte nakonfigurovat auditování následujícím způsobem, aby se zobrazovaly vyhrazené výstrahy a sestavy skóre zabezpečení:

  1. Vytvořte zásadu skupiny, která se použije na server služby AD CS. Upravte ho a nakonfigurujte následující nastavení auditování:

    1. Přejděte na a poklikejte na Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Přístup k objektům\Audit Certification Services a nakonfigurujte události auditu pro úspěch a selhání. Příklad:

    Snímek obrazovky s editorem správy Zásady skupiny

  2. Nakonfigurujte auditování certifikační autority (CA) pomocí jedné z následujících metod:

    • Pokud chcete nakonfigurovat auditování certifikační autority pomocí příkazového řádku, spusťte:

      certutil –setreg CA\AuditFilter 127 

net stop certsvc && net start certsvc

    • Konfigurace auditování certifikační autority pomocí grafického uživatelského rozhraní:

      1. Vyberte Start –> Certifikační autorita (desktopová aplikace MMC). Klikněte pravým tlačítkem na název certifikační autority a vyberte Vlastnosti. Příklad:

        Snímek obrazovky s dialogovým oknem Certifikační autorita

      2. Vyberte kartu Auditování , vyberte všechny události, které chcete auditovat, a pak vyberte Použít. Příklad:

        Snímek obrazovky s kartou Auditování

      Další informace najdete v tématu Události služby Ad CS (Active Directory Certificate Services).

Konfigurace auditování objektů

Aby bylo možné shromažďovat události 4662, je také nutné nakonfigurovat auditování objektů pro objekty uživatele, skupiny a počítače. Tady je postup, jak povolit auditování pro všechny uživatele, skupiny a počítače v doméně služby Active Directory:

Poznámka

Před povolením shromažďování událostí je důležité zkontrolovat a ověřit zásady auditu , abyste měli jistotu, že řadiče domény jsou správně nakonfigurované tak, aby zaznamenávaly potřebné události.

Pokud je toto auditování správně nakonfigurované, mělo by mít minimální vliv na výkon serveru.

  1. Přejděte do konzoly Uživatelé a počítače služby Active Directory .

  2. Vyberte doménu, kterou chcete auditovat.

  3. Vyberte nabídku Zobrazení a vyberte Rozšířené funkce.

  4. Klikněte pravým tlačítkem na doménu a vyberte Vlastnosti.

    Vlastnosti kontejneru.

  5. Přejděte na kartu Zabezpečení a vyberte Upřesnit.

    Upřesnit vlastnosti zabezpečení.

  6. V části Upřesnit nastavení zabezpečení zvolte kartu Auditování . Vyberte Přidat.

    Vyberte kartu Auditování.

  7. Zvolte Vybrat objekt zabezpečení.

    Vyberte objekt zabezpečení.

  8. Do pole Zadejte název objektu, který chcete vybrat zadejte Všichni. Pak vyberte Zkontrolovat jména a vyberte OK.

    Vyberte všichni.

  9. Pak se vrátíte k položce auditování. Vyberte následující možnosti:

    1. Jako Typ vyberte Úspěch.

    2. V možnosti Platí vyberte Objekty následníka uživatele.

    3. V části Oprávnění se posuňte dolů a vyberte tlačítko Vymazat vše .

      Vyberte Vymazat vše.

    4. Pak se posuňte zpět nahoru a vyberte Úplné řízení. Budou vybrána všechna oprávnění. Pak zrušte zaškrtnutí oprávnění Obsah seznamu, Číst všechny vlastnosti a Oprávnění ke čtení . Vyberte OK. Tím se všechna nastavení Vlastnosti nastaví na Zapisovat. Když se teď aktivuje, zobrazí se všechny relevantní změny adresářových služeb jako události 4662.

      Vyberte oprávnění.

  10. Pak zopakujte výše uvedené kroky, ale v části Platí pro vyberte následující typy objektů:

    • Objekty skupiny potomků
    • Odvozené počítačové objekty
    • Odvozené objekty msDS-GroupManagedServiceAccount
    • Následníci objektů msDS-ManagedServiceAccount

Poznámka

Přiřazení oprávnění auditování pro všechny odvozené objekty by také fungovalo, ale vyžadujeme pouze typy objektů, jak je podrobně popsáno výše.

Auditování pro konkrétní detekce

Některé detekce vyžadují auditování konkrétních objektů služby Active Directory. Postupujte podle výše uvedených kroků, ale všimněte si níže uvedených změn týkajících se objektů, které se mají auditovat a která oprávnění zahrnout.

Povolení auditování objektu AD FS

  1. Přejděte do konzoly Uživatelé a počítače služby Active Directory a vyberte doménu, ve které chcete povolit přihlášení.

  2. Přejděte na Programová data>Microsoft>ADFS.

    Kontejner ADFS.

  3. Klikněte pravým tlačítkem na ADFS a vyberte Vlastnosti.

  4. Přejděte na kartu Zabezpečení a vyberte Upřesnit.

  5. V části Upřesnit nastavení zabezpečení zvolte kartu Auditování . Vyberte Přidat.

  6. Zvolte Vybrat objekt zabezpečení.

  7. Do pole Zadejte název objektu, který chcete vybrat zadejte Všichni. Pak vyberte Zkontrolovat jména a vyberte OK.

  8. Pak se vrátíte k položce auditování. Vyberte následující možnosti:

    • Jako Typ vyberte Vše.
    • U možnosti Platí vyberte Tento objekt a všechny odvozené objekty.
    • V části Oprávnění se posuňte dolů a vyberte Vymazat vše. Posuňte se nahoru a vyberte Číst všechny vlastnosti a Zapisovat všechny vlastnosti.

    Nastavení auditování pro službu AD FS.

  9. Vyberte OK.

Povolení auditování kontejneru konfigurace

  1. Otevřete editor ADSI. Uděláte to tak, že vyberete Start, vyberete Spustit, zadáte ADSIEdit.msc a pak vyberete OK.

  2. V nabídce Akce vyberte Připojit k.

  3. V dialogovém okně Nastavení připojení v části Vyberte dobře známý názvový kontext vyberte Konfigurace a pak vyberte OK.

  4. Rozbalte kontejner Konfigurace . V kontejneru Konfigurace uvidíte uzel Konfigurace . Bude začínat řetězcem CN=Configuration,DC=..."

  5. Klikněte pravým tlačítkem na uzel Konfigurace a vyberte Vlastnosti.

    Vlastnosti konfiguračního uzlu.

  6. Přejděte na kartu Zabezpečení a vyberte Upřesnit.

  7. V části Upřesnit nastavení zabezpečení zvolte kartu Auditování . Vyberte Přidat.

  8. Zvolte Vybrat objekt zabezpečení.

  9. Do pole Zadejte název objektu, který chcete vybrat zadejte Všichni. Pak vyberte Zkontrolovat jména a vyberte OK.

  10. Pak se vrátíte k položce auditování. Vyberte následující možnosti:

    • Jako Typ vyberte Vše.
    • V části Platí vyberteTento objekt a všechny následné objekty.
    • V části Oprávnění se posuňte dolů a vyberte Vymazat vše. Posuňte se nahoru a vyberte Zapisovat všechny vlastnosti.

    Nastavení auditování pro konfiguraci.

  11. Vyberte OK.

Konfigurace shromažďování událostí

Tyto události může automaticky shromažďovat senzor Defenderu for Identity, nebo pokud není nasazený senzor Defenderu for Identity, můžete je předat samostatnému senzoru Defenderu for Identity jedním z následujících způsobů:

Poznámka

  • Samostatné senzory Defenderu for Identity nepodporují shromažďování položek protokolu trasování událostí pro Windows (ETW), které poskytují data pro více detekcí. Pro úplné pokrytí vašeho prostředí doporučujeme nasadit senzor Defenderu for Identity.

ID události 1644

Důležité

Defender for Identity už nevyžaduje protokolování událostí 1644. Pokud máte toto nastavení registru povolené, můžete ho odebrat.


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Kvůli odebrání tohoto požadavku nedojde ke ztrátě žádné funkce.

Další kroky

« Plánování kapacity pro účty služby Microsoft Defender for IdentityDirectory »