Konfigurace zásad auditu pro protokoly událostí Windows

  • Článek

Detekce identity v programu Microsoft Defender pro identity spoléhá na konkrétní položky protokolu událostí systému Windows, aby se zlepšily detekce a poskytovaly další informace o uživatelích, kteří provedli konkrétní akce, jako jsou přihlášení NTLM a úpravy skupin zabezpečení.

Aby bylo možné auditovat a zahrnout správné události do protokolu událostí systému Windows, vyžadují řadiče domény konkrétní nastavení rozšířených zásad auditování windows serveru. Chybně nakonfigurovaná nastavení rozšířených zásad auditu může způsobit mezery v protokolu událostí a neúplný defender pro pokrytí identity.

Tento článek popisuje, jak nakonfigurovat nastavení rozšířených zásad auditu podle potřeby pro senzor identity v programu Defender for Identity a další konfigurace pro konkrétní typy událostí.

Další informace naleznete v tématu Co je kolekce událostí systému Windows pro Defender for Identity a pokročilé zásady auditu zabezpečení v dokumentaci k Systému Windows.

Generování sestavy s aktuálními konfiguracemi prostřednictvím PowerShellu

Předpoklady: Před spuštěním příkazů PowerShellu defenderu for Identity se ujistěte, že jste stáhli modul PowerShellu defenderu for Identity.

Než začnete vytvářet nové zásady událostí a auditu, doporučujeme spustit následující příkaz PowerShellu a vygenerovat sestavu aktuálních konfigurací domény:

New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]

Kde:

  • Cesta určuje cestu, do které se mají sestavy uložit.
  • Režim určuje, jestli chcete použít režim Domain nebo LocalMachine . V režimu domény se nastavení shromažďují z objektů zásad skupiny. V režimu LocalMachine se nastavení shromažďují z místního počítače.
  • OpenHtmlReport otevře sestavu HTML po vygenerování sestavy.

Pokud například chcete vygenerovat sestavu a otevřít ji ve výchozím prohlížeči, spusťte následující příkaz:

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

Další informace najdete v referenčních informacích k PowerShellu DefenderforIdentity.

Tip

Sestava Domain režimu obsahuje pouze konfigurace nastavené jako zásady skupiny v doméně. Pokud máte nastavení definovaná místně na řadičích domény, doporučujeme spustit také skript Test-MdiReadiness.ps1 .

Konfigurace auditování pro řadiče domény

Při práci s řadičem domény je potřeba aktualizovat nastavení rozšířených zásad auditu a další konfigurace pro konkrétní události a typy událostí, jako jsou uživatelé, skupiny, počítače a další. Konfigurace auditu pro řadiče domény zahrnují:

Konfigurace nastavení rozšířených zásad auditu

Tento postup popisuje, jak upravit pokročilé zásady auditu řadiče domény podle potřeby pro službu Defender for Identity.

  1. Přihlaste se k serveru jako domain Správa istrator.

  2. Otevřete Editor pro správu zásad skupiny v nástroji Správce serveru> Nástroje pro>správu zásad skupiny.

  3. Rozbalte organizační jednotky řadičů domény, klikněte pravým tlačítkem myši na výchozí zásady řadičů domény a pak vyberte Upravit. Příklad:

    Screenshot of the Edit domain controller policy dialog.

    Poznámka:

    K nastavení těchto zásad použijte výchozí zásady řadičů domény nebo vyhrazený objekt zásad skupiny.

  4. V okně, které se otevře, přejděte do části Zásady>konfigurace>počítače Nastavení Security Nastavení> a v závislosti na zásadách, které chcete povolit, postupujte takto:

    1. Přejděte do části Pokročilé zásady auditování zásad>auditu. Příklad:

      Screenshot of the Advanced Audit Policy Configuration dialog.

    2. V části Zásady auditu upravte každou z následujících zásad a vyberte Konfigurovat následující události auditu pro události úspěch i selhání .

      Zásady auditu Podkategorie Triggery ID událostí
      Přihlášení k účtu Auditovat ověřování pověření 4776
      Správa účtů Auditovat správu účtů počítače * 4741, 4743
      Správa účtů Auditovat správu skupin distribuce 4753, 4763
      Správa účtů Auditovat správu skupin zabezpečení * 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Správa účtů Auditovat správu účtů uživatelů 4726
      DS Access Auditovat změny adresářové služby 5136
      Systém Auditovat rozšíření systému zabezpečení * 7045
      DS Access Auditovat přístup k adresářové službě 4662 – Pro tuto událost musíte také nakonfigurovat auditování objektů domény.

      Poznámka:

      * Uvedené podkategorie nepodporují události selhání. Doporučujeme je ale přidat pro účely auditování v případě, že budou v budoucnu implementovány. Další informace najdete v tématu Auditovat správu účtů počítače, auditovat správu skupin zabezpečení a rozšíření Audit Security System.

      Pokud chcete například nakonfigurovat správu skupiny zabezpečení auditování, v části Správa účtů poklikejte na Auditovat správu skupin zabezpečení a pak vyberte Konfigurovat následující události auditu pro události úspěch i selhání:

      Screenshot of the Audit Security Group Management dialog.

  5. Na příkazovém řádku se zvýšenými oprávněními zadejte gpupdate.

  6. Po použití zásad prostřednictvím objektu zásad se nové události zobrazí v Prohlížeč událostí v části Protokoly Systému Windows ->Security.

Testování zásad auditu z příkazového řádku

Pokud chcete otestovat zásady auditu z příkazového řádku, spusťte následující příkaz:

auditpol.exe /get /category:*

Další informace najdete v referenční dokumentaci k auditpolu.

Konfigurace, získání a testování zásad auditu pomocí PowerShellu

Pokud chcete nakonfigurovat zásady auditu pomocí PowerShellu, spusťte následující příkaz:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

Kde:

  • Režim určuje, jestli chcete použít režim Domain nebo LocalMachine . V režimu domény se nastavení shromažďují z objektů zásad skupiny. V režimu LocalMachine se nastavení shromažďují z místního počítače.

  • Konfigurace určuje, která konfigurace se má nastavit. Slouží All k nastavení všech konfigurací.

  • CreateGpoDisabled určuje, jestli se objekty zásad skupiny vytvářejí a uchovávají jako zakázané.

  • SkipGpoLink určuje, že se nevytvořily odkazy objektů zásad skupiny.

  • Vynucení určuje, že konfigurace je nastavena nebo objekty zásad skupiny jsou vytvořeny bez ověření aktuálního stavu.

Pokud chcete zobrazit nebo otestovat zásady auditu pomocí PowerShellu, spusťte podle potřeby následující příkazy. K zobrazení aktuálních hodnot použijte příkaz Get-MDIConfiguration. Pomocí příkazu Test-MDIConfiguration můžete získat odpověď nebo false zjistittrue, jestli jsou hodnoty správně nakonfigurované.

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Kde:

  • Režim určuje, jestli chcete použít režim Domain nebo LocalMachine . V režimu domény se nastavení shromažďují z objektů zásad skupiny. V režimu LocalMachine se nastavení shromažďují z místního počítače.

  • Konfigurace určuje, která konfigurace se má získat. Slouží All k získání všech konfigurací.

Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Kde:

  • Režim určuje, jestli chcete použít režim Domain nebo LocalMachine . V režimu domény se nastavení shromažďují z objektů zásad skupiny. V režimu LocalMachine se nastavení shromažďují z místního počítače.

  • Konfigurace určuje, která konfigurace se má testovat. Slouží All k otestování všech konfigurací.

Další informace najdete v následujících odkazech powershellu DefenderForIdentity:

Konfigurace auditování NTLM

Tato část popisuje další kroky konfigurace potřebné k auditování ID události 8004.

Poznámka:

  • Zásady skupiny domén pro shromažďování událostí Systému Windows 8004 by se měly použít jenom na řadiče domény.
  • Když se služba Defender for Identity Sensor parsuje událost windows 8004, aktivity ověřování Defender for Identity NTLM jsou rozšířeny o data přístupná k serveru.

  1. Podle počátečních kroků otevřete správu zásad skupiny a přejděte na Možnosti zabezpečení místních zásad>výchozích>řadičů domény.

  2. V části Možnosti zabezpečení nakonfigurujte zadané zásady zabezpečení následujícím způsobem:

    Nastavení zásad zabezpečení Hodnota
    Zabezpečení sítě: Omezení protokolu NTLM: Odchozí provoz NTLM na vzdálené servery Auditovat vše
    Zabezpečení sítě: Omezení protokolu NTLM: Audit ověřování NTLM v této doméně Povolit vše
    Zabezpečení sítě: Omezení protokolu NTLM: Audit příchozího provozu NTLM Povolení auditování pro všechny účty

Chcete-li například nakonfigurovat odchozí provoz NTLM na vzdálené servery, v části Možnosti zabezpečení poklikejte na zabezpečení sítě: Omezit protokol NTLM: Odchozí provoz NTLM na vzdálené servery a pak vyberte Audit vše:

Screenshot of the Audit Outgoing NTLM traffic to remote servers configuration.

Konfigurace auditování objektů domény

Pokud chcete shromažďovat události pro změny objektů, jako je událost 4662, musíte také nakonfigurovat auditování objektů pro uživatele, skupinu, počítač a další objekty. Tento postup popisuje, jak povolit auditování v doméně služby Active Directory.

Důležité

Před povolením shromažďování událostí nezapomeňte zkontrolovat a ověřit zásady auditu, abyste měli jistotu, že řadiče domény jsou správně nakonfigurované tak, aby zaznamenávaly potřebné události. Pokud je správně nakonfigurované, mělo by toto auditování mít minimální vliv na výkon serveru.

  1. Přejděte do konzoly Uživatelé a počítače služby Active Directory.

  2. Vyberte doménu, kterou chcete auditovat.

  3. Vyberte nabídku Zobrazit a vyberte Rozšířené funkce.

  4. Klikněte pravým tlačítkem myši na doménu a vyberte Vlastnosti. Příklad:

    Screenshot of the container properties option.

  5. Přejděte na kartu Zabezpečení a vyberte Upřesnit. Příklad:

    Screenshot of the advanced security properties dialog.

  6. V Nastavení Rozšířené zabezpečení vyberte kartu Auditování a pak vyberte Přidat. Příklad:

    Screenshot of the Advanced Security Settings Auditing tab.

  7. Vyberte objekt zabezpečení. Příklad:

    Screenshot of the Select a principal option.

  8. V části Zadejte název objektu, který chcete vybrat, zadejte Všechny a vyberte Zkontrolovat jména>OK. Příklad:

    Screenshot of the Select everyone settings.

  9. Pak se vrátíte do položky auditování. Proveďte následující možnost:

    1. Jako typ vyberte Úspěch.

    2. Platí pro výběr objektů potomků uživatele.

    3. V části Oprávnění se posuňte dolů a vyberte tlačítko Vymazat vše . Příklad:

      Screenshot of selecting Clear all.

    4. Posuňte se zpět nahoru a vyberte Úplné řízení. Jsou vybrána všechna oprávnění.

    5. Zrušte výběr obsahu seznamu, přečtěte si všechny vlastnosti a oprávnění ke čtení a vyberte OK. Tím se nastaví všechna nastavení vlastností na Zapisovat. Příklad:

      Screenshot of selecting permissions.

      Po aktivaci se teď všechny relevantní změny adresářových služeb zobrazují jako 4662 události.

  10. Opakujte kroky v tomto postupu, ale pro příkaz Platí pro vyberte následující typy objektů:

    • Objekty skupiny potomků
    • Objekty počítače potomků
    • Potomek msDS-GroupManagedServiceAccount – objekty
    • Potomky msDS-ManagedServiceAccount – objekty

Poznámka:

Přiřazení oprávnění auditování pro všechny potomky by také fungovalo, ale vyžadujeme pouze typy objektů, jak je podrobně popsáno v posledním kroku.

Konfigurace auditování v Active Directory Federation Services (AD FS) (AD FS)

  1. Přejděte do konzoly Uživatelé a počítače služby Active Directory a vyberte doménu, ke které chcete povolit protokoly.

  2. Přejděte na Program Data>Microsoft>ADFS. Příklad:

    Screenshot of an ADFS container.

  3. Klikněte pravým tlačítkem myši na ADFS a vyberte Vlastnosti.

  4. Přejděte na kartu Zabezpečení a vyberte Advanced>Advanced Security Nastavení> Auditing tab >Add>Select a principal.

  5. V části Zadejte název objektu, který chcete vybrat, zadejte Všichni.

  6. Zaškrtněte políčko Zkontrolovat jména>v pořádku.

  7. Pak se vrátíte do položky auditování. Proveďte následující možnost:

    • Jako typ vyberte Vše.
    • Pro příkaz Platí pro výběr tohoto objektu a všech následnických objektů.
    • V části Oprávnění se posuňte dolů a vyberte Vymazat vše. Posuňte se nahoru a vyberte Číst všechny vlastnosti a Zapisovat všechny vlastnosti.

    Příklad:

    Screenshot of the auditing settings for ADFS.

  8. Vyberte OK.

Konfigurace auditování pro službu Active Directory Certificate Services (AD CS)

Pokud pracujete s vyhrazeným serverem s nakonfigurovanou službou AD CS (Active Directory Certificate Services), nezapomeňte auditování nakonfigurovat následujícím způsobem, abyste zobrazili vyhrazená upozornění a sestavy skóre zabezpečení:

  1. Vytvořte zásadu skupiny, která se použije na server AD CS. Upravte ho a nakonfigurujte následující nastavení auditování:

    1. Přejděte na položku Konfigurace počítače\Zásady\Zásady\Windows Nastavení\Zabezpečení Nastavení\Konfigurace zásad rozšířeného auditu\Zásady auditu\Zásady auditu\Přístup k objektům\Audit Certifikační služby.

    2. Vyberte konfiguraci událostí auditu pro úspěch a selhání. Příklad:

      Screenshot of the Group Policy Management Editor.

  2. Nakonfigurujte auditování certifikační autority (CA) pomocí jedné z následujících metod:

    • Pokud chcete nakonfigurovat auditování certifikační autority pomocí příkazového řádku, spusťte:

      certutil –setreg CA\AuditFilter 127 

net stop certsvc && net start certsvc

    • Konfigurace auditování certifikační autority pomocí grafického uživatelského rozhraní:

      1. Vyberte Start –> Certifikační autorita (desktopová aplikace MMC). Klikněte pravým tlačítkem na název certifikační autority a vyberte Vlastnosti. Příklad:

        Screenshot of the Certification Authority dialog.

      2. Vyberte kartu Auditování, vyberte všechny události, které chcete auditovat, a pak vyberte Použít. Příklad:

        Screenshot of the Properties Auditing tab.

Poznámka:

Konfigurace auditování událostí spustit a zastavit službu Active Directory Certificate Services může způsobit zpoždění při restartování při práci s velkou databází SLUŽBY AD CS. Zvažte odebrání irelevantních položek z databáze nebo případně neudržte povolení tohoto konkrétního typu události.

Konfigurace auditování v kontejneru konfigurace

  1. Otevřete adsi Edit výběrem možnosti Spustit>spuštění. Zadejte ADSIEdit.msc a vyberte OK.

  2. V nabídce Akce vyberte Připojení do.

  3. V dialogovém okně Připojení ion Nastavení v části Vybrat dobře známý kontext pojmenování vyberte Možnost Konfigurace>OK.

  4. Rozbalte kontejner Konfigurace, aby se zobrazil uzel Konfigurace, počínaje cn=Configuration, DC=..."

  5. Klikněte pravým tlačítkem na uzel Konfigurace a vyberte Vlastnosti. Příklad:

    Screenshot of the Configuration node properties.

  6. Vyberte kartu >Zabezpečení.

  7. V Nastavení Rozšířené zabezpečení vyberte kartu >Auditování přidat.

  8. Vyberte objekt zabezpečení.

  9. V části Zadejte název objektu, který chcete vybrat, zadejte Všechny a vyberte Zkontrolovat jména>OK.

  10. Pak se vrátíte do položky auditování. Proveďte následující možnost:

    • Jako typ vyberte Vše.
    • Pro příkaz Platí pro výběr tohoto objektu a všech následnických objektů.
    • V části Oprávnění se posuňte dolů a vyberte Vymazat vše. Posuňte se nahoru a vyberte Zapisovat všechny vlastnosti.

    Příklad:

    Screenshot of the auditing settings for the Configuration container.

  11. Vyberte OK.

Starší konfigurace

Důležité

Defender for Identity už nevyžaduje protokolování 1644 událostí. Pokud máte toto nastavení registru povolené, můžete ho odebrat.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Související obsah

Další informace najdete v tématu Auditování zabezpečení systému Windows.

Další krok

Co jsou role a oprávnění Defenderu for Identity? »