Konfigurace zásad auditu pro protokoly událostí Windows
Pokud chcete zvýšit detekci a shromáždit další informace o akcích uživatelů, jako jsou přihlášení ntLM a změny skupin zabezpečení, Microsoft Defender for Identity spoléhá na konkrétní položky v protokolech událostí Systému Windows. Správná konfigurace nastavení rozšířených zásad auditu na řadičích domény je zásadní pro zabránění mezerám v protokolech událostí a neúplném pokrytí identity v defenderu.
Tento článek popisuje, jak nakonfigurovat nastavení rozšířených zásad auditu podle potřeby pro senzor identity v programu Defender for Identity. Popisuje také další konfigurace pro konkrétní typy událostí.
Defender for Identity generuje problémy se stavem pro každý z těchto scénářů, pokud jsou zjištěny. Další informace najdete v tématu Problémy se stavem identity v programu Microsoft Defender for Identity.
Požadavky
- Než spustíte příkazy Defender for Identity PowerShellu, ujistěte se, že jste stáhli modul PowerShellu pro defender for Identity.
Generování sestavy aktuálních konfigurací pomocí PowerShellu
Než začnete vytvářet nové zásady událostí a auditu, doporučujeme spustit následující příkaz PowerShellu a vygenerovat sestavu aktuálních konfigurací domény:
New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]
V předcházejícím příkazu:
Path
určuje cestu k uložení sestav.Mode
určuje, jestli chcete použítDomain
neboLocalMachine
režim. VDomain
režimu se nastavení shromažďují z objektů zásad skupiny (GPO). VLocalMachine
režimu se nastavení shromažďují z místního počítače.OpenHtmlReport
po vygenerování sestavy otevře sestavu HTML.
Pokud například chcete vygenerovat sestavu a otevřít ji ve výchozím prohlížeči, spusťte následující příkaz:
New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport
Další informace najdete v referenčních informacích k PowerShellu DefenderforIdentity.
Tip
Sestava Domain
režimu obsahuje pouze konfigurace nastavené jako zásady skupiny v doméně. Pokud máte nastavení definovaná místně na řadičích domény, doporučujeme spustit také skript Test-MdiReadiness.ps1 .
Konfigurace auditování pro řadiče domény
Aktualizujte nastavení rozšířených zásad auditu a další konfigurace pro konkrétní události a typy událostí, jako jsou uživatelé, skupiny, počítače a další. Konfigurace auditu pro řadiče domény zahrnují:
- Upřesňující nastavení zásad auditu
- Auditování NTLM
- Auditování objektů domény
Pomocí následujících postupů nakonfigurujte auditování řadičů domény, které používáte s defenderem pro identitu.
Konfigurace upřesňujících nastavení zásad auditu z uživatelského rozhraní
Tento postup popisuje, jak upravit nastavení rozšířených zásad auditu řadiče domény podle potřeby pro Defender for Identity prostřednictvím uživatelského rozhraní.
Související problém se stavem: Rozšířené auditování adresářových služeb není povolené podle potřeby
Konfigurace nastavení rozšířených zásad auditu:
Přihlaste se k serveru jako správce domény.
Otevřete Editor pro správu zásad skupiny v nástroji Správce serveru> Nástroje pro>správu zásad skupiny.
Rozbalte organizační jednotky řadičů domény, klikněte pravým tlačítkem myši na výchozí zásady řadičů domény a pak vyberte Upravit.
Poznámka:
K nastavení těchto zásad použijte zásady výchozích řadičů domény nebo vyhrazený objekt zásad skupiny.
V okně, které se otevře, přejděte na Nastavení zabezpečení nastavení nastavení>systému Windows Zásady>konfigurace>počítače. V závislosti na zásadách, které chcete povolit, udělejte toto:
Přejděte do části Pokročilé zásady auditování zásad>auditu.
V části Zásady auditu upravte každou z následujících zásad a vyberte Konfigurovat následující události auditu pro události úspěch i selhání .
Zásady auditu Podkategorie Triggery ID událostí Přihlášení k účtu Auditovat ověření přihlašovacích údajů 4776 Správa účtů Auditovat správu účtů počítače* 4741, 4743 Správa účtů Auditovat správu distribuční skupiny* 4753, 4763 Správa účtů Auditovat správu skupin zabezpečení* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758 Správa účtů Auditovat správu uživatelských účtů 4726 DS Access Audit změn adresářové služby 5136 Systém Auditovat rozšíření systému zabezpečení* 7045 DS Access Auditovat přístup k adresářové službě 4662 – Pro tuto událost musíte také nakonfigurovat auditování objektů domény. Poznámka:
* Uvedené podkategorie nepodporují události selhání. Doporučujeme je ale přidat pro účely auditování v případě, že budou v budoucnu implementovány. Další informace najdete v tématu Auditovat správu účtů počítače, auditovat správu skupin zabezpečení a rozšíření Audit Security System.
Chcete-li například nakonfigurovat správu skupin zabezpečení auditování, v části Správa účtů poklikejte na Auditovat správu skupin zabezpečení a pak vyberte Konfigurovat následující události auditu pro události úspěch i selhání.
Z příkazového řádku se zvýšenými oprávněními zadejte
gpupdate
.Jakmile zásadu použijete prostřednictvím objektu zásad, v části Zabezpečení protokolů>systému Windows se zobrazí nové události v Prohlížeč událostí.
Pokud chcete otestovat zásady auditu z příkazového řádku, spusťte následující příkaz:
auditpol.exe /get /category:*
Další informace najdete v referenční dokumentaci k auditpolu.
Konfigurace nastavení rozšířených zásad auditu pomocí PowerShellu
Následující akce popisují, jak upravit nastavení rozšířených zásad auditu řadiče domény podle potřeby pro Defender for Identity pomocí PowerShellu.
Související problém se stavem: Rozšířené auditování adresářových služeb není povolené podle potřeby
Pokud chcete nakonfigurovat nastavení, spusťte:
Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]
V předcházejícím příkazu:
Mode
určuje, jestli chcete použítDomain
neboLocalMachine
režim. VDomain
režimu se nastavení shromažďují z objektů zásad skupiny. VLocalMachine
režimu se nastavení shromažďují z místního počítače.Configuration
určuje, která konfigurace se má nastavit. SloužíAll
k nastavení všech konfigurací.CreateGpoDisabled
určuje, jestli se objekty zásad skupiny vytvářejí a uchovávají jako zakázané.SkipGpoLink
určuje, že se nevytvořily odkazy objektů zásad zásad služby.Force
Určuje, že konfigurace je nastavena nebo objekty zásad skupiny jsou vytvořeny bez ověření aktuálního stavu.
Pokud chcete zobrazit zásady auditu, použijte Get-MDIConfiguration
příkaz k zobrazení aktuálních hodnot:
Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>
V předcházejícím příkazu:
Mode
určuje, jestli chcete použítDomain
neboLocalMachine
režim. VDomain
režimu se nastavení shromažďují z objektů zásad skupiny. VLocalMachine
režimu se nastavení shromažďují z místního počítače.Configuration
určuje, která konfigurace se má získat. SloužíAll
k získání všech konfigurací.
Pokud chcete otestovat zásady auditu, pomocí Test-MDIConfiguration
příkazu získejte true
odpověď false
, jestli jsou hodnoty správně nakonfigurované:
Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>
V předcházejícím příkazu:
Mode
určuje, jestli chcete použítDomain
neboLocalMachine
režim. VDomain
režimu se nastavení shromažďují z objektů zásad skupiny. VLocalMachine
režimu se nastavení shromažďují z místního počítače.Configuration
určuje, která konfigurace se má testovat. SloužíAll
k otestování všech konfigurací.
Další informace najdete v následujících odkazech powershellu DefenderForIdentity:
Konfigurace auditování NTLM
Tato část popisuje další kroky konfigurace, které potřebujete pro auditování události Systému Windows 8004.
Poznámka:
- Zásady skupiny domén pro shromažďování událostí Systému Windows 8004 by se měly použít jenom na řadiče domény.
- Když senzor služby Defender for Identity analyzuje událost Systému Windows 8004, aktivity ověřování Defender for Identity NTLM jsou rozšířeny o data přístupná k serveru.
Související problém se stavem: Auditování NTLM není povolené
Konfigurace auditování NTLM:
Po nakonfigurování počátečního nastavení rozšířených zásad auditu (prostřednictvím uživatelského rozhraní nebo PowerShellu) otevřete správu zásad skupiny. Pak přejděte na výchozí možnosti zabezpečení zásad místních zásad>>řadiče domény.
Konfigurujte zadané zásady zabezpečení následujícím způsobem:
Nastavení zásad zabezpečení Hodnota Zabezpečení sítě: Omezení protokolu NTLM: Odchozí provoz NTLM na vzdálené servery Auditovat vše Zabezpečení sítě: Omezení protokolu NTLM: Audit ověřování NTLM v této doméně Povolit vše Zabezpečení sítě: Omezení protokolu NTLM: Audit příchozího provozu NTLM Povolení auditování pro všechny účty
Chcete-li například nakonfigurovat odchozí provoz NTLM na vzdálené servery, v části Možnosti zabezpečení poklikejte na zabezpečení sítě: Omezit protokol NTLM: Odchozí provoz NTLM na vzdálené servery a pak vyberte Audit vše.
Konfigurace auditování objektů domény
Pokud chcete shromažďovat události pro změny objektů, jako je událost 4662, musíte také nakonfigurovat auditování objektů pro uživatele, skupinu, počítač a další objekty. Následující postup popisuje, jak povolit auditování v doméně služby Active Directory.
Důležité
Před povolením shromažďování událostí zkontrolujte a auditujte zásady (prostřednictvím uživatelského rozhraní nebo PowerShellu), abyste měli jistotu, že řadiče domény jsou správně nakonfigurované tak, aby zaznamenávaly potřebné události. Pokud je toto auditování správně nakonfigurované, mělo by mít minimální vliv na výkon serveru.
Související problém se stavem: Auditování objektů adresářových služeb není povolené podle potřeby
Konfigurace auditování objektů domény:
Přejděte do konzoly Uživatelé a počítače služby Active Directory.
Vyberte doménu, kterou chcete auditovat.
Vyberte nabídku Zobrazit a pak vyberte Rozšířené funkce.
Klikněte pravým tlačítkem myši na doménu a vyberte Vlastnosti.
Přejděte na kartu Zabezpečení a pak vyberte Upřesnit.
V části Upřesnit nastavení zabezpečení vyberte kartu Auditování a pak vyberte Přidat.
Zvolte Vybrat objekt zabezpečení.
V části Zadejte název objektu, který chcete vybrat, zadejte Všichni. Pak vyberte Zkontrolovat názvy>OK.
Pak se vrátíte do položky auditování. Proveďte následující možnost:
Jako typ vyberte Úspěch.
Chcete-li použít, vyberte objekty potomků uživatele.
V části Oprávnění se posuňte dolů a vyberte tlačítko Vymazat vše .
Posuňte se zpět nahoru a vyberte Úplné řízení. Jsou vybrána všechna oprávnění.
Zrušte výběr obsahu seznamu, číst všechny vlastnosti a oprávnění ke čtení a pak vyberte OK. Tento krok nastaví všechna nastavení vlastností na Zapisovat.
Teď se všechny relevantní změny adresářových služeb zobrazí jako události 4662, když se aktivují.
Opakujte kroky v tomto postupu, ale pro příkaz Platí pro vyberte následující typy objektů:
- Objekty skupiny potomků
- Objekty počítače potomků
- Potomek msDS-GroupManagedServiceAccount – objekty
- Potomky msDS-ManagedServiceAccount – objekty
Poznámka:
Přiřazení oprávnění auditování pro všechny potomky by také fungovalo, ale v posledním kroku potřebujete jenom typy objektů podrobně popsané v posledním kroku.
Konfigurace auditování ve službě AD FS
Související problém se stavem: Auditování kontejneru služby AD FS není povolené podle potřeby
Konfigurace auditování v Active Directory Federation Services (AD FS) (AD FS):
Přejděte do konzoly Uživatelé a počítače služby Active Directory a vyberte doménu, ve které chcete protokoly povolit.
Přejděte na Program Data>Microsoft>ADFS.
Klikněte pravým tlačítkem myši na ADFS a vyberte Vlastnosti.
Přejděte na kartu Zabezpečení a vyberte Upřesnit>nastavení zabezpečení. Pak přejděte na kartu Auditování a vyberte Přidat>objekt zabezpečení.
V části Zadejte název objektu, který chcete vybrat, zadejte Všichni. Pak vyberte Zkontrolovat názvy>OK.
Pak se vrátíte do položky auditování. Proveďte následující možnost:
- Jako typ vyberte Vše.
- Chcete-li použít, vyberte Tento objekt a všechny potomky objekty.
- V části Oprávnění se posuňte dolů a vyberte Vymazat vše. Posuňte se nahoru a vyberte Číst všechny vlastnosti a Zapisovat všechny vlastnosti.
Vyberte OK.
Konfigurace auditování ve službě AD CS
Pokud pracujete s vyhrazeným serverem, který má nakonfigurovanou službu AD CS (Active Directory Certificate Services), nakonfigurujte auditování následujícím způsobem, abyste zobrazili vyhrazená upozornění a sestavy skóre zabezpečení:
Vytvořte zásadu skupiny, která se použije na server AD CS. Upravte ho a nakonfigurujte následující nastavení auditování:
Přejděte na Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Přístup k objektům\Audit Certifikační služby.
Zaškrtnutím políček nakonfigurujte události auditu pro úspěch a selhání.
Nakonfigurujte auditování certifikační autority (CA) pomocí jedné z následujících metod:
Pokud chcete nakonfigurovat auditování certifikační autority pomocí příkazového řádku, spusťte:
certutil –setreg CA\AuditFilter 127 net stop certsvc && net start certsvc
Konfigurace auditování certifikační autority pomocí grafického uživatelského rozhraní:
Vyberte Spustit>certifikační autoritu (desktopová aplikace MMC). Klikněte pravým tlačítkem na název certifikační autority a vyberte Vlastnosti.
Vyberte kartu Auditování, vyberte všechny události, které chcete auditovat, a pak vyberte Použít.
Poznámka:
Konfigurace auditování událostí spustit a zastavit službu Active Directory Certificate Services může způsobit zpoždění při restartování při práci s velkou databází SLUŽBY AD CS. Zvažte odebrání irelevantních položek z databáze. Případně se zdržte povolení tohoto konkrétního typu události.
Konfigurace auditování na webu Microsoft Entra Connect
Konfigurace auditování na serverech Microsoft Entra Connect:
Vytvořte zásadu skupiny, která se použije na servery Microsoft Entra Connect. Upravte ho a nakonfigurujte následující nastavení auditování:
Přejděte na Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Přihlášení/Logff\Audit Logon.
Zaškrtnutím políček nakonfigurujte události auditu pro úspěch a selhání.
Konfigurace auditování v kontejneru konfigurace
Související problém se stavem: Auditování kontejneru konfigurace není povolené podle potřeby
Otevřete nástroj ADSI Edit. Vyberte Spustit>, zadejte
ADSIEdit.msc
a pak vyberte OK.V nabídce Akce vyberte Připojit se.
V dialogovém okně Nastavení připojení v části Vybrat známý kontext pojmenování vyberte Možnost Konfigurace>OK.
Rozbalte kontejner Konfigurace a zobrazte uzel Konfigurace, který začíná na CN=Configuration,DC=...".
Klikněte pravým tlačítkem na uzel Konfigurace a vyberte Vlastnosti.
Vyberte kartu Zabezpečení a pak vyberte Upřesnit.
V části Upřesnit nastavení zabezpečení vyberte kartu Auditování a pak vyberte Přidat.
Zvolte Vybrat objekt zabezpečení.
V části Zadejte název objektu, který chcete vybrat, zadejte Všichni. Pak vyberte Zkontrolovat názvy>OK.
Pak se vrátíte do položky auditování. Proveďte následující možnost:
- Jako typ vyberte Vše.
- Chcete-li použít, vyberte Tento objekt a všechny potomky objekty.
- V části Oprávnění se posuňte dolů a vyberte Vymazat vše. Posuňte se nahoru a vyberte Zapisovat všechny vlastnosti.
Vyberte OK.
Aktualizace starších konfigurací
Defender for Identity už nevyžaduje protokolování 1644 událostí. Pokud máte toto nastavení registru povolené, můžete ho odebrat.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001
Související obsah
Další informace naleznete v tématu:
- Shromažďování událostí pomocí Microsoft Defenderu for Identity
- Auditování zabezpečení Systému Windows
- Pokročilé zásady auditu zabezpečení