Teilen über

Konfigurieren von Überwachungsrichtlinien für Windows-Ereignisprotokolle

  • Artikel

Um die Erkennung zu verbessern und weitere Informationen zu Benutzeraktionen wie NTLM-Anmeldungen und Änderungen an Sicherheitsgruppen zu sammeln, nutzt Microsoft Defender for Identity bestimmte Einträge in den Windows-Ereignisprotokollen. Die ordnungsgemäße Konfiguration erweiterter Überwachungsrichtlinieneinstellungen auf Ihren Domänencontrollern ist entscheidend, um Lücken im Ereignisprotokoll und eine unvollständige Defender for Identity-Abdeckung zu vermeiden.

In diesem Artikel wird beschrieben, wie Sie Ihre erweiterten Überwachungsrichtlinieneinstellungen nach Bedarf für einen Microsoft Defender for Identity-Sensor konfigurieren. Außerdem werden andere Konfigurationen für bestimmte Ereignistypen beschrieben.

Defender for Identity zeigt Integritätsprobleme für jedes dieser Szenarien an, wenn sie erkannt werden. Weitere Informationen finden Sie unter Was ist Microsoft Defender for Identity.

Voraussetzungen

Generieren eines Berichts mit aktuellen Konfigurationen über PowerShell

Bevor Sie mit dem Erstellen neuer Ereignis- und Überwachungsrichtlinien beginnen, sollten Sie den folgenden PowerShell-Befehl ausführen, um einen Bericht ihrer aktuellen Domänenkonfigurationen zu generieren:

New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]

Für den obigen Befehl gilt Folgendes:

  • Path gibt den Pfad zum Speichern der Berichte an
  • Mode gibt an, ob Sie den Modus verwenden Domain oder LocalMachine verwenden möchten. Im Modus Domain werden die Einstellungen aus den Gruppenrichtlinienobjekten (Group Policy objects, GPOs) gesammelt. Im Modus LocalMachine werden die Einstellungen vom lokalen Computer erfasst.
  • OpenHtmlReport öffnet den HTML-Bericht, nachdem er generiert wurde.

Führen Sie beispielsweise den folgenden Befehl aus, um einen Bericht zu generieren und ihn in Ihrem Standardbrowser zu öffnen:

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

Weitere Informationen finden Sie in den DefenderForIdentity PowerShell-Verweisen.

Tipp

Der Domain Modusbericht enthält nur Konfigurationen, die als Gruppenrichtlinien für die Domäne festgelegt sind. Wenn Sie für Ihre Domänencontroller lokale Einstellungen definiert haben, empfehlen wir, auch das Skript Test-MdiReadiness.ps1 auszuführen.

Konfigurieren der Überwachung für do Standard-Controller

Aktualisieren Sie Ihre erweiterten Überwachungsrichtlinieneinstellungen und zusätzlichen Konfigurationen für bestimmte Ereignisse und Ereignistypen, z. B. Benutzer, Gruppen, Computer usw. Überwachungskonfigurationen für Domänencontroller umfassen:

Konfigurieren Sie mit den folgenden Verfahren die Überwachung auf den Domänencontrollern, die Sie mit Defender for Identity verwenden.

Konfigurieren erweiterter Überwachungsrichtlinieneinstellungen über die Benutzeroberfläche

Mit diesem Verfahren können Sie die erweiterten Überwachungsrichtlinien des Domänencontrollers nach Bedarf für Defender for Identity über die Benutzeroberfläche ändern.

Verwandtes Integritätsproblem: Die erweiterte Überwachung von Verzeichnisdiensten ist nicht wie erforderlich aktiviert

So konfigurieren Sie die erweiterten Überwachungsrichtlinieneinstellungen

  1. Melden Sie sich als Domänenadministrator beim Server an.

  2. Öffnen Sie den Gruppenrichtlinienverwaltungs-Editor aus Server-Manager> Tools-Gruppenrichtlinienverwaltung.>

  3. Erweitern Sie Domänencontroller, klicken Sie mit der rechten Maustaste auf Standard-Domänencontrollerrichtlinie, und klicken Sie dann auf Bearbeiten.

    Screenshot des Bereichs zum Bearbeiten der Standardrichtlinie für Domänencontroller.

    Hinweis

    Verwenden Sie die Standard-Domänencontrollerrichtlinie oder ein dediziertes Gruppenrichtlinienobjekt, um diese Richtlinien festzulegen.

  4. Wechseln Sie im geöffneten Fenster zu Computerkonfiguration>Richtlinien>Windows-Einstellungen>Sicherheitseinstellungen. Gehen Sie abhängig von der Richtlinie, die Sie aktivieren möchten, folgendermaßen vor:

    1. Wechseln Sie zu den Überwachungsrichtlinien für erweiterte Überwachungsrichtlinienkonfigurationsrichtlinien>.

      Screenshot der Auswahl für das Öffnen von Überwachungsrichtlinien.

    2. Bearbeiten Sie unter "Überwachungsrichtlinien" jede der folgenden Richtlinien, und wählen Sie "Konfigurieren der folgenden Überwachungsereignisse für Erfolgs- und Fehlerereignisse" aus.

      Überwachungsrichtlinie Unterkategorie Löst Ereignis-IDs aus
      Kontoanmeldung Validierung der Anmeldeinformationen überwachen 4776
      Kontoverwaltung Computerkontoverwaltung überwachen* 4741, 4743
      Kontoverwaltung Verteilergruppenverwaltung überwachen* 4753, 4763
      Kontoverwaltung Sicherheitsgruppenverwaltung überwachen* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Kontoverwaltung Benutzerkontenverwaltung überwachen 4726
      DS-Zugriff Verzeichnisdienständerungen überwachen 5136
      System Sicherheitssystemerweiterung überwachen* 7045
      DS-Zugriff Verzeichnisdienstzugriff überwachen 4662 – Für dieses Ereignis müssen Sie auch die Objektüberwachung konfigurieren Standard.

      Hinweis

      * Angegebene Unterkategorien unterstützen keine Fehlerereignisse. Es wird jedoch empfohlen, sie für Überwachungszwecke hinzuzufügen, falls sie in Zukunft implementiert werden. Weitere Informationen finden Sie unter Computerkontoverwaltung überwachen, Sicherheitsgruppenverwaltung überwachen und Sicherheitssystemerweiterung überwachen.

      Um beispielsweise Sicherheitsgruppenverwaltung überwachen zu konfigurieren, doppelklicken Sie unter Kontoverwaltung auf Sicherheitsgruppenverwaltung überwachen, und wählen Sie dann Folgende Überwachungsereignisse konfigurieren für Erfolgreiche und Fehlgeschlagene Ereignisse.

      Screenshot des Dialogfelds „Sicherheitsgruppenverwaltungs-Einstellungen überwachen“.

  5. Führen Sie an einer Eingabeaufforderung mit erhöhten Rechten Folgendes aus: gpupdate.

  6. Nachdem Sie die Richtlinie über das Gruppenrichtlinienobjekt angewendet haben, werden die neuen Ereignisse in der Ereignisanzeige unter Windows-Protokolle>Sicherheit angezeigt.

Führen Sie den folgenden Befehl aus, um Ihre Überwachungsrichtlinien über die Befehlszeile zu testen:

auditpol.exe /get /category:*

Weitere Informationen finden Sie in der auditpol-Referenzdokumentation.

Konfigurieren erweiterter Überwachungsrichtlinieneinstellungen mithilfe von PowerShell

Die folgenden Aktionen beschreiben, wie Sie die erweiterten Überwachungsrichtlinien des Domänencontrollers nach Bedarf für Defender for Identity mithilfe von PowerShell ändern.

Verwandtes Integritätsproblem: Die erweiterte Überwachung von Verzeichnisdiensten ist nicht wie erforderlich aktiviert

Führen Sie Folgendes aus, um die Einstellungen zu konfigurieren:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

Für den obigen Befehl gilt Folgendes:

  • Mode gibt an, ob Sie den Modus verwenden Domain oder LocalMachine verwenden möchten. Im Modus Domain werden die Einstellungen aus den Gruppenrichtlinienobjekten gesammelt. Im Modus LocalMachine werden die Einstellungen vom lokalen Computer erfasst.
  • Configuration gibt an, welche Konfiguration festgelegt werden soll. Verwenden Sie All, um alle Konfigurationen festzulegen.
  • CreateGpoDisabled gibt an, ob die GPOs erstellt und als deaktiviert beibehalten werden.
  • SkipGpoLink gibt an, dass GPO-Links nicht erstellt werden.
  • Force gibt an, dass die Konfiguration festgelegt oder GPOs erstellt werden, ohne den aktuellen Zustand zu überprüfen.

Zeigen Sie die Überwachungsrichtlinien mit dem Befehl Get-MDIConfiguration an, um die aktuellen Werte zu sehen:

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Für den obigen Befehl gilt Folgendes:

  • Mode gibt an, ob Sie den Modus verwenden Domain oder LocalMachine verwenden möchten. Im Modus Domain werden die Einstellungen aus den Gruppenrichtlinienobjekten gesammelt. Im Modus LocalMachine werden die Einstellungen vom lokalen Computer erfasst.
  • Configuration gibt an, welche Konfiguration abgerufen werden soll. Verwenden Sie All, um alle Konfigurationen abzurufen.

Testen Sie die Überwachungsrichtlinien mit dem Befehl Test-MDIConfiguration, sodass true oder false zurückgegeben wird und Sie sehen, ob die Werte ordnungsgemäß konfiguriert sind:

Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Für den obigen Befehl gilt Folgendes:

  • Mode gibt an, ob Sie den Modus verwenden Domain oder LocalMachine verwenden möchten. Im Modus Domain werden die Einstellungen aus den Gruppenrichtlinienobjekten gesammelt. Im Modus LocalMachine werden die Einstellungen vom lokalen Computer erfasst.
  • Configuration gibt an, welche Konfiguration getestet werden soll. Verwenden Sie All, um alle Konfigurationen zu testen.

Weitere Informationen finden Sie in den folgenden DefenderForIdentity PowerShell-Verweisen:

Konfigurieren der Überwachung

In diesem Abschnitt werden die zusätzlichen Konfigurationsschritte beschrieben, die Sie zum Überwachen des Windows-Ereignisses 8004 benötigen.

Hinweis

  • Domänengruppenrichtlinien zum Sammeln von Windows-Ereignis 8004 sollten nur auf Domänencontroller angewendet werden.
  • Wenn Windows-Ereignis 8004 von einem Defender for Identity-Sensor analysiert wird, werden die NTLM-Authentifizierungsaktivitäten von Defender for Identity mit den Serverzugriffsdaten erweitert.

Verwandtes Integritätsproblem: NTLM-Überwachung ist nicht aktiviert

Konfigurieren der So konfigurieren Sie die NTLM-Überwachung:

  1. Nachdem Sie ihre anfänglichen Einstellungen für erweiterte Überwachungsrichtlinien (über die Benutzeroberfläche oder PowerShell), öffnen Sie die Gruppenrichtlinienverwaltung. Wechseln Sie zu Standardmäßige Domänencontrollerrichtlinie>Lokale Richtlinien>Sicherheitsoptionen.

  2. Konfigurieren Sie die angegebenen Sicherheitsrichtlinien wie folgt:

    Sicherheitsrichtlinieneinstellungen Wert
    Netzwerksicherheit: Beschränken von NTLM: Ausgehender NTLM-Datenverkehr zu Remoteservern Alle überwachen
    Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne überwachen Alle aktivieren
    Netzwerksicherheit: Beschränken von NTLM: Eingehenden NTLM-Datenverkehr überwachen Aktivieren der Überwachung für alle Konten

Um beispielsweise Ausgehenden NTLM-Datenverkehr auf Remoteserver zu konfigurieren doppelklicken Sie unter Sicherheitsoptionen auf Netzwerksicherheit: Beschränken von NTLM: Ausgehender NTLM-Datenverkehr zu Remoteservern, and then select Alle überwachen.

Screenshot der Konfiguration zur Überwachung des ausgehenden NTLM-Datenverkehrs an Remoteserver.

Do Standard Objektüberwachung konfigurieren

Zum Sammeln von Ereignissen für Objektänderungen, z. B. Ereignis 4662, müssen Sie auch die Objektüberwachung für den Benutzer, die Gruppe, den Computer und andere Objekte konfigurieren. Im folgenden Verfahren wird beschrieben, wie Sie die Überwachung in Active Directory aktivieren Standard.

Wichtig

Überprüfen und überwachen Sie Ihre Richtlinien (über Benutzeroberfläche oder PowerShell), bevor Sie die Ereignissammlung aktivieren, und stellen Sie sicher, dass die Domänencontroller zur Aufzeichnung der erforderlichen Ereignisse ordnungsgemäß konfiguriert sind. Wenn diese Überwachung ordnungsgemäß konfiguriert ist, sollte diese Überwachung minimale Auswirkungen auf die Serverleistung haben.

Verwandtes Integritätsproblem: Die Verzeichnisdienstobjektüberwachung ist nicht wie erforderlich aktiviert

So konfigurieren Sie die Überwachung von Domänenobjekten:

  1. Schließen Sie die Konsole Active Directory-Benutzer und -Computer.

  2. Wählen Sie die Domäne aus, die Sie überwachen möchten.

  3. Wählen Sie Ansicht und dann Erweiterte Features aus.

  4. Klicken Sie mit der rechten Maustaste auf die Rolle, und wählen Sie Eigenschaften aus.

    Screenshot der Auswahl zum Öffnen von Containereigenschaften.

  5. Wählen Sie die Registerkarte Sicherheit aus, und klicken Sie dann auf Erweitert.

    Screenshot des Dialogfelds zum Öffnen der erweiterten Sicherheitseigenschaften.

  6. Wählen Sie in den erweiterten Sicherheitseinstellungen die Registerkarte Überwachung und dann Hinzufügen aus.

    Screenshot der Registerkarte „Überwachung“ im Dialogfeld „Erweiterte Sicherheitseinstellungen“.

  7. Wählen Sie Prinzipal auswählen aus.

    Screenshot der Schaltfläche zum Auswählen eines Prinzipals.

  8. Geben Sie unter "Geben Sie den objektnamen ein, der ausgewählt werden soll", " Jeder". Wählen Sie dann Namen überprüfen>OK aus.

    Screenshot der Eingabe eines Objektnamens von „Jeder“.

  9. Anschließend kehren Sie zu Auditing Entry zurück. Treffen Sie die folgende Auswahl:

    1. Wählen Sie für Typ die Option Erfolg aus.

    2. Wählen Sie im Listenfeld Gilt für die Option Nachgeordnete Benutzerobjekte aus.

    3. Scrollen Sie unter Berechtigungen nach unten, und wählen Sie die Schaltfläche Alle löschen aus.

      Screenshot der Schaltfläche zum Löschen aller Berechtigungen.

    4. Scrollen Sie zurück, und wählen Sie "Vollzugriff" aus. Alle Berechtigungen sind ausgewählt.

    5. Deaktivieren Sie die Auswahl für den Listeninhalt, Alle Eigenschaften lesen und Berechtigungen lesen, und wählen Sie dann OK aus. In diesem Schritt werden alle Einstellungen derEigenschaften auf Lesen festgelegt.

      Screenshot der Auswahl der Berechtigungen.

      Nun werden alle relevanten Änderungen an Verzeichnisdiensten als 4662-Ereignisse angezeigt, wenn ausgelöst.

  10. Wiederholen Sie die Schritte in diesem Verfahren, aber wählen Sie für "Gilt für" die folgenden Objekttypen aus:

    • NNachfolgerelement-Gruppenobjekte
    • Nachfolgerelement-Computerobjekte
    • Untergeordnete msDS-GroupManagedServiceAccount-Objekte
    • Untergeordnete msDS-ManagedServiceAccount-Objekte

Hinweis

Das Zuweisen der Überwachungsberechtigungen für Alle untergeordneten Objekte würde ebenfalls funktionieren, aber wir benötigen nur die Objekttypen, wie im letzten Schritt beschrieben.

Konfigurieren der Überwachung auf AD FS

Verwandtes Integritätsproblem: Die Überwachung im AD FS-Container ist nicht wie erforderlich aktiviert

Konfigurieren der Überwachung der Active Directory-Verbunddienste (AD FS):

  1. Wechseln Sie zur Active Directory-Benutzer und -Computer-Konsole, und wählen Sie die Domäne aus, wo Sie die Protokolle aktivieren möchten.

  2. Wechseln Sie zu "Programmdaten>microsoft>ADFS".

    Screenshot eines Containers für Active Directory-Verbunddienste (AD FS).

  3. Klicken Sie mit der rechten Maustaste auf ADFSSSO, und wählen Sie Eigenschaften aus.

  4. Wechseln Sie zur RegisterkarteSicherheit, und wählen Sie Erweitert>Erweiterte Sicherheitseinstellungen. Wechseln Sie dann zur Registerkarte Überwachung, und wählen Sie Hinzufügen>Prinzipal auswählen aus.

  5. Geben Sie unter "Geben Sie den objektnamen ein, der ausgewählt werden soll", " Jeder". Wählen Sie dann Namen überprüfen>OK aus.

  6. Anschließend kehren Sie zu Auditing Entry zurück. Treffen Sie die folgende Auswahl:

    • Wählen Sie als Type (Typ) die Option All (Alle) aus.
    • Legen Sie Anwenden auf auf Dieses und alle untergeordneten Objekte fest.
    • Scrollen Sie unter "Berechtigungen" nach unten, und wählen Sie "Alle löschen" aus. Scrollen Sie nach oben, und wählen Sie " Alle Eigenschaften lesen" und "Alle Eigenschaften schreiben" aus.

    Screenshot der Überwachungseinstellungen für Active Directory-Verbunddienste (AD FS).

  7. Wählen Sie OK aus.

Konfigurieren der Überwachung auf AD CS

Wenn Sie mit einem dedizierten Server arbeiten, auf dem Active Directory-Zertifikatdienste (AD CS) konfiguriert sind, müssen Sie die Überwachung wie folgt konfigurieren, um dedizierte Warnungen und Secure Score-Berichte anzuzeigen:

  1. Erstellen Sie eine Gruppenrichtlinie, die auf Ihren AD CS-Server angewendet werden soll. Bearbeiten Sie sie, und konfigurieren Sie die folgenden Überwachungseinstellungen:

    1. Gehen Sie zu Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Prüfungsrichtlinienkonfiguration\Überprüfungsrichtlinien\Objektzugriff\Zertifizierungsdienste für die Prüfung, und doppelklicken Sie darauf.

    2. Wählen Sie die Kontrollkästchen aus, um Überwachungsereignisse für Erfolg und Fehler zu konfigurieren.

      Screenshot der Konfiguration von Überwachungsereignissen für Active Directory-Zertifikatdienste im Gruppenrichtlinienverwaltungs-Editor.

  2. Konfigurieren Sie die Überwachung auf der Zertifizierungsstelle mithilfe einer der folgenden Methoden:

    • Führen Sie Folgendes aus, um die Zertifizierungsstellenüberwachung mithilfe der Befehlszeile zu konfigurieren:

      certutil –setreg CA\AuditFilter 127 


net stop certsvc && net start certsvc

    • So konfigurieren Sie die Zertifizierungsstellenüberwachung mithilfe der GUI:

      1. Wählen Sie Start>Zertifizierungsstelle (MMC Desktop-Anwendung) aus. Klicken Sie mit der rechten Maustaste auf die Datenbank, und wählen Sie Eigenschaften.

        Screenshot des Dialogfelds „Zertifizierungsstelle“.

      2. Wählen Sie die Registerkarte Überwachung aus, wählen Sie alle Ereignisse aus, die Sie überwachen möchten, und dann wählen Sie Übernehmen aus.

        Screenshot der Registerkarte „Überwachung“ für Zertifizierungsstelleneigenschaften.

Hinweis

Das Konfigurieren der Start- und Stopp-Ereignisüberwachung für Active Directory Certificate Services kann zu Neustartverzögerungen führen, wenn es um eine große AD CS-Datenbank geht. Erwägen Sie, irrelevante Einträge aus der Datenbank zu entfernen. Alternativ können Sie diese bestimmte Art von Ereignis nicht aktivieren.

Konfigurieren der Überwachung auf Microsoft Entra Connect

So konfigurieren Sie die Überwachung auf Microsoft Entra Connect-Servern:

  • Erstellen Sie eine Gruppenrichtlinie, die auf Ihre Microsoft Entra Connect-Server angewendet werden soll. Bearbeiten Sie sie, und konfigurieren Sie die folgenden Überwachungseinstellungen:

    1. Gehen Sie zu Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\Anmeldung/Abmeldung\Anmeldung überwachen.

    2. Wählen Sie die Kontrollkästchen aus, um Überwachungsereignisse für Erfolg und Fehler zu konfigurieren.

Screenshot des Gruppenrichtlinienverwaltungs-Editors.

Konfigurieren der Überwachung im Konfigurationscontainer

Verwandtes Integritätsproblem: Die Überwachung im Konfigurationscontainer ist nicht wie erforderlich aktiviert

  1. Öffnen Sie das ADSI-Bearbeitungstool. Wählen Sie Start>Ausführen, geben Sie ADSIEdit.msc ein, und klicken Sie dann OK.

  2. Klicken Sie auf der Seite Aktion auf Verbindung zulassen.

  3. Wählen Sie im Dialogfeld Verbindungseinstellungen unter Bekannten Namenskontext auswählen die Option Konfiguration>OK aus.

  4. Erweitern Sie den Container Konfiguration, um den Knoten Konfiguration anzuzeigen, der mit "CN=Configuration,DC=..." beginnt.

  5. Klicken Sie mit der rechten Maustaste auf den Azure AD-Connector, und wählen Sie Eigenschaften aus.

    Screenshot der Auswahl zum Öffnen der Eigenschaften für den Knoten „Konfiguration“.

  6. Wählen Sie die Registerkarte Sicherheit und dann Erweitert aus.

  7. Wählen Sie in den erweiterten Sicherheitseinstellungen die Registerkarte Überwachung und dann Hinzufügen aus.

  8. Wählen Sie Prinzipal auswählen aus.

  9. Geben Sie unter "Geben Sie den objektnamen ein, der ausgewählt werden soll", " Jeder". Wählen Sie dann Namen überprüfen>OK aus.

  10. Anschließend kehren Sie zu Auditing Entry zurück. Treffen Sie die folgende Auswahl:

    • Wählen Sie als Type (Typ) die Option All (Alle) aus.
    • Legen Sie Anwenden auf auf Dieses und alle untergeordneten Objekte fest.
    • Scrollen Sie unter "Berechtigungen" nach unten, und wählen Sie "Alle löschen" aus. Scrollen Sie nach oben, und wählen Sie "Alle Eigenschaften schreiben" aus.

    Screenshot der Überwachungseinstellungen für den Konfigurationscontainer.

  11. Wählen Sie OK aus.

Aktualisieren veralteter Konfigurationen

Defender for Identity erfordert keine Protokollierung von 1644-Ereignissen mehr. Wenn diese Registrierungseinstellung aktiviert ist, können Sie sie entfernen.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Zugehöriger Inhalt

Weitere Informationen finden Sie unter:

Nächster Schritt

Was sind Defender for Identity-Rollen und -Berechtigungen?