Konfigurieren von Überwachungsrichtlinien für Windows-Ereignisprotokolle

  • Artikel

Die Erkennung durch Microsoft Defender for Identity stützt sich auf bestimmte Windows-Ereignisprotokolleinträge, um die Erkennung zu verbessern und zusätzliche Informationen über die Benutzer bereitzustellen, die bestimmte Aktionen durchgeführt haben, z. B. NTLM-Anmeldungen und Änderungen an Sicherheitsgruppen.

Damit die richtigen Ereignisse geprüft und in das Windows-Ereignisprotokoll aufgenommen werden können, benötigen Ihre Domänencontroller genaue Einstellungen für die erweiterte Prüfungsrichtlinie. Falsch konfigurierte Erweiterte Überwachungsrichtlinieneinstellungen können Lücken im Ereignisprotokoll und unvollständige Defender for Identity-Abdeckung verursachen.

In diesem Artikel wird beschrieben, wie Sie Ihre Erweiterten Überwachungsrichtlinieneinstellungen nach Bedarf für einen Defender for Identity-Sensor und andere Konfigurationen für bestimmte Ereignistypen konfigurieren.

Weitere Informationen finden Sie in der Windows-Dokumentation unter "What is Windows event collection for Defender for Identity and Advanced security audit policies ".

Generieren eines Berichts mit aktuellen Konfigurationen über PowerShell

Voraussetzungen: stellen Sie vor dem Ausführen von PowerShell-Befehlen von Defender for Identity sicher, dass Sie das PowerShell-Modul von Defender for Identity heruntergeladen haben.

Bevor Sie mit dem Erstellen neuer Ereignis- und Überwachungsrichtlinien beginnen, sollten Sie den folgenden PowerShell-Befehl ausführen, um einen Bericht ihrer aktuellen Domänenkonfigurationen zu generieren:

New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]

Hierbei gilt:

  • Pfad gibt den Pfad zum Speichern der Berichte an
  • Modus gibt an, ob Sie den Modus Domäne oder LocalMachine verwenden möchten. Im Modus Domäne werden die Einstellungen aus den Gruppenrichtlinienobjekten gesammelt. Im Modus LocalMachine werden die Einstellungen vom lokalen Computer erfasst.
  • OpenHtmlReport öffnet den HTML-Bericht, nachdem der Bericht generiert wurde

Führen Sie beispielsweise den folgenden Befehl aus, um einen Bericht zu generieren und ihn in Ihrem Standardbrowser zu öffnen:

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

Weitere Informationen finden Sie in den DefenderForIdentity PowerShell-Verweisen.

Tipp

Der Domain Modusbericht enthält nur Konfigurationen, die als Gruppenrichtlinien für die Domäne festgelegt sind. Wenn Sie für ihre Domänencontroller lokale Einstellungen definiert haben, empfehlen wir, auch das Skript Test-MdiReadiness.ps1 auszuführen.

Konfigurieren der Überwachung für do Standard-Controller

Wenn Sie mit einem Domänencontroller arbeiten, müssen Sie Ihre erweiterten Überwachungsrichtlinieneinstellungen und zusätzliche Konfigurationen für bestimmte Ereignisse und Ereignistypen aktualisieren, z. B. Benutzer, Gruppen, Computer usw. Überwachungskonfigurationen für do Standard Controller umfassen:

Konfigurieren erweiterter Überwachungsrichtlinieneinstellungen

In diesem Verfahren wird beschrieben, wie Sie die erweiterten Überwachungsrichtlinien des Controllers nach Bedarf für Defender for Identity ändern Standard können.

  1. Melden Sie sich als Domänenadministrator beim Server an.

  2. Öffnen Sie den Gruppenrichtlinienverwaltungs-Editor aus Server-Manager> Tools-Gruppenrichtlinienverwaltung.>

  3. Erweitern Sie Domänencontroller, klicken Sie mit der rechten Maustaste auf Standard-Domänencontrollerrichtlinie, und klicken Sie dann auf Bearbeiten. Beispiel:

    Screenshot of the Edit domain controller policy dialog.

    Hinweis

    Verwenden Sie die Standard-Do Standard Controllerrichtlinie oder ein dediziertes Gruppenrichtlinienobjekt, um diese Richtlinien festzulegen.

  4. Wechseln Sie im daraufhin geöffneten Fenster zu Computerkonfiguration>Richtlinien>Windows-Einstellungen>Sicherheitseinstellungen und führen Sie abhängig von der Richtlinie, die Sie aktivieren möchten, die folgenden Schritte aus:

    1. Wechseln Sie zu den Überwachungsrichtlinien für erweiterte Überwachungsrichtlinienkonfigurationsrichtlinien>. Beispiel:

      Screenshot of the Advanced Audit Policy Configuration dialog.

    2. Bearbeiten Sie unter "Überwachungsrichtlinien" jede der folgenden Richtlinien, und wählen Sie "Konfigurieren der folgenden Überwachungsereignisse für Erfolgs- und Fehlerereignisse" aus.

      Überwachungsrichtlinie Unterkategorie Löst Ereignis-IDs aus
      Kontoanmeldung Überprüfen der Anmeldeinformationen überwachen 4776
      Kontoverwaltung Computerkontoverwaltung überwachen * 4741, 4743
      Kontoverwaltung Verteilergruppenverwaltung überwachen 4753, 4763
      Kontoverwaltung Sicherheitsgruppenverwaltung überwachen * 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Kontoverwaltung Benutzerkontenverwaltung überwachen 4726
      DS-Zugriff Verzeichnisdienständerungen überwachen 5136
      System Sicherheitssystemerweiterung überwachen * 7045
      DS-Zugriff Verzeichnisdienstzugriff überwachen 4662 – Für dieses Ereignis müssen Sie auch die Objektüberwachung konfigurieren Standard.

      Hinweis

      * Angegebene Unterkategorien unterstützen keine Fehlerereignisse. Es wird jedoch empfohlen, sie für Überwachungszwecke hinzuzufügen, falls sie in Zukunft implementiert werden. Weitere Informationen finden Sie unter Computerkontoverwaltung überwachen, Sicherheitsgruppenverwaltung überwachen und Sicherheitssystemerweiterung überwachen.

      Um beispielsweise die Überwachungssicherheitsgruppenverwaltung zu konfigurieren, doppelklicken Sie unter "Kontoverwaltung" auf "Sicherheitsgruppenverwaltung überwachen", und wählen Sie dann die folgenden Überwachungsereignisse für Erfolgs- und Fehlerereignisse konfigurieren aus:

      Screenshot of the Audit Security Group Management dialog.

  5. Führen Sie an einer Eingabeaufforderung mit erhöhten Rechten den Befehl gpupdate aus.

  6. Nachdem Sie die Richtlinie über das Gruppenrichtlinienobjekt angewendet haben, werden die neuen Ereignisse in der Ereignisanzeige unter Windows-Protokoll>sicherheit angezeigt.

Testen von Überwachungsrichtlinien über die Befehlszeile

Führen Sie den folgenden Befehl aus, um Ihre Überwachungsrichtlinien über die Befehlszeile zu testen:

auditpol.exe /get /category:*

Weitere Informationen finden Sie in der auditpol-Referenzdokumentation.

Konfigurieren, Abrufen und Testen von Überwachungsrichtlinien mithilfe von PowerShell

Führen Sie den folgenden Befehl aus, um Überwachungsrichtlinien mithilfe von PowerShell zu konfigurieren:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

Hierbei gilt:

  • Modus gibt an, ob Sie den Modus Domäne oder LocalMachine verwenden möchten. Im Modus Domäne werden die Einstellungen aus den Gruppenrichtlinienobjekten gesammelt. Im Modus LocalMachine werden die Einstellungen vom lokalen Computer erfasst.

  • Konfiguration gibt an, welche Konfiguration festgelegt werden soll. Verwenden Sie All, um alle Konfigurationen festzulegen.

  • CreateGpoDisabled gibt an, ob die GPOs erstellt und als deaktiviert beibehalten werden.

  • SkipGpoLink gibt an, dass GPO-Links nicht erstellt werden.

  • Force gibt an, dass die Konfiguration festgelegt oder GPOs erstellt werden, ohne den aktuellen Zustand zu überprüfen.

Um Ihre Überwachungsrichtlinien mithilfe von PowerShell anzuzeigen oder zu testen, führen Sie die folgenden Befehle nach Bedarf aus. Verwenden Sie den Befehl Get-MDIConfiguration, um die aktuellen Werte anzuzeigen. Verwenden Sie den Befehl Test-MDIConfiguration, um die Antwort true oder false zu erhalten, ob die Werte ordnungsgemäß konfiguriert sind.

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Hierbei gilt:

  • Modus gibt an, ob Sie den Modus Domäne oder LocalMachine verwenden möchten. Im Modus Domäne werden die Einstellungen aus den Gruppenrichtlinienobjekten gesammelt. Im Modus LocalMachine werden die Einstellungen vom lokalen Computer erfasst.

  • Konfiguration gibt an, welche Konfiguration abgerufen werden soll. Verwenden Sie All, um alle Konfigurationen abzurufen.

Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Hierbei gilt:

  • Modus gibt an, ob Sie den Modus Domäne oder LocalMachine verwenden möchten. Im Modus Domäne werden die Einstellungen aus den Gruppenrichtlinienobjekten gesammelt. Im Modus LocalMachine werden die Einstellungen vom lokalen Computer erfasst.

  • Konfiguration gibt an, welche Konfiguration getestet werden soll. Verwenden Sie All, um alle Konfigurationen zu testen.

Weitere Informationen finden Sie in den folgenden DefenderForIdentity PowerShell-Verweisen:

Konfigurieren der Überwachung

In diesem Abschnitt werden die zusätzlichen Konfigurationsschritte beschrieben, die zum Überwachen der Ereignis-ID 8004 erforderlich sind.

Hinweis

  • Do Standard Gruppenrichtlinien zum Sammeln von Windows-Ereignis 8004 sollten nur auf do Standard Controller angewendet werden.
  • Wenn Windows-Ereignis 8004 von Defender for Identity Sensor analysiert wird, werden die NTLM-Authentifizierungsaktivitäten von Defender for Identity mit den Serverzugriffsdaten erweitert.

  1. Öffnen Sie nach den ersten Schritten die Gruppenrichtlinienverwaltung, und wechseln Sie zu den Standard-Do Standard Controllern Richtlinien-Sicherheitsoptionen> für lokale Richtlinien>.

  2. Konfigurieren Sie unter "Sicherheitsoptionen" die angegebenen Sicherheitsrichtlinien wie folgt:

    Sicherheitsrichtlinieneinstellungen Wert
    Netzwerksicherheit: Beschränken von NTLM: Ausgehender NTLM-Datenverkehr zu Remoteservern Alle überwachen
    Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne überwachen Alle aktivieren
    Netzwerksicherheit: Beschränken von NTLM: Eingehenden NTLM-Datenverkehr überwachen Aktivieren der Überwachung für alle Konten

Um z. B. ausgehenden NTLM-Datenverkehr auf Remoteserver zu konfigurieren, doppelklicken Sie unter Sicherheitsoptionen auf Netzwerksicherheit:NTLM: Ausgehender NTLM-Datenverkehr auf Remoteserver einschränken, und wählen Sie dann Alle überwachen aus:

Screenshot of the Audit Outgoing NTLM traffic to remote servers configuration.

Do Standard Objektüberwachung konfigurieren

Zum Sammeln von Ereignissen für Objektänderungen, z. B. Ereignis 4662, müssen Sie auch die Objektüberwachung für den Benutzer, die Gruppe, den Computer und andere Objekte konfigurieren. In diesem Verfahren wird beschrieben, wie Sie die Überwachung in Active Directory aktivieren Standard.

Wichtig

Überprüfen und überprüfen Sie Ihre Überwachungsrichtlinien, bevor Sie die Ereignissammlung aktivieren, um sicherzustellen, dass die Do Standard-Controller ordnungsgemäß konfiguriert sind, um die erforderlichen Ereignisse aufzuzeichnen. Wenn dies ordnungsgemäß konfiguriert ist, sollte diese Überwachung minimale Auswirkungen auf die Serverleistung haben.

  1. Schließen Sie die Konsole Active Directory-Benutzer und -Computer.

  2. Wählen Sie die Domäne aus, die Sie prüfen möchten.

  3. Wählen Sie Ansicht und dann Erweiterte Features aus.

  4. Klicken Sie mit der rechten Maustaste auf die Rolle, und wählen Sie Eigenschaften aus. Beispiel:

    Screenshot of the container properties option.

  5. Wählen Sie die Registerkarte Sicherheit aus, und klicken Sie auf Erweitert. Beispiel:

    Screenshot of the advanced security properties dialog.

  6. Wählen Sie in den erweiterten Sicherheitseinstellungen die Registerkarte Überwachung und dann Hinzufügen aus. Beispiel:

    Screenshot of the Advanced Security Settings Auditing tab.

  7. Wählen Sie Prinzipal auswählen aus. Beispiel:

    Screenshot of the Select a principal option.

  8. Geben Sie unter "Objektname eingeben" die Option "Jeder" ein, und wählen Sie "Namen>ok" aus. Beispiel:

    Screenshot of the Select everyone settings.

  9. Anschließend kehren Sie zu Auditing Entry zurück. Treffen Sie die folgende Auswahl:

    1. Wählen Sie für "Typ" die Option "Erfolg" aus.

    2. Wählen Sie im Listenfeld Gilt für die Option Nachgeordnete Benutzerobjekte aus.

    3. Scrollen Sie unter Berechtigungen nach unten, und wählen Sie die Schaltfläche Alle löschen aus. Beispiel:

      Screenshot of selecting Clear all.

    4. Scrollen Sie zurück, und wählen Sie "Vollzugriff" aus. Alle Berechtigungen sind ausgewählt.

    5. Deaktivieren Sie die Auswahl für den Listeninhalt, "Alle Eigenschaften lesen" und "Berechtigungen lesen", und wählen Sie "OK" aus. Dadurch werden alle Eigenschafteneinstellungen auf "Write" festgelegt. Beispiel:

      Screenshot of selecting permissions.

      Wenn sie ausgelöst wird, werden nun alle relevanten Änderungen an Verzeichnisdiensten als 4662 Ereignisse angezeigt.

  10. Wiederholen Sie die Schritte in diesem Verfahren, aber wählen Sie für "Gilt für" die folgenden Objekttypen aus:

    • NNachfolgerelement-Gruppenobjekte
    • Nachfolgerelement-Computerobjekte
    • Untergeordnete msDS-GroupManagedServiceAccount-Objekte
    • Untergeordnete msDS-ManagedServiceAccount-Objekte

Hinweis

Das Zuweisen der Überwachungsberechtigungen für Alle untergeordneten Objekte würde ebenfalls funktionieren, aber wir benötigen nur dieObjekttypen, wie im letzten Schritt beschrieben.

Konfigurieren der Active Directory-Verbunddienste (AD FS)

  1. Wechseln Sie zur Active Directory-Benutzer und -Computer Konsole, und wählen Sie "Do" aus Standard sie die Protokolle aktivieren möchten.

  2. Wechseln Sie zu "Programmdaten>microsoft>ADFS". Beispiel:

    Screenshot of an ADFS container.

  3. Klicken Sie mit der rechten Maustaste auf ADFSSSO, und wählen Sie Eigenschaften aus.

  4. Wechseln Sie zur Registerkarte Sicherheit und wählen Sie Erweitert>Erweiterte Sicherheitseinstellungen>Überwachung-Registerkarte >Hinzufügen>Ein Prinzipal auswählen.

  5. Geben Sie unter "Geben Sie den objektnamen ein, der ausgewählt werden soll", " Jeder".

  6. Wählen Sie Namen überprüfen>OK aus.

  7. Anschließend kehren Sie zu Auditing Entry zurück. Treffen Sie die folgende Auswahl:

    • Für Typ wählen Sie Alle.
    • Legen Sie Anwenden auf auf Dieses und alle untergeordneten Objekte fest.
    • Scrollen Sie unter "Berechtigungen" nach unten, und wählen Sie "Alle löschen" aus. Scrollen Sie nach oben, und wählen Sie " Alle Eigenschaften lesen" und "Alle Eigenschaften schreiben" aus.

    Beispiel:

    Screenshot of the auditing settings for ADFS.

  8. Klickan Sie auf OK.

Weitere Informationen finden Sie unter Konfigurationsaudit von Active Directory-Zertifikatdienste (AD CS).

Wenn Sie mit einem dedizierten Server arbeiten, auf dem Active Directory-Zertifikatdienste (AD CS) konfiguriert sind, müssen Sie die Überwachung wie folgt konfigurieren, um dedizierte Warnungen und Secure Score-Berichte anzuzeigen:

  1. Erstellen Sie eine Gruppenrichtlinie, die auf Ihren AD CS-Server angewendet werden soll. Bearbeiten Sie sie, und konfigurieren Sie die folgenden Überwachungseinstellungen:

    1. Gehen Sie zu Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Prüfungsrichtlinienkonfiguration\Überprüfungsrichtlinien\Objektzugriff\Zertifizierungsdienste für die Prüfung und wählen Sie diese doppelt aus.

    2. Wählen Sie diese Option aus, um Überwachungsereignisse für Erfolg und Fehler zu konfigurieren. Beispiel:

      Screenshot of the Group Policy Management Editor.

  2. Konfigurieren Sie die Überwachung auf der Zertifizierungsstelle mithilfe einer der folgenden Methoden:

    • Führen Sie Folgendes aus, um die Zertifizierungsstellenüberwachung mithilfe der Befehlszeile zu konfigurieren:

      certutil –setreg CA\AuditFilter 127 

net stop certsvc && net start certsvc

    • So konfigurieren Sie die Zertifizierungsstellenüberwachung mithilfe der GUI:

      1. Wählen Sie Start –> Zertifizierungsstelle (MMC Desktop-Anwendung) aus. Klicken Sie mit der rechten Maustaste auf die Datenbank, und wählen Sie Eigenschaften. Beispiel:

        Screenshot of the Certification Authority dialog.

      2. Wählen Sie die Registerkarte "Überwachung " aus, wählen Sie alle Ereignisse aus, die Sie überwachen möchten, und wählen Sie dann "Übernehmen" aus. Beispiel:

        Screenshot of the Properties Auditing tab.

Hinweis

Das Konfigurieren der Start- und Stopp-Ereignisüberwachung für Active Directory Certificate Services kann zu Neustartverzögerungen führen, wenn es um eine große AD CS-Datenbank geht. Erwägen Sie, irrelevante Einträge aus der Datenbank zu entfernen oder alternativ die Aktivierung dieses bestimmten Ereignistyps zu vermeiden.

Konfigurieren der Überwachung im Konfigurationscontainer

  1. Öffnen Sie ADSI Bearbeiten, indem Sie "Start>ausführen" auswählen. Geben Sie ADSIEdit.msc ein und wählen Sie OK aus.

  2. Klicken Sie auf der Seite Aktion auf Verbindung zulassen.

  3. Wählen Sie im Dialogfeld Verbinden ion Einstellungen unter "Bekannten Namenskontext auswählen" die Option "Konfiguration OK">aus.

  4. Erweitern Sie den Konfigurationscontainer , um den Konfigurationsknoten anzuzeigen, beginnend mit "CN=Configuration,DC=..."

  5. Klicken Sie mit der rechten Maustaste auf den Azure AD-Connector, und wählen Sie Eigenschaften aus. Beispiel:

    Screenshot of the Configuration node properties.

  6. Wählen Sie auf der Registerkarte Sicherheit die Option >Erweitert aus.

  7. Wählen Sie auf der Seite Erweiterte Sicherheitseinstellungen die Registerkarte Überwachung>Hinzufügen aus.

  8. Wählen Sie Prinzipal auswählen aus.

  9. Geben Sie unter "Objektname eingeben" die Option "Jeder" ein, und wählen Sie "Namen>ok" aus.

  10. Anschließend kehren Sie zu Auditing Entry zurück. Treffen Sie die folgende Auswahl:

    • Für Typ wählen Sie Alle.
    • Legen Sie Anwenden auf auf Dieses und alle untergeordneten Objekte fest.
    • Scrollen Sie unter "Berechtigungen" nach unten, und wählen Sie "Alle löschen" aus. Scrollen Sie nach oben, und wählen Sie "Alle Eigenschaften schreiben" aus.

    Beispiel:

    Screenshot of the auditing settings for the Configuration container.

  11. Klickan Sie auf OK.

Veraltete Konfigurationsoptionen

Wichtig

Defender for Identity erfordert keine Protokollierung von 1644-Ereignissen mehr. Wenn diese Registrierungseinstellung aktiviert ist, können Sie sie entfernen.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Zugehöriger Inhalt

Weitere Informationen erhalten Sie unter Windows Update-Sicherheit.

Nächster Schritt

Was sind Defender for Identity-Rollen und -Berechtigungen? »