Freigeben über

Konfigurieren der Windows-Ereignisüberwachung

In diesem Artikel wird beschrieben, wie Sie die Windows-Ereignisüberwachung konfigurieren.

Defender for Identity verwendet Windows-Ereignisprotokolleinträge, um bestimmte Aktivitäten zu erkennen. Diese Daten werden in verschiedenen Erkennungsszenarien verwendet und können in erweiterten Huntingabfragen verwendet werden. Stellen Sie für einen optimalen Schutz und eine optimale Überwachung sicher, dass die Sammlung von Windows-Ereignissen ordnungsgemäß konfiguriert ist.

Defender for Identity generiert Integritätswarnungen, wenn falsche Windows-Ereignisüberwachungskonfigurationen erkannt werden. Weitere Informationen finden Sie unter Microsoft Defender for Identity Integritätswarnungen.

Wenn Sie die Überwachung ordnungsgemäß konfigurieren, hat dies nur minimale Auswirkungen auf die Serverleistung.

Bevor Sie beginnen

Bevor Sie mit dem Konfigurieren der Windows-Ereignissammlung beginnen, empfehlen wir Ihnen, ein PowerShell-Skript auszuführen, um Ihre aktuelle Konfiguration zu überprüfen und einen Bericht über alle Anpassungen zu generieren, die Sie vornehmen müssen:

  1. Laden Sie das PowerShell-Modul für Defender for Identity herunter.

  2. Führen Sie das PowerShell-Modul Defender for Identity New-MDIConfigurationReport aus, um einen Bericht über Ihre aktuelle Windows-Ereignisüberwachungskonfiguration zu generieren.

        New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -Identity "DOMAIN\ServiceAccountName" -OpenHtmlReport

    Dabei gilt:

    • Path ist das Verzeichnis, in dem der Bericht gespeichert wird.
    • Mode gibt an, woher die Einstellungen gesammelt werden.
      • Im Domain Modus werden die Einstellungen aus den Gruppenrichtlinie-Objekten (GPOs) gesammelt. Wenn Sie verwenden -Mode Domain, schließen Sie den -Identity Parameter ein, um eine interaktive Eingabeaufforderung zu vermeiden.
      • Im LocalMachine Modus werden die Einstellungen vom lokalen Computer erfasst.
    • OpenHtmlReport öffnet den HTML-Bericht, nachdem der Bericht generiert wurde. Um beispielsweise einen Bericht zu generieren und in Ihrem Standardbrowser zu öffnen, führen Sie den folgenden Befehl aus:
    New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

    Weitere Informationen finden Sie unter New-MDIConfigurationReport.

  3. Überprüfen Sie den Bericht, und nehmen Sie alle erforderlichen Anpassungen vor, bevor Sie die Windows-Ereignissammlung konfigurieren.

Konfigurieren von Defender for Identity zum automatischen Erfassen von Windows-Ereignissen (Vorschau)

Hinweis

Die automatische Windows-Ereignisüberwachung wird für Domänencontroller unterstützt, die den Defender for Identity-Sensor version 3.x verwenden.

Die automatische Windows-Überwachung führt alle Konfigurationsaufgaben automatisch aus:

  • Überprüft die aktuelle Windows-Ereignisüberwachungskonfiguration.
  • Identifiziert lücken in der Konfiguration.
  • Der Sensor wendet alle erforderlichen Änderungen an, einschließlich aller Schritte in der manuellen Konfiguration:
    • Erweiterte Überwachung von Verzeichnisdiensten: Fügt überwachungseinträge zur System Access Control List (SACL) des Domänenstammobjekts hinzu, um die erforderliche Verzeichnisdienstüberwachung zu aktivieren.
    • NTLM-Überwachung : Verwendet standardmäßige Windows-Registrierungs-APIs, um die erforderlichen NTLM-Überwachungsregistrierungswerte zu konfigurieren.
    • Domänenobjektüberwachung : Ändert die SACL auf der Konfigurationspartition, um Änderungen an Verzeichnisdienstkonfigurationsobjekten zu erfassen.
    • AD FS-Überwachung: Fügt überwachungseinträge zur System Access Control List (SACL) des AD FS-Konfigurationscontainers des Objekts hinzu, um die Überwachung von AD FS-bezogenen Verzeichnisobjekten zu ermöglichen.
    • Windows-Überwachungsrichtlinie : Konfiguriert die lokalen Windows-Überwachungsrichtlinien mithilfe der Überwachungsrichtlinien-APIs der lokalen Sicherheitsautorität (Local Security Authority, LSA).
  • Wendet Überwachungseinstellungen direkt auf die lokale Systemrichtlinie des Domänencontrollers an.
  • Sendet Integritätswarnungen zum Konfigurationsstatus.
  • Wird einmal alle 24 Stunden ausgeführt.

Hinweis

  • Wenn Sie die automatische Windows-Überwachung nicht aktivieren, müssen Sie die Windows-Ereignisüberwachung entweder manuell oder mithilfe von PowerShell konfigurieren.
  • GPO-Einstellungen können mit lokalen Einstellungen in Konflikt treten, die vom Sensor festgelegt werden.

Aktivieren der automatischen Windows-Überwachung

  1. Navigieren Sie im Microsoft Defender-Portal zu Einstellungen und dann zu Identitäten.
  2. Wählen Sie im Abschnitt Allgemeindie Option Erweiterte Features aus.
  3. Aktivieren Sie die Konfiguration der automatischen Windows-Überwachung.

Manuelles Konfigurieren der Windows-Ereignissammlung

Dieser Abschnitt enthält Anweisungen zum manuellen Konfigurieren der Windows-Ereignissammlung in diesen Fällen:

Konfigurieren der Überwachung auf Domänencontrollern

Führen Sie zum Konfigurieren der Überwachung auf einem Domänencontroller die folgenden Schritte aus:

Konfigurieren der erweiterten Überwachung von Verzeichnisdiensten

In diesem Abschnitt wird beschrieben, wie Sie die Erweiterten Überwachungsrichtlinieneinstellungen Ihres Domänencontrollers für Defender for Identity ändern.

  1. Melden Sie sich beim Server als Domänenadministrator an.

  2. Öffnen Sie den Gruppenrichtlinie-Verwaltungs-Editor über Server-Manager>Tools>Gruppenrichtlinie Management.

  3. Erweitern Sie Domänencontroller Organisationseinheiten, klicken Sie mit der rechten Maustaste auf Standarddomänencontrollerrichtlinie, und wählen Sie dann Bearbeiten aus.

    Screenshot des Bereichs zum Bearbeiten der Standardrichtlinie für Domänencontroller.

    Hinweis

    Verwenden Sie die Standarddomänencontrollerrichtlinie oder ein dediziertes GPO, um diese Richtlinien festzulegen.

  4. Wechseln Sie zu Computerkonfigurationsrichtlinien>>Windows-Einstellungen>Sicherheitseinstellungen. Gehen Sie abhängig von der Richtlinie, die Sie aktivieren möchten, wie folgt vor:

    1. Wechseln Sie zu Erweiterte Überwachungsrichtlinienkonfiguration>Überwachungsrichtlinien.

      Screenshot der Auswahl zum Öffnen einer Überwachungsrichtlinie.

    2. Bearbeiten Sie unter Überwachungsrichtlinien jede der folgenden Richtlinien, und wählen Sie Die folgenden Überwachungsereignisse für Erfolgs - und Fehlerereignisse konfigurieren aus.

      Überwachungsrichtlinie Unterkategorie Triggerereignis-IDs
      Kontoanmeldung Überprüfung von Anmeldeinformationen überwachen 4776
      Kontoverwaltung Computerkontoverwaltung überwachen* 4741, 4743
      Kontoverwaltung Überwachen der Verteilergruppenverwaltung* 4753, 4763
      Kontoverwaltung Sicherheitsgruppenverwaltung überwachen* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Kontoverwaltung Überwachen der Benutzerkontenverwaltung 4726
      DS-Zugriff Verzeichnisdienständerungen überwachen* 5136
      System Sicherheitssystemerweiterung überwachen* 7045
      DS-Zugriff Überwachen des Verzeichnisdienstzugriffs 4662 – Für dieses Ereignis müssen Sie auch die Domänenobjektüberwachung konfigurieren.

      Hinweis

      * Diese Unterkategorien unterstützen keine Fehlerereignisse. Es wird empfohlen, sie zu Überwachungszwecken hinzuzufügen, falls sie in Zukunft implementiert werden. Weitere Informationen finden Sie unter Überwachen der Computerkontoverwaltung, Sicherheitsgruppenverwaltung überwachen und Sicherheitssystemerweiterung überwachen.

    3. Doppelklicken Sie zum Konfigurieren der Sicherheitsgruppenverwaltung überwachen unter Kontoverwaltung auf Sicherheitsgruppenverwaltung überwachen, und wählen Sie dann Die folgenden Überwachungsereignisse für Erfolgs- und Fehlerereignisse konfigurieren aus.

      Screenshot des Überwachungsprotokolls für sicherheitsgruppenverwaltungseigenschaften.

  5. Geben Sie an einer Eingabeaufforderung mit erhöhten Rechten ein gpupdate.

  6. Nachdem Sie die Richtlinie über das Gruppenrichtlinienobjekt angewendet haben, vergewissern Sie sich, dass die neuen Ereignisse im Ereignisanzeige unter Windows-Protokollsicherheit> angezeigt werden.

    Führen Sie den folgenden Befehl aus, um Ihre Überwachungsrichtlinien über die Befehlszeile zu testen:

    auditpol.exe /get /category:*

Weitere Informationen finden Sie in der auditpol-Referenzdokumentation.

Konfigurieren der NTLM-Überwachung

Wenn ein Defender for Identity-Sensor das Windows-Ereignis 8004 analysiert, werden die NTLM-Authentifizierungsaktivitäten von Defender for Identity mit den Daten angereichert, auf die vom Server zugegriffen wird. In diesem Abschnitt werden die Konfigurationsschritte beschrieben, die Sie zum Überwachen des Windows-Ereignisses 8004 benötigen.

Hinweis

Wenden Sie Domänengruppenrichtlinien an, um Windows-Ereignis 8004 nur auf Domänencontroller zu erfassen.

So konfigurieren Sie die NTLM-Überwachung:

  1. Öffnen Sie Gruppenrichtlinie Verwaltung, und wechseln Sie zu Standarddomänencontrollerrichtlinie>Lokale Richtlinien>Sicherheitsoptionen.

  2. Konfigurieren Sie die angegebenen Sicherheitsrichtlinien wie folgt:

    Sicherheitsrichtlinieneinstellung Wert
    Netzwerksicherheit: Einschränken von NTLM: Ausgehender NTLM-Datenverkehr an Remoteserver Alle überwachen
    Netzwerksicherheit: NTLM einschränken: NTLM-Authentifizierung in dieser Domäne überwachen Alle aktivieren
    Netzwerksicherheit: NTLM einschränken: Eingehenden NTLM-Datenverkehr überwachen Aktivieren der Überwachung für alle Konten

  3. Um ausgehenden NTLM-Datenverkehr an Remoteserver zu konfigurieren, doppelklicken Sie unter Sicherheitsoptionen auf Netzwerksicherheit: NTLM einschränken: Ausgehender NTLM-Datenverkehr auf Remoteserver, und wählen Sie dann Alle überwachen aus.

Screenshot der Überwachungskonfiguration für ausgehenden NTLM-Datenverkehr zu Remoteservern.

Konfigurieren der Domänenobjektüberwachung

Zum Sammeln von Ereignissen für Objektänderungen, z. B. für Ereignis 4662, müssen Sie auch die Objektüberwachung für den Benutzer, die Gruppe, den Computer und andere Objekte konfigurieren. Im folgenden Verfahren wird beschrieben, wie Sie die Überwachung in der Active Directory-Domäne aktivieren.

So konfigurieren Sie die Überwachung von Domänenobjekten:

  1. Wechseln Sie zur Active Directory-Benutzer und -Computer-Konsole.

  2. Wählen Sie die Domäne aus, die Sie überwachen möchten.

  3. Wählen Sie das Menü Ansicht und dann Erweiterte Features aus.

  4. Klicken Sie mit der rechten Maustaste auf die Domäne, und wählen Sie Eigenschaften aus.

    Screenshot der Auswahl zum Öffnen von Containereigenschaften.

  5. Wechseln Sie zur Registerkarte Sicherheit , und wählen Sie dann Erweitert aus.

    Screenshot des Dialogfelds zum Öffnen erweiterter Sicherheitseigenschaften.

  6. Wählen Sie unter Erweiterte Sicherheitseinstellungen die Registerkarte Überwachung und dann Hinzufügen aus.

    Screenshot der Registerkarte

  7. Wählen Sie Prinzipal auswählen aus.

    Screenshot der Schaltfläche zum Auswählen eines Prinzipals.

  8. Geben Sie unter Geben Sie den auszuwählenden Objektnamen ein die Zeichenfolge Jeder ein. Wählen Sie dann Namen>überprüfen OK aus.

    Screenshot der Eingabe des Objektnamens

  9. Zurück zu Überwachungseintrag, und treffen Sie die folgende Auswahl:

    1. Wählen Sie unter Typ die Option Erfolg aus.

    2. Wählen Sie für Gilt für die Option Nachfolgerbenutzerobjekte aus.

    3. Scrollen Sie unter Berechtigungen nach unten, und wählen Sie die Schaltfläche Alle löschen aus.

      Screenshot der Schaltfläche zum Löschen aller Berechtigungen.

    4. Scrollen Sie nach oben, und wählen Sie Vollzugriff aus. Alle Berechtigungen sind ausgewählt.

    5. Deaktivieren Sie die Auswahl für die Berechtigungen Inhalt auflisten, Alle Eigenschaften lesen und Leseberechtigungen , und wählen Sie dann OK aus. In diesem Schritt werden alle Eigenschafteneinstellungen auf Schreiben festgelegt.

      Screenshot: Auswählen von Berechtigungen

      Jetzt werden alle relevanten Änderungen an Verzeichnisdiensten als 4.662 Ereignisse angezeigt, wenn sie ausgelöst werden.

  10. Wiederholen Sie die Schritte in diesem Verfahren, aber wählen Sie für Gilt für die folgenden Objekttypen aus: 1

    • Nachfolgergruppenobjekte
    • Nachfolgercomputerobjekte
    • Nachfolger msDS-GroupManagedServiceAccount-Objekte
    • Nachfolger msDS-ManagedServiceAccount-Objekte
    • Nachfolger msDS-DelegatedManagedServiceAccount Objects2

Hinweis

  • Sie können Allen nachfolgerfähigen Objekten Überwachungsberechtigungen zuweisen, indem Sie nur die im letzten Schritt beschriebenen Objekttypen verwenden.
  • Die MsDS-DelegatedManagedServiceAccount-Klasse ist nur für Domänen relevant, die mindestens einen Windows Server 2025-Domänencontroller ausführen.

Konfigurieren der Überwachung in AD FS

In diesem Abschnitt wird beschrieben, wie Sie Ihre Active Directory-Verbunddienste (AD FS) (AD FS)-Überwachungskonfigurationen für Defender for Identity ändern.

Überwachung auf Objektebene im AD FS-Konfigurationsordner

  1. Wechseln Sie zur Active Directory-Benutzer und -Computer-Konsole, und wählen Sie die Domäne aus, in der Sie die Protokolle aktivieren möchten.

  2. Wechseln Sie zu Programmdaten>Microsoft>AD FS.

    Screenshot: Container für Active Directory-Verbunddienste (AD FS)

  3. Klicken Sie mit der rechten Maustaste auf AD FS , und wählen Sie Eigenschaften aus.

  4. Wechseln Sie zur Registerkarte Sicherheit , und wählen Sie Erweiterte>Sicherheitseinstellungen aus. Wechseln Sie dann zur Registerkarte Überwachung, und wählen Sie Hinzufügen>Prinzipal auswählen aus.

  5. Geben Sie unter Geben Sie den auszuwählenden Objektnamen ein die Zeichenfolge Jeder ein. Wählen Sie dann Namen>überprüfen OK aus.

  6. Kehren Sie zu Überwachungseintrag zurück. Treffen Sie die folgende Auswahl:

    • Wählen Sie unter Typ die Option Alle aus.
    • Wählen Sie unter Gilt für die Option Dieses Objekt und alle nachfolgerfähigen Objekte aus.
    • Scrollen Sie unter Berechtigungen nach unten, und wählen Sie Alle löschen aus. Scrollen Sie nach oben, und wählen Sie Alle Eigenschaften lesen und Alle Eigenschaften schreiben aus.

    Screenshot der Überwachungseinstellungen für Active Directory-Verbunddienste (AD FS).

  7. Wählen Sie OK aus.

Konfigurieren einer Gruppenrichtlinie für die Ereignisüberwachung

  1. Erstellen Sie eine Gruppenrichtlinie, die auf Ihre Active Directory-Verbunddienste (AD FS) (AD FS) angewendet werden soll.

  2. Konfigurieren Sie die folgenden Überwachungseinstellungen:

    1. Wechseln Sie zu Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\Objektzugriff\Überwachungsanwendung generiert.

    2. Aktivieren Sie die Kontrollkästchen, um Überwachungsereignisse für Erfolg und Fehler zu konfigurieren.

    Screenshot der Konfiguration der erweiterten Überwachungsrichtlinie.

Konfigurieren der ausführlichen Protokollierung für AD FS-Ereignisse

Für Sensoren, die auf AD FS-Servern ausgeführt werden, muss die Überwachungsebene für relevante Ereignisse auf Ausführlich festgelegt sein.

Sie können den folgenden PowerShell-Befehl verwenden, um die Überwachungsebene auf Ausführlich zu konfigurieren:

Set-AdfsProperties -AuditLevel Verbose

Konfigurieren der Überwachung in AD CS

Wenn Sie mit einem dedizierten Server arbeiten, auf dem Active Directory Certificate Services (AD CS) konfiguriert ist, konfigurieren Sie die Überwachung wie folgt, um dedizierte Warnungen und Berichte zur Sicherheitsbewertung anzuzeigen:

  1. Erstellen Sie eine Gruppenrichtlinie, die auf Ihren AD CS-Server angewendet werden soll. Bearbeiten Sie sie, und konfigurieren Sie die folgenden Überwachungseinstellungen:

    1. Wechseln Sie zu Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\Objektzugriff\Zertifizierungsdienste überwachen.

    2. Aktivieren Sie die Kontrollkästchen, um Überwachungsereignisse für Erfolg und Fehler zu konfigurieren.

    Screenshot: Konfigurieren von Überwachungsereignissen für Active Directory-Zertifikatdienste im Gruppenrichtlinie-Verwaltungs-Editor.

  2. Konfigurieren Sie die Überwachung auf der Zertifizierungsstelle mit einer der folgenden Methoden:

    • Führen Sie zum Konfigurieren der Überwachung der Zertifizierungsstelle mithilfe von PowerShell Folgendes aus:
certutil -setreg CA\AuditFilter 127 
Restart-Service certsvc

Dieser Befehl aktualisiert die Überwachungseinstellungen der Zertifizierungsstelle und startet den Zertifikatdienstedienst neu, damit die Änderungen wirksam werden.

  • So konfigurieren Sie die Überwachung der Zertifizierungsstelle im Defender-Portal:

    1. Wählen Sie Zertifizierungsstelle starten>(MMC Desktop-Anwendung) aus. Klicken Sie mit der rechten Maustaste auf den Namen Ihrer Zertifizierungsstelle, und wählen Sie Eigenschaften aus.

      Screenshot des Dialogfelds

    2. Wählen Sie die Registerkarte Überwachung aus, wählen Sie alle Ereignisse aus, die Sie überwachen möchten, und wählen Sie dann Anwenden aus.

      Screenshot der Registerkarte

Hinweis

Das Konfigurieren der Ereignisüberwachung "Active Directory-Zertifikatdienste starten und beenden " kann zu Neustartverzögerungen führen, wenn Sie mit einer großen AD CS-Datenbank arbeiten. Ziehen Sie in Betracht, irrelevante Einträge aus der Datenbank zu entfernen. Aktivieren Sie alternativ diesen bestimmten Ereignistyp nicht.

Konfigurieren der Überwachung auf Microsoft Entra Connect

So konfigurieren Sie die Überwachung auf Microsoft Entra Connect-Servern:

  1. Erstellen Sie eine Gruppenrichtlinie, die auf Ihre Microsoft Entra Connect-Server angewendet werden soll.

  2. Bearbeiten Sie die Gruppenrichtlinie, und konfigurieren Sie die folgenden Überwachungseinstellungen:

    1. Wechseln Sie zu Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\Anmelde-/Abmelden\Audit-Anmeldung.

    2. Aktivieren Sie die Kontrollkästchen, um Überwachungsereignisse für Erfolg und Fehler zu konfigurieren.

    Screenshot des Gruppenrichtlinie-Verwaltungs-Editors.

Konfigurieren der Überwachung für den Konfigurationscontainer

Sie benötigen die Konfigurationscontainerüberwachung nur für Umgebungen, in denen microsoft Exchange derzeit oder zuvor vorhanden war. Diese Umgebungen verfügen über einen Exchange-Container im Konfigurationsabschnitt der Domäne.

  1. Öffnen Sie das ADSI-Bearbeitungstool.

  2. Wählen Sie Ausführung starten> aus, geben Sie einADSIEdit.msc, und wählen Sie dann OK aus.

  3. Wählen Sie im Menü Aktion die Option Verbinden mit aus.

  4. Wechseln Sie zu Verbindungseinstellungen>Wählen Sie einen bekannten Namenskontext, Konfiguration aus, > und wählen Sie OK aus.

  5. Erweitern Sie den Konfigurationscontainer , um den Knoten Konfiguration anzuzeigen, der mit "CN=Configuration,DC=..." beginnt.

    Screenshot der Auswahl zum Öffnen von Eigenschaften für den Knoten CN-Konfiguration.

  6. Klicken Sie mit der rechten Maustaste auf den Knoten Konfiguration , und wählen Sie Eigenschaften aus.

    Screenshot der Auswahl zum Öffnen von Eigenschaften für den Konfigurationsknoten.

  7. Wählen Sie die Registerkarte Sicherheit und dann Erweitert aus.

  8. Wählen Sie unter Erweiterte Sicherheitseinstellungen die Registerkarte Überwachung und dann Hinzufügen aus.

  9. Wählen Sie Prinzipal auswählen aus.

  10. Geben Sie unter Geben Sie den auszuwählenden Objektnamen ein die Zeichenfolge Jeder ein. Wählen Sie dann Namen>überprüfen OK aus.

  11. Kehren Sie zu Überwachungseintrag zurück. Treffen Sie die folgende Auswahl:

    • Wählen Sie unter Typ die Option Alle aus.
    • Wählen Sie unter Gilt für die Option Dieses Objekt und alle nachfolgerfähigen Objekte aus.
    • Scrollen Sie unter Berechtigungen nach unten, und wählen Sie Alle löschen aus. Scrollen Sie nach oben, und wählen Sie Alle Eigenschaften schreiben aus.

    Screenshot der Überwachungseinstellungen für den Konfigurationscontainer.

  12. Wählen Sie OK aus.

Konfigurieren der Windows-Ereignissammlung mithilfe von PowerShell

Weitere Informationen finden Sie in der PowerShell-Referenz zu Defender for Identity:

Die folgenden Befehle zeigen, wie Sie die Erweiterten Überwachungsrichtlinieneinstellungen Ihres Domänencontrollers für Defender for Identity mithilfe von PowerShell ändern.

So zeigen Sie Ihre Überwachungsrichtlinien an:

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Dabei gilt:

  • Modegibt an, ob Sie den Modus oder LocalMachine verwenden Domain möchten. Im Domain Modus werden die Einstellungen aus den Gruppenrichtlinie -Objekten gesammelt. Im LocalMachine Modus werden die Einstellungen vom lokalen Computer erfasst.
  • Configuration gibt an, welche Konfiguration abgerufen werden soll. Verwenden Sie All , um alle Konfigurationen abzurufen.

So konfigurieren Sie Ihre Einstellungen:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

Dabei gilt:

  • Modegibt an, ob Sie den Modus oder LocalMachine verwenden Domain möchten. Im Domain Modus werden die Einstellungen aus den Gruppenrichtlinie -Objekten gesammelt. Im LocalMachine Modus werden die Einstellungen vom lokalen Computer erfasst.
  • Configuration gibt an, welche Konfiguration festgelegt werden soll. Verwenden Sie All , um alle Konfigurationen festzulegen.
  • CreateGpoDisabled gibt an, ob die Gruppenrichtlinienobjekte erstellt und als deaktiviert beibehalten werden.
  • SkipGpoLink gibt an, dass GPO-Links nicht erstellt werden.
  • Force gibt an, dass die Konfiguration festgelegt oder Gruppenrichtlinienobjekte erstellt werden, ohne den aktuellen Zustand zu überprüfen.

Der folgende Befehl definiert alle Einstellungen für die Domäne, erstellt Gruppenrichtlinienobjekte und verknüpft sie.

Set-MDIConfiguration -Mode Domain -Configuration All

Aktualisieren von Legacykonfigurationen

Defender for Identity erfordert keine Protokollierung von 1.644 Ereignissen mehr. Wenn Sie eine der folgenden Einstellungen aktiviert haben, entfernen Sie sie aus der Registrierung.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Verwandte Inhalte

Weitere Informationen finden Sie unter:

  • Last updated on