Jaa

Windowsin tapahtumien valvonnan määrittäminen

Tässä artikkelissa kuvataan Windowsin tapahtumien valvonnan määrittäminen.

Defender for Identity käyttää Windowsin tapahtumalokin merkintöjä tiettyjen toimintojen havaitsemiseen. Näitä tietoja käytetään erilaisissa tunnistustilanteissa, ja niitä voidaan käyttää kehittyneissä metsästyskyselyissä. Jotta suojaus ja valvonta olisi optimaalista, varmista, että windows-tapahtumien kokoelma on määritetty oikein.

Defender for Identity luo kuntoilmoituksia, kun se havaitsee virheellisiä Windowsin tapahtumien valvonnan määrityksiä. Lisätietoja on artikkelissa Microsoft Defender for Identity kuntoilmoitukset.

Jos valvonta on määritetty oikein, se vaikuttaa vain vähän palvelimen suorituskykyyn.

Alkuvalmistelut

Ennen kuin aloitat Windowsin tapahtumakokoelman määrittämisen, suosittelemme, että suoritat PowerShell-komentosarjan tarkistaaksesi nykyisen cofiguraation ja luodaksesi raportin kaikista tekemistäsi muutoksista:

  1. Lataa Defender for Identity PowerShell -moduuli.

  2. Suorita Defender for Identity New-MDIConfigurationReport PowerShell -moduuli

    Luo raportti seuraavan muodon avulla:

        New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -Identity "DOMAIN\ServiceAccountName" -OpenHtmlReport

    Jossa:

    • Path on hakemisto, johon raportti on tallennettu.
    • Mode ilmaisee, mistä asetukset kerätään.
      • Tilassa Domain asetukset kerätään ryhmäkäytäntö-objekteista. Kun käytät -Mode Domain-parametria, sisällytä -Identity parametri vuorovaikutteisen kehotteen välttämiseksi.
      • Tilassa LocalMachine asetukset kerätään paikallisesta tietokoneesta.
    • OpenHtmlReport avaa HTML-raportin raportin luomisen jälkeen. Jos haluat esimerkiksi luoda raportin ja avata sen oletusselaimessa, suorita seuraava komento:
    New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

    Lisätietoja on kohdassa New-MDIConfigurationReport.

  3. Tarkista raportti ja tee tarvittavat muutokset ennen Windowsin tapahtumakokoelman määrittämistä.

Määritä Defender for Identity keräämään Windows-tapahtumat automaattisesti (esikatselu)

Huomautus

Automaattista Windows-tapahtumien valvontaa tuetaan toimialueen ohjauskoneissa, jotka käyttävät Defender for Identity Sensor -versiota 3.x.

Automaattinen windows-valvonta suorittaa kaikki määritystehtävät automaattisesti:

  • Tarkistaa nykyisen Windowsin tapahtumien valvonnan määrityksen.
  • Tunnistaa kaikki määrityksen aukot.
  • Tunnistin ottaa käyttöön kaikki tarvittavat muutokset, mukaan lukien kaikki manuaalisen määrityksen vaiheet:
    • Hakemistopalvelujen lisävalvonta: Lisää valvontamerkinnät toimialueen pääobjektin System Käyttöoikeuksien hallinta List (SACL) -luetteloon vaaditun hakemistopalvelun valvonnan mahdollistamiseksi.
    • NTLM-valvonta : käyttää Windowsin vakiorekisterin ohjelmointirajapintoja vaadittujen NTLM-valvontarekisteriarvojen määrittämiseen.
    • Toimialueobjektien valvonta : muokkaa määritysosion käyttöoikeusluetteloa ja tallentaa muutokset hakemistopalvelun määritysobjekteihin.
    • ADFS-valvonta – Lisää valvontamerkinnät AD FS -määrityssäilön järjestelmän Käyttöoikeuksien hallinta luetteloon (SACL), jotta AD FS:ään liittyvien hakemisto-objektien valvonta voidaan ottaa käyttöön.
    • Windowsin valvontakäytäntö : määrittää paikalliset Windowsin valvontakäytännöt Windowsin paikallisen suojauksen myöntäjän (LSA) valvontakäytännön ohjelmointirajapinnoilla.
  • Ottaa valvonta-asetukset käyttöön suoraan toimialueen ohjauskoneen paikallisessa järjestelmäkäytännössä.
  • Lähettää kuntoilmoituksia määritystilasta.
  • Suoritetaan kerran 24 tunnissa.

Huomautus

  • Jos et ota käyttöön automaattista Windows-valvontaa, windows-tapahtumien valvonta on määritettävä joko manuaalisesti tai PowerShellin avulla.
  • Ryhmäkäytäntöobjektin asetukset voivat olla ristiriidassa tunnistimen määrittämien paikallisten asetusten kanssa.

Ota käyttöön automaattinen ikkunoiden valvonta:

  1. Valitse Microsoft Defender-portaalissaAsetukset ja sitten Käyttäjätiedot.
  2. Valitse Yleiset-osiostaLisäominaisuudet.
  3. Ota käyttöön Windowsin automaattisen valvonnan määritys.

Määritä Windowsin tapahtumakokoelma manuaalisesti

Tässä osiossa on ohjeita Windowsin tapahtumakokoelman manuaaliseen määrittämiseen näissä tapauksissa:

Valvonnan määrittäminen toimialueen ohjauskoneissa

Jos haluat määrittää valvonnan toimialueen ohjauskoneessa, sinun on tehtävä seuraavat:

Määritä hakemistopalvelujen lisävalvonta

Tässä osiossa kuvataan, miten voit muokata toimialueen ohjauskoneen Defender for Identityn kehittyneitä valvontakäytäntöasetuksia.

  1. Kirjaudu palvelimeen toimialueen järjestelmänvalvojana.

  2. Avaa ryhmäkäytäntö Management Editor Server Manager>Tools>ryhmäkäytäntö Managementista.

  3. Laajenna Toimialueen ohjauskoneet Organisaatioyksiköt, napsauta hiiren kakkospainikkeella Oletustoimialueen ohjauskonekäytäntö ja valitse sitten Muokkaa.

    Näyttökuva toimialueen ohjauskoneiden oletuskäytännön muokkausruudusta.

    Huomautus

    Määritä nämä käytännöt toimialueen oletusohjainkäytännön tai varatun ryhmäkäytäntöobjektin avulla.

  4. Valitse avautuvassa ikkunassa Tietokoneasetukset>Käytännöt>Windowsin asetukset>Suojausasetukset. Riippuen käytännöstä, jonka haluat ottaa käyttöön, toimi seuraavasti:

    1. Siirry kohtaan Kehittyneet valvontakäytännön määritysten>valvontakäytännöt.

      Näyttökuvassa on valvontakäytäntöjen avaamisen valinnat.

    2. Muokkaa valvontakäytäntöjä -kohdassa kutakin seuraavista käytännöistä ja valitse Määritä seuraavat valvontatapahtumat sekä onnistumis - että epäonnistumistapahtumille .

      Valvontakäytännön Alaluokka Käynnistää tapahtumatunnukset
      Tilin kirjautuminen Tunnistetietojen valvonnan vahvistus 4776
      Tilinhallinta Valvo tietokonetilien hallintaa* 4741, 4743
      Tilinhallinta Valvontajakeluryhmien hallinta* 4753, 4763
      Tilinhallinta Käyttöoikeusryhmien hallinnan valvonta* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Tilinhallinta Valvo käyttäjätilien hallintaa 4726
      DS Access Valvontahakemistopalvelun muutokset* 5136
      Järjestelmä Valvontasuojausjärjestelmän laajennus* 7045
      DS Access Valvontahakemistopalvelun käyttö 4662 - Tätä tapahtumaa varten sinun on myös määritettävä toimialueen objektien valvonta.

      Huomautus

      * Nämä aliluokat eivät tue virhetapahtumia. Suosittelemme kuitenkin lisäämään ne auditointitarkoituksiin, jos ne otetaan käyttöön tulevaisuudessa. Lisätietoja on kohdassa Tietokonetilien hallinta, Valvontakäyttöoikeusryhmien hallinta ja Valvontasuojausjärjestelmän laajennus.

      Jos haluat esimerkiksi määrittää valvontaoikeusryhmän hallinnan, kaksoisnapsauta Tilin hallinta -kohdassa Valvontakäyttöoikeusryhmän hallinta -kohtaa ja valitse sitten Määritä seuraavat valvontatapahtumat sekä onnistumis - että epäonnistumistapahtumille .

      Näyttökuva Käyttöoikeusryhmän hallinnan ominaisuudet -valintaikkunasta.

  5. Kirjoita järjestelmänvalvojan oikeutetun komentokehotteen avulla gpupdate.

  6. Kun olet soveltanut käytäntöä GPO:n kautta, varmista, että uudet tapahtumat näkyvät Tapahtumienvalvonta kohdassa Windows logs>Security.

    Voit testata valvontakäytäntöjäsi komentoriviltä suorittamalla seuraavan komennon:

    auditpol.exe /get /category:*

Lisätietoja on auditpol-ohjeissa.

NTLM-valvonnan määrittäminen

Kun Defender for Identity -tunnistin jäsentää Windows-tapahtuman 8004, Defender for Identityn NTLM-todennustoiminnot täydentyvät palvelimeen liitetyillä tiedoilla. Tässä osiossa kuvataan ylimääräiset määritysvaiheet, joita tarvitset Windows-tapahtuman 8004 valvontaa varten.

Huomautus

Toimialueen ryhmäkäytäntöjä Windows-tapahtuman 8004 keräämiseksi tulee käyttää vain toimialueen ohjauskoneisiin.

NTLM-valvonnan määrittäminen:

  1. Avaa ryhmäkäytäntö hallinta ja siirry kohtaan Oletustoimialueen ohjauskoneet Käytäntö>Paikalliset käytännöt>Suojausasetukset.

  2. Määritä määritetyt suojauskäytännöt seuraavasti:

    Suojauskäytäntöasetus Arvo
    Verkon suojaus: Rajoita NTLM: Lähtevä NTLM-liikenne etäpalvelimiin Kaikkien valvominen
    Verkon suojaus: NTLM-valvonnan rajoittaminen: NTLM-todennuksen valvonta tällä toimialueella Ota kaikki käyttöön
    Verkon suojaus: Rajoita NTLM: Valvo saapuvaa NTLM-liikennettä Ota valvonta käyttöön kaikille tileille

Jos haluat esimerkiksi määrittää lähtevän NTLM-liikenteen etäpalvelimiin, kaksoisnapsauta Suojausasetukset-kohdassaverkon suojausta: Rajoita NTLM: Lähtevä NTLM-liikenne etäpalvelimiin ja valitse sitten Valvo kaikkia.

Näyttökuva lähtevän NTLM-liikenteen valvontamäärityksestä etäpalvelimiin.

Määritä toimialueen objektien valvonta

Jos haluat kerätä objektimuutosten tapahtumia, kuten tapahtumaa 4662, sinun on määritettävä myös objektien valvonta käyttäjälle, ryhmälle, tietokoneelle ja muille objekteille. Seuraavassa kuvataan, miten valvonta otetaan käyttöön Active Directory -toimialueessa.

Toimialueobjektien valvonnan määrittäminen:

  1. Siirry Active Directoryn käyttäjät ja tietokoneet konsoliin.

  2. Valitse toimialue, jota haluat valvoa.

  3. Valitse Näytä-valikko ja valitse sitten Lisäominaisuudet.

  4. Napsauta toimialuetta hiiren kakkospainikkeella ja valitse Ominaisuudet.

    Näyttökuva säilön ominaisuuksien avaamisen valintoja varten.

  5. Siirry Suojaus-välilehteen ja valitse sitten Lisäasetukset.

    Näyttökuva lisäsuojauksen ominaisuuksien avaamisen valintaikkunasta.

  6. Valitse Lisäsuojausasetukset-kohdassaValvonta-välilehti ja valitse sitten Lisää.

    Näyttökuva Lisäsuojausasetukset-valintaikkunan Valvonta-välilehdestä.

  7. Valitse Valitse päänimi.

    Näyttökuva pääobjektin valintapainikkeesta.

  8. Kirjoita valittavan objektin nimi -kohtaanKaikki. Valitse sitten Tarkista nimet>OK.

    Näyttökuva Kaikkien objektin nimen kirjoittamisesta.

  9. Palaa Valvontamerkintä-kohtaan ja tee seuraavat valinnat:

    1. Valitse Tyyppi-kohdassaOnnistui.

    2. Valitse Koskee-kohteelleDescendant User -objektit.

    3. Vieritä Käyttöoikeudet-kohdassa alaspäin ja valitse Tyhjennä kaikki -painike.

      Näyttökuva kaikkien käyttöoikeuksien tyhjentämispainikkeesta.

    4. Vieritä takaisin ylöspäin ja valitse Täydet oikeudet. Kaikki käyttöoikeudet on valittu.

    5. Tyhjennä luettelon sisällön valinta, Lue kaikki ominaisuudet ja Lukuoikeudet ja valitse sitten OK. Tämä vaihe määrittää kaikkien ominaisuuksien asetukseksi Kirjoitus.

      Näyttökuva käyttöoikeuksien valitsemisesta.

      Nyt kaikki olennaiset muutokset hakemistopalveluissa näkyvät 4 662 tapahtumana, kun ne käynnistetään.

  10. Toista tämän toimintosarjan vaiheet, mutta valitse Seuraavat objektityypit 1 kohdassa Koskee

    • Aliryhmän objektit
    • Alikohteen tietokoneobjektit
    • Descendant msDS-GroupManagedServiceAccount Objects
    • Descendant msDS-ManagedServiceAccount -objektit
    • Descendant msDS-DelegatedManagedServiceAccount Objects2

Huomautus

  • Voit määrittää valvontaoikeudet kaikille aliobjekteille käyttämällä vain edellisessä vaiheessa kuvattuja objektityyppejä.
  • MsDS-DelegatedManagedServiceAccount-luokka on merkityksellinen vain toimialueille, jotka toimivat vähintään yhdessä Windows Server 2025 -toimialueen ohjauskoneessa.

Valvonnan määrittäminen AD FS:ssä

Valvonnan määrittäminen Active Directory -liittoutumispalvelut (AD FS):

  1. Siirry Active Directoryn käyttäjät ja tietokoneet konsoliin ja valitse toimialue, jossa haluat ottaa lokit käyttöön.

  2. Siirry kohtaan Ohjelmatiedot>Microsoft>ADFS.

    Näyttökuva Active Directory -liittoutumispalvelut säilöstä.

  3. Napsauta hiiren kakkospainikkeella ADFS ja valitse Ominaisuudet.

  4. Siirry Suojaus-välilehteen ja valitse Lisäsuojauksen lisäasetukset>. Siirry sitten Valvonta-välilehteen ja valitse Lisää Valitse>päänimi.

  5. Kirjoita valittavan objektin nimi -kohtaanKaikki. Valitse sitten Tarkista nimet>OK.

  6. Palaat sitten valvontatapahtumaan. Tee seuraavat valinnat:

    • Valitse Tyyppi-kohdassaKaikki.
    • Valitse Koskee-kohteelleTämä objekti ja kaikki aliobjektit.
    • Vieritä Alaspäin Käyttöoikeudet-kohdassa ja valitse Tyhjennä kaikki. Vieritä ylöspäin ja valitse Lue kaikki ominaisuudet ja Kirjoita kaikki ominaisuudet.

    Näyttökuva Active Directory -liittoutumispalvelut valvonta-asetuksista.

  7. Valitse OK.

Määritä AD FS -tapahtumien yksityiskohtainen kirjaaminen

AD FS -palvelimilla suoritettavien tunnistimien valvontatason on oltava Yksityiskohtainen asianmukaisia tapahtumia varten.

Seuraavan PowerShell-komennon avulla voit määrittää valvontatasoksi Yksityiskohtainen:

Set-AdfsProperties -AuditLevel Verbose

Valvonnan määrittäminen AD CS:ssä

Jos käsittelet erillistä palvelinta, johon on määritetty Active Directory -varmennepalvelut (AD CS), määritä valvonta seuraavasti, jotta voit tarkastella erillisiä ilmoituksia ja suojauspisteraportteja:

  1. Luo ryhmäkäytäntö, jota käytetään AD CS -palvelimessa. Muokkaa sitä ja määritä seuraavat valvonta-asetukset:

    1. Siirry kohtaan Tietokoneasetukset\Käytännöt\Windowsin asetukset\Suojausasetukset\Lisävalvontakäytännön määritys\Valvontakäytännöt\Objektin käyttö\Sertifiointipalvelut.

    2. Valitse valintaruutu, jos haluat määrittää onnistumisen ja epäonnistumisen valvontatapahtumat.

    Näyttökuva Active Directory -varmennepalvelujen valvontatapahtumien määrittämisestä ryhmäkäytäntö Hallintaeditorissa.

  2. Määritä valvonta varmenteiden myöntäjässä (CA) jollakin seuraavista menetelmistä:

    • Jos haluat määrittää varmenteiden myöntäjän valvonnan komentorivin avulla, suorita:
     certutil –setreg CA\AuditFilter 127 
 net stop certsvc && net start certsvc

    • Varmenteiden myöntäjän valvonnan määrittäminen Defender-portaalissa:

      1. Valitse Käynnistä>varmenteiden myöntäjä (MMC-työpöytäsovellus). Napsauta hiiren kakkospainikkeella varmenteiden myöntäjän nimeä ja valitse Ominaisuudet.

        Näyttökuva Varmenteiden myöntäjä -valintaikkunasta.

      2. Valitse Valvonta-välilehti , valitse kaikki tapahtumat, joita haluat valvoa, ja valitse sitten Käytä.

        Näyttökuva varmenteiden myöntäjän ominaisuuksien Valvonta-välilehdestä.

Huomautus

Active Directory -varmennepalveluiden aloitus- ja lopetustapahtumien valvonnan määrittäminen voi aiheuttaa uudelleenkäynnistysviiveitä, kun kyseessä on suuri AD CS -tietokanta. Harkitse merkityksettömien merkintöjen poistamista tietokannasta. Vaihtoehtoisesti voit pidättäytyä tämäntyyppisen tapahtuman käyttöönotosta.

Valvonnan määrittäminen yhteyden Microsoft Entra yhteydessä

Valvontatoiminnon määrittäminen Microsoft Entra Yhdistä palvelimet:

  • Luo ryhmäkäytäntö, jota käytetään Microsoft Entra Yhdistä palvelimet. Muokkaa sitä ja määritä seuraavat valvonta-asetukset:

    1. Siirry kohtaan Tietokoneasetukset\Käytännöt\Windowsin asetukset\Suojausasetukset\Lisävalvontakäytännön määritykset\Valvontakäytännöt\Kirjautuminen/Uloskirjautuminen\Valvontakirjautuminen.

    2. Valitse valintaruutu, jos haluat määrittää onnistumisen ja epäonnistumisen valvontatapahtumat.

Näyttökuva ryhmäkäytäntö hallintaeditorista.

Valvonnan määrittäminen määrityssäilössä

Määrityssäilön valvonta vaaditaan vain ympäristöissä, joissa on tällä hetkellä tai aiemmin ollut Microsoft Exchange, koska näissä ympäristöissä exchange-säilö sijaitsee toimialueen Määritys-osassa.

  1. Avaa ADSI-muokkaustyökalu. Valitse Käynnistä>Suorita, kirjoita ADSIEdit.mscja valitse sitten OK.

  2. Valitse Toiminto-valikostaYhdistä kohteeseen.

  3. Valitse Yhteysasetukset-valintaikkunanValitse tunnettu nimeämiskonteksti -kohdassa Määritys>OK.

  4. Laajenna Kokoonpano-säilö näyttääksesi määrityssolmun , joka alkaa merkkijonolla "CN=Configuration,DC=...".

    Näyttökuva valinnasta CN-määrityssolmun ominaisuuksien avaamista varten.

  5. Napsauta Kokoonpano-solmua hiiren kakkospainikkeella ja valitse Ominaisuudet.

    Näyttökuvassa on määrityssolmun ominaisuuksien avaamisen valinnat.

  6. Valitse Suojaus-välilehti ja valitse sitten Lisäasetukset.

  7. Valitse Lisäsuojausasetukset-kohdassaValvonta-välilehti ja valitse sitten Lisää.

  8. Valitse Valitse päänimi.

  9. Kirjoita valittavan objektin nimi -kohtaanKaikki. Valitse sitten Tarkista nimet>OK.

  10. Palaat sitten valvontatapahtumaan. Tee seuraavat valinnat:

    • Valitse Tyyppi-kohdassaKaikki.
    • Valitse Koskee-kohteelleTämä objekti ja kaikki aliobjektit.
    • Vieritä Alaspäin Käyttöoikeudet-kohdassa ja valitse Tyhjennä kaikki. Vieritä ylöspäin ja valitse Kirjoita kaikki ominaisuudet.

    Näyttökuva määrityssäilön valvonta-asetuksista.

  11. Valitse OK.

Windowsin tapahtumakokoelman määrittäminen PowerShellin avulla

Lisätietoja on Kohdassa Defender for Identity PowerShell -viittaus:

Seuraavissa komennoissa kuvataan, miten voit muokata toimialueen ohjauskoneen kehittyneitä valvontakäytäntöasetuksia Tarvittaessa Defender for Identity -kohteelle PowerShellin avulla.

Valvontakäytäntöjen tarkasteleminen:

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Jossa:

  • Mode määrittää, haluatko käyttää Domain vai LocalMachine käyttää tilaa. Tilassa Domain asetukset kerätään ryhmäkäytäntö-objekteista. Tilassa LocalMachine asetukset kerätään paikallisesta tietokoneesta.
  • Configuration määrittää, minkä määrityksen haluat noutaa. Käytä All -määrityksen hakemiseen.

Asetusten määrittäminen:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

Jossa:

  • Mode määrittää, haluatko käyttää Domain vai LocalMachine käyttää tilaa. Tilassa Domain asetukset kerätään ryhmäkäytäntö-objekteista. Tilassa LocalMachine asetukset kerätään paikallisesta tietokoneesta.
  • Configuration määrittää määritettävät määritykset. Määritä kaikki määritykset -määrityksen avulla All .
  • CreateGpoDisabled määrittää, luodaanko ne ja pidetäänkö ne poissa käytöstä.
  • SkipGpoLink määrittää, että ryhmäkäytäntöobjektin linkkejä ei luoda.
  • Force määrittää, että määritys on määritetty tai että yleislääkärit luodaan vahvistamatta nykyistä tilaa.

Seuraava komento määrittää kaikki toimialueen asetukset, luo ryhmäkäytäntöobjektit ja linkittää ne.

Set-MDIConfiguration -Mode Domain -Configuration All

Vanhojen kokoonpanojen päivittäminen

Defender for Identity ei enää edellytä 1 644 tapahtuman kirjaamista lokiin. Jos jompikumpi seuraavista asetuksista on käytössä, voit poistaa ne rekisteristä.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Aiheeseen liittyvä sisältö

Lisätietoja on seuraavissa artikkeleissa:

  • Last updated on