Configurer des stratégies d’audit pour les journaux d’événements Windows

  • Article

La détection Microsoft Defender pour Identity s’appuie sur des entrées spécifiques du journal des événements Windows pour améliorer les détections et fournir des informations supplémentaires sur les utilisateurs qui ont effectué des actions spécifiques, telles que les ouvertures de session NTLM et les modifications de groupe de sécurité.

Pour que les événements appropriés soient audités et inclus dans le journal des événements Windows, vos contrôleurs de domaine nécessitent des paramètres de stratégie d’audit avancée du serveur Windows spécifiques. Les paramètres de stratégie d’audit avancée mal configurés peuvent entraîner des lacunes dans le journal des événements et une couverture incomplète de Defender pour Identity.

Cet article explique comment configurer vos paramètres de stratégie d’audit avancée si nécessaire pour un capteur Defender pour Identity et d’autres configurations pour des types d’événements spécifiques.

Pour plus d’informations, consultez La collection d’événements Windows pour les stratégies d’audit de sécurité Avancée et Defender pour Identity dans la documentation Windows.

Générer un rapport avec des configurations actuelles via PowerShell

Conditions préalables : avant d’exécuter des commandes PowerShell Defender pour Identity, assurez-vous que vous avez téléchargé le module PowerShell Defender pour Identity.

Avant de commencer à créer des stratégies d’audit et d’événement, nous vous recommandons d’exécuter la commande PowerShell suivante pour générer un rapport de vos configurations de domaine actuelles :

New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]

Où :

  • Chemin d’accès spécifie le chemin d’accès pour enregistrer les rapports dans
  • Le mode spécifie si vous souhaitez utiliser le mode Domaine ou LocalMachine . En mode Domaine , les paramètres sont collectés à partir des objets de stratégie de groupe. En mode LocalMachine , les paramètres sont collectés à partir de l’ordinateur local.
  • OpenHtmlReport ouvre le rapport HTML une fois le rapport généré

Par exemple, pour générer un rapport et l’ouvrir dans votre navigateur par défaut, exécutez la commande suivante :

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

Pour plus d’informations, consultez la référence PowerShell DefenderforIdentity.

Conseil

Le rapport de Domain mode inclut uniquement les configurations définies en tant que stratégies de groupe sur le domaine. Si vous avez des paramètres définis localement sur vos contrôleurs de domaine, nous vous recommandons également d’exécuter le script Test-MdiReadiness.ps1 .

Configurer l’audit pour les contrôleurs de domaine

Lorsque vous utilisez un contrôleur de domaine, vous devez mettre à jour vos paramètres de stratégie d’audit avancée et des configurations supplémentaires pour des événements et des types d’événements spécifiques, tels que des utilisateurs, des groupes, des ordinateurs, etc. Les configurations d’audit pour les contrôleurs de domaine sont les suivantes :

Configurer les paramètres de stratégie d’audit avancée

Cette procédure explique comment modifier les stratégies d’audit avancées de votre contrôleur de domaine en fonction des besoins de Defender pour Identity.

  1. Connectez-vous au serveur de en tant qu’Administrateur de domaine.

  2. Ouvrez l’Éditeur de gestion des stratégies de groupe à partir de Gestionnaire de serveur> Tools>Group Policy Management.

  3. Développez l’unité organisationnelle des contrôleurs de domaine, cliquez avec le bouton droit sur Stratégie Contrôleurs de domaine par défaut, puis sélectionnez Modifier. Par exemple :

    Screenshot of the Edit domain controller policy dialog.

    Remarque

    Utilisez la stratégie de contrôleurs de domaine par défaut ou un objet de stratégie de groupe dédié pour définir ces stratégies.

  4. Dans la fenêtre qui s’ouvre, accédez à Configuration de l’ordinateur>Stratégies>Paramètres Windows>Paramètres de sécurité et en fonction de la stratégie que vous souhaitez activer, procédez comme suit :

    1. Accédez aux stratégies d’audit avancées de configuration de la stratégie>d’audit. Par exemple :

      Screenshot of the Advanced Audit Policy Configuration dialog.

    2. Sous Stratégies d’audit, modifiez chacune des stratégies suivantes et sélectionnez Configurer les événements d’audit suivants pour les événements de réussite et d’échec .

      Stratégie d’audit Sous-catégorie Identifiants d’événement déclencheur
      Connexion de compte Auditer la validation des informations d’identification 4776
      Gestion de compte Auditer la gestion des comptes d’ordinateur * 4741, 4743
      Gestion de compte Auditer la gestion des groupes de distribution 4753, 4763
      Gestion de compte Auditer la gestion des groupes de sécurité * 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Gestion de compte Auditer la gestion des comptes d’utilisateur 4726
      Accès DS Auditer les modifications du service d’annuaire 5136
      Système Auditer l’extension du système de sécurité * 7045
      Accès DS Auditer l’accès au service d’annuaire 4662 : pour cet événement, vous devez également configurer l’audit d’objet de domaine.

      Remarque

      * Les sous-catégories notées ne prennent pas en charge les événements d’échec. Toutefois, nous vous recommandons de les ajouter à des fins d’audit si elles sont implémentées à l’avenir. Pour plus d’informations, consultez Auditer la gestion des comptes d’ordinateur, Auditer la gestion des groupes de sécurité et auditer l’extension système de sécurité.

      Par exemple, pour configurer l’audit de la gestion des groupes de sécurité, sous Gestion des comptes, double-cliquez sur Auditer la gestion des groupes de sécurité, puis sélectionnez Configurer les événements d’audit suivants pour les événements de réussite et d’échec :

      Screenshot of the Audit Security Group Management dialog.

  5. À partir d’une invite de commandes avec élévation de privilèges, tapez gpupdate.

  6. Après avoir appliqué la stratégie via l’objet de stratégie de groupe, les nouveaux événements sont visibles dans l’Observateur d’événements, sous Journaux Windows ->Sécurité.

Tester les stratégies d’audit à partir de la ligne de commande

Pour tester vos stratégies d’audit à partir de la ligne de commande, exécutez la commande suivante :

auditpol.exe /get /category:*

Pour plus d’informations, consultez la documentation de référence auditpol.

Configurer, obtenir et tester des stratégies d’audit à l’aide de PowerShell

Pour configurer des stratégies d’audit à l’aide de PowerShell, exécutez la commande suivante :

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

Où :

  • Le mode spécifie si vous souhaitez utiliser le mode Domaine ou LocalMachine . En mode Domaine , les paramètres sont collectés à partir des objets de stratégie de groupe. En mode LocalMachine , les paramètres sont collectés à partir de l’ordinateur local.

  • La configuration spécifie la configuration à définir. Permet All de définir toutes les configurations.

  • CreateGpoDisabled spécifie si les objets de stratégie de groupe sont créés et conservés comme désactivés.

  • SkipGpoLink spécifie que les liens d’objet de stratégie de groupe ne sont pas créés.

  • Force spécifie que la configuration est définie ou que les objets de stratégie de groupe sont créés sans valider l’état actuel.

Pour afficher ou tester vos stratégies d’audit à l’aide de PowerShell, exécutez les commandes suivantes en fonction des besoins. Utilisez la commande Get-MDIConfiguration pour afficher les valeurs actuelles. Utilisez la commande Test-MDIConfiguration pour obtenir une true ou false une réponse quant à la configuration correcte des valeurs.

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Où :

  • Le mode spécifie si vous souhaitez utiliser le mode Domaine ou LocalMachine . En mode Domaine , les paramètres sont collectés à partir des objets de stratégie de groupe. En mode LocalMachine , les paramètres sont collectés à partir de l’ordinateur local.

  • La configuration spécifie la configuration à obtenir. Permet All d’obtenir toutes les configurations.

Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Où :

  • Le mode spécifie si vous souhaitez utiliser le mode Domaine ou LocalMachine . En mode Domaine , les paramètres sont collectés à partir des objets de stratégie de groupe. En mode LocalMachine , les paramètres sont collectés à partir de l’ordinateur local.

  • La configuration spécifie la configuration à tester. Permet All de tester toutes les configurations.

Pour plus d’informations, consultez les références PowerShell DefenderForIdentity suivantes :

Configurer l’audit NTLM

Cette section décrit les étapes de configuration supplémentaires nécessaires pour auditer l’identifiant d’événement 8004.

Remarque

  • Les stratégies de groupe de domaine pour collecter l’événement Windows 8004 ne doivent être appliquées qu’aux contrôleurs de domaine.
  • Lorsque l’événement Windows 8004 est analysé par Defender pour Identity Sensor, les activités d’authentification Defender pour Identity NTLM sont enrichies avec les données consultées par le serveur.

  1. En suivant les étapes initiales, ouvrez Gestion des stratégies de groupe et accédez à Stratégie de contrôleurs de domaine par défaut>Stratégies locales>Options de sécurité.

  2. Sous Options de sécurité, configurez les stratégies de sécurité spécifiées comme suit :

    Paramètre de stratégie de sécurité Valeur
    Sécurité réseau : restreindre NTLM : trafic NTLM sortant vers des serveurs distants Auditer tout
    Sécurité réseau : restreindre NTLM : auditer l’authentification NTLM dans ce domaine Activer tout
    Sécurité réseau : restreindre NTLM : auditer le trafic NTLM entrant Activer l’audit pour tous les comptes

Par exemple, pour configurer le trafic NTLM sortant vers des serveurs distants, sous Options de sécurité, double-cliquez sur Sécurité réseau : restreindre le trafic NTLM sortant aux serveurs distants, puis sélectionnez Auditer tout :

Screenshot of the Audit Outgoing NTLM traffic to remote servers configuration.

Configurer l’audit des objets de domaine

Pour collecter des événements pour les modifications d’objet, comme l’événement 4662, vous devez également configurer l’audit d’objet sur l’utilisateur, le groupe, l’ordinateur et d’autres objets. Cette procédure explique comment activer l’audit dans le domaine Active Directory.

Important

Veillez à passer en revue et à vérifier vos stratégies d’audit avant d’activer la collecte d’événements pour vous assurer que les contrôleurs de domaine sont correctement configurés pour enregistrer les événements nécessaires. S’il est configuré correctement, cet audit doit avoir un effet minimal sur les performances du serveur.

  1. Consultez la console Utilisateurs et ordinateurs Active Directory.

  2. Sélectionnez le domaine que vous souhaitez auditer.

  3. Sélectionnez le menu Affichage puis Fonctionnalités avancées.

  4. Faites un clic droit sur le domaine et sélectionnez Propriétés. Par exemple :

    Screenshot of the container properties option.

  5. Consultez l’onglet Sécurité et sélectionnez Avancé. Par exemple :

    Screenshot of the advanced security properties dialog.

  6. Dans Paramètres de sécurité avancés, sélectionnez l’onglet Audit puis sélectionnez Ajouter. Par exemple :

    Screenshot of the Advanced Security Settings Auditing tab.

  7. Sélectionnez Sélectionner un principal. Par exemple :

    Screenshot of the Select a principal option.

  8. Sous Entrez le nom de l’objet à sélectionner, entrez Tout le monde et sélectionnez Vérifier les noms>OK. Par exemple :

    Screenshot of the Select everyone settings.

  9. Vous revenez ensuite à l’entrée d’audit. Effectuez les sélections suivantes :

    1. Pour le type, sélectionnez Réussite.

    2. Pour S’applique à, sélectionnez Objets utilisateur descendants.

    3. Sous Autorisations, faites défiler vers le bas et sélectionnez le bouton Effacer tout. Par exemple :

      Screenshot of selecting Clear all.

    4. Faites défiler vers le haut et sélectionnez Contrôle total. Toutes les autorisations sont sélectionnées.

    5. Désactivez la sélection pour le contenu de la liste, lisez toutes les propriétés et les autorisations d’autorisations de lecture, puis sélectionnez OK. Cela définit tous les paramètres Propriétés à écrire. Par exemple :

      Screenshot of selecting permissions.

      À présent, lorsqu’elles sont déclenchées, toutes les modifications pertinentes apportées aux services d’annuaire apparaissent sous forme d’événements 4662.

  10. Répétez les étapes de cette procédure, mais pour s’appliquer à, sélectionnez les types d’objets suivants :

    • Objets groupe descendants
    • Objets ordinateur descendants
    • Objets msDS-GroupManagedServiceAccount descendants
    • Objets msDS-ManagedServiceAccount descendants

Remarque

L’attribution des autorisations d’audit sur tous les objets descendants fonctionne également, mais nous ne demandons que les types d’objets comme détaillé à la dernière étape.

Configurer les audits dans les services de fédération Active Directory (AD FS)

  1. Accédez à la console Utilisateurs et ordinateurs Active Directory, puis sélectionnez le domaine sur lequel vous souhaitez activer les journaux.

  2. Accédez à Program Data>Microsoft>ADFS. Par exemple :

    Screenshot of an ADFS container.

  3. Faites un clic droit sur ADFS, puis sélectionnez Propriétés.

  4. Accédez à l’onglet Sécurité et sélectionnez Avancé>Paramètres de sécurité avancés>Audit, onglet >Ajouter>Sélectionner un principal.

  5. Sous Entrez le nom de l’objet à sélectionner, entrez Tout le monde.

  6. Sélectionnez Vérifier les noms>OK.

  7. Vous revenez ensuite à l’entrée d’audit. Effectuez les sélections suivantes :

    • Pour Type, sélectionnez Tout.
    • Pour S’applique à, sélectionnez Cet objet et tous ceux descendants.
    • Sous Autorisations, faites défiler vers le bas et sélectionnez Effacer tout. Faites défiler vers le haut et sélectionnez Lire toutes les propriétés et Écrire toutes les propriétés.

    Par exemple :

    Screenshot of the auditing settings for ADFS.

  8. Cliquez sur OK.

Audit de la configuration pour les services de certificats Active Directory (AD CS)

Si vous utilisez un serveur dédié avec les services de certificats Active Directory (AD CS) configuré, veillez à configurer l’audit comme suit pour afficher les alertes dédiées et les rapports de score sécurisé :

  1. Créez une stratégie de groupe à appliquer à votre serveur AD CS. Modifiez-le et configurez les paramètres d’audit suivants :

    1. Accédez à et sélectionnez deux fois Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration avancée de la stratégie d’audit\Stratégies d’audit\Accès à l’objet\Auditer les services de certificats.

    2. Sélectionnez cette option pour configurer les événements d’audit pour la réussite et l’échec. Par exemple :

      Screenshot of the Group Policy Management Editor.

  2. Configurez l’audit sur l’autorité de certification à l’aide de l’une des méthodes suivantes :

    • Pour configurer l’audit de l’autorité de certification à l’aide de la ligne de commande, exécutez :

      certutil –setreg CA\AuditFilter 127 

net stop certsvc && net start certsvc

    • Pour configurer l’audit de l’autorité de certification à l’aide de l’interface graphique utilisateur :

      1. Sélectionnez Démarrer :> autorité de certification (application de bureau MMC). Faites un clic droit sur le nom de l’autorité de certification et sélectionnez Propriétés. Par exemple :

        Screenshot of the Certification Authority dialog.

      2. Sélectionnez l’onglet Audit, sélectionnez tous les événements que vous souhaitez auditer, puis sélectionnez Appliquer. Par exemple :

        Screenshot of the Properties Auditing tab.

Remarque

La configuration de l’audit des événements Start et Stop Active Directory Certificate Services peut entraîner des retards de redémarrage lors du traitement d’une base de données AD CS volumineuse. Envisagez de supprimer des entrées non pertinentes de la base de données, ou de ne pas activer ce type d’événement spécifique.

Configurer l’audit sur le conteneur de configuration

  1. Ouvrez ADSI Edit en sélectionnant Démarrer>l’exécution. Entrez ADSIEdit.msc et sélectionnez OK.

  2. Dans le menu Action, sélectionnez Se connecter à.

  3. Dans la boîte de dialogue Paramètres de connexion sous Sélectionner un contexte d’affectation de noms connu, sélectionnez Configuration>OK.

  4. Développez le conteneur Configuration pour afficher le nœud Configuration, en commençant par « CN=Configuration,DC=... »

  5. Faites un clic droit sur le nœud Configuration, puis sélectionnez Propriétés. Par exemple :

    Screenshot of the Configuration node properties.

  6. Sélectionnez l’onglet Sécurité, puis >Avancé.

  7. Dans les paramètres de sécurité avancés, sélectionnez l’onglet Audit, puis >Ajouter.

  8. Sélectionnez Sélectionner un principal.

  9. Sous Entrez le nom de l’objet à sélectionner, entrez Tout le monde et sélectionnez Vérifier les noms>OK.

  10. Vous revenez ensuite à l’entrée d’audit. Effectuez les sélections suivantes :

    • Pour Type, sélectionnez Tout.
    • Pour S’applique à, sélectionnez Cet objet et tous ceux descendants.
    • Sous Autorisations, faites défiler vers le bas et sélectionnez Effacer tout. Faites défiler vers le haut et sélectionnez Écrire toutes les propriétés.

    Par exemple :

    Screenshot of the auditing settings for the Configuration container.

  11. Cliquez sur OK.

Configurations héritées

Important

Defender pour Identity n’a plus besoin de journaliser les événements 1644. Si ce paramètre de registre est activé, vous pouvez le supprimer.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Contenu connexe

Pour plus d’informations, voir Audit de sécurité Windows.

Étape suivante

Qu’est-ce que les rôles et autorisations Defender pour Identity ? »