Naplózási szabályzatok konfigurálása Windows-eseménynaplókhoz
A Microsoft Defender identitásészlelése bizonyos Windows-eseménynapló-bejegyzésekre támaszkodik az észlelések javítása érdekében, és további információkat nyújt az adott műveleteket végrehajtó felhasználókról, például az NTLM-bejelentkezésekről és a biztonsági csoportok módosításáról.
Ahhoz, hogy a megfelelő események naplózása és a Windows eseménynaplóban szerepeljen, a tartományvezérlőknek speciális Windows serveres naplózási házirend-beállításokra van szükségük. A helytelenül konfigurált speciális naplózási házirend-beállítások hiányosságokat okozhatnak az eseménynaplóban, és hiányos Defender for Identity lefedettséget okozhatnak.
Ez a cikk bemutatja, hogyan konfigurálhatja a Speciális naplózási szabályzat beállításait a Defender for Identity-érzékelőhöz, és hogyan konfigurálhat más konfigurációkat adott eseménytípusokhoz.
További információ: Mi a Windows eseménygyűjtemény a Defender for Identityhez és a speciális biztonsági naplózási szabályzatokhoz a Windows dokumentációjában.
Jelentés létrehozása az aktuális konfigurációkkal a PowerShell használatával
Előfeltételek: A Defender for Identity PowerShell-parancsok futtatása előtt győződjön meg arról, hogy letöltötte a Defender for Identity PowerShell modult.
Mielőtt új esemény- és naplózási szabályzatokat hozna létre, javasoljuk, hogy futtassa a következő PowerShell-parancsot az aktuális tartománykonfigurációk jelentésének létrehozásához:
New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]
Ahol:
- Az elérési út megadja a jelentések mentési útvonalát
- A Mód azt határozza meg, hogy Tartomány vagy LocalMachine módot szeretne-e használni. Tartomány módban a rendszer a csoportházirend-objektumokból gyűjti a beállításokat. LocalMachine módban a rendszer összegyűjti a beállításokat a helyi gépről.
- Az OpenHtmlReport megnyitja a HTML-jelentést a jelentés létrehozása után
Ha például létre szeretne hozni egy jelentést, és meg szeretné nyitni az alapértelmezett böngészőben, futtassa a következő parancsot:
New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport
További információ: DefenderforIdentity PowerShell-referencia.
Tipp.
A Domain
módjelentés csak a tartomány csoportházirendjeként beállított konfigurációkat tartalmazza. Ha a tartományvezérlőkön helyileg vannak meghatározva beállítások, javasoljuk, hogy futtassa a Test-MdiReadiness.ps1 szkriptet is.
Naplózás konfigurálása tartományvezérlőkhöz
Tartományvezérlő használata esetén frissítenie kell a speciális naplózási házirend beállításait és az adott események és eseménytípusok, például felhasználók, csoportok, számítógépek stb. speciális konfigurációit. A tartományvezérlők naplózási konfigurációi a következők:
Speciális naplózási házirend-beállítások konfigurálása
Ez az eljárás azt ismerteti, hogyan módosíthatja a tartományvezérlő speciális naplózási szabályzatait a Defender for Identity esetében.
Jelentkezzen be a kiszolgálóra tartományi Rendszergazda istratorként.
Nyissa meg a csoportházirend-kezelő szerkesztőt a Kiszolgálókezelő> Tools csoportházirend-kezeléséből.>
Bontsa ki a tartományvezérlők szervezeti egységeit, kattintson a jobb gombbal az Alapértelmezett tartományvezérlők házirendre, majd válassza a Szerkesztés lehetőséget. Például:
Feljegyzés
A házirendek beállításához használja az Alapértelmezett tartományvezérlők házirendet vagy egy dedikált csoportházirend-objektumot.
A megnyíló ablakban nyissa meg a Windows Gépház> Security Gépház számítógép-konfigurációs>házirendeket>, és az engedélyezni kívánt házirendtől függően tegye a következőket:
Lépjen a Speciális naplózási házirend konfigurációs naplózási>szabályzatai elemre. Példa:
A Naplózási szabályzatok csoportban szerkessze az alábbi szabályzatokat, és válassza a Következő naplózási események konfigurálása a sikeres és a sikertelen eseményekhez lehetőséget.
Naplózási szabályzat Alkategória Eseményazonosítók aktiválása Fiókbejegyzés Hitelesítő adatok érvényesítésének naplózása 4776 Fiókkezelés Számítógépfiók-kezelés naplózása * 4741, 4743 Fiókkezelés Terjesztési csoportok felügyeletének naplózása 4753, 4763 Fiókkezelés Biztonsági csoport felügyeletének naplózása * 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758 Fiókkezelés Felhasználói fiókok felügyeletének naplózása 4726 DS-hozzáférés Könyvtárszolgáltatás módosításainak naplózása 5136 Rendszer Biztonsági rendszer bővítményének naplózása * 7045 DS-hozzáférés Könyvtárszolgáltatás hozzáférésének naplózása 4662 – Ehhez az eseményhez tartományobjektum-naplózást is konfigurálnia kell. Feljegyzés
* A feljegyzett alkategóriák nem támogatják a hibaeseményeket. Javasoljuk azonban, hogy auditálás céljából vegye fel őket, ha a jövőben implementálják őket. További információ: Számítógépfiók-kezelés naplózása, biztonsági csoportkezelés naplózása és biztonsági rendszerbővítmény naplózása.
A naplózási biztonsági csoport felügyeletének konfigurálásához például kattintson duplán a Biztonsági csoport kezelése naplózása elemre a Fiókkezelés területen, majd válassza a Következő naplózási események konfigurálása a sikeres és a sikertelen eseményekhez:
Egy rendszergazda jogú parancssorból írja be a következőt
gpupdate
: .Miután a csoportházirend-objektumon keresztül alkalmazta a szabályzatot, az új események láthatók a Eseménynapló, a Windows-naplók ->Biztonság területén.
Naplózási szabályzatok tesztelése a parancssorból
Az auditszabályzatok parancssorból való teszteléséhez futtassa a következő parancsot:
auditpol.exe /get /category:*
További információ: auditpol referenciadokumentáció.
Naplózási szabályzatok konfigurálása, lekérése és tesztelése a PowerShell használatával
A naplózási szabályzatok PowerShell-lel való konfigurálásához futtassa a következő parancsot:
Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]
Ahol:
A Mód azt határozza meg, hogy Tartomány vagy LocalMachine módot szeretne-e használni. Tartomány módban a rendszer a csoportházirend-objektumokból gyűjti a beállításokat. LocalMachine módban a rendszer összegyűjti a beállításokat a helyi gépről.
A konfiguráció határozza meg, hogy melyik konfigurációt kell beállítani. Az összes konfiguráció beállítására használható
All
.A CreateGpoDisabled megadja, hogy a csoportházirend-objektumok létre lettek-e hozva és letiltva maradnak-e.
A SkipGpoLink azt adja meg, hogy a csoportházirend-objektum hivatkozásai nem jönnek létre.
A Force azt határozza meg, hogy a konfiguráció be van állítva, vagy a csoportházirend-objektumok az aktuális állapot érvényesítése nélkül jönnek létre.
A naplózási szabályzatok PowerShell-lel való megtekintéséhez vagy teszteléséhez futtassa a következő parancsokat szükség szerint. Az aktuális értékek megjelenítéséhez használja a Get-MDIConfiguration parancsot. A Test-MDIConfiguration paranccsal választ kaphat true
false
arra, hogy az értékek megfelelően vannak-e konfigurálva.
Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>
Ahol:
A Mód azt határozza meg, hogy Tartomány vagy LocalMachine módot szeretne-e használni. Tartomány módban a rendszer a csoportházirend-objektumokból gyűjti a beállításokat. LocalMachine módban a rendszer összegyűjti a beállításokat a helyi gépről.
A konfiguráció határozza meg, hogy melyik konfigurációt kell lekérni. Az összes konfiguráció lekérésére használható
All
.
Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>
Ahol:
A Mód azt határozza meg, hogy Tartomány vagy LocalMachine módot szeretne-e használni. Tartomány módban a rendszer a csoportházirend-objektumokból gyűjti a beállításokat. LocalMachine módban a rendszer összegyűjti a beállításokat a helyi gépről.
A konfiguráció megadja, hogy melyik konfigurációt kell tesztelni. Az összes konfiguráció tesztelésére használható
All
.
További információ: DefenderForIdentity PowerShell-hivatkozások:
NTLM-naplózás konfigurálása
Ez a szakasz a 8004-es eseményazonosító naplózásához szükséges további konfigurációs lépéseket ismerteti.
Feljegyzés
- A Windows Event 8004 gyűjtésére vonatkozó tartománycsoport-házirendeket csak a tartományvezérlőkre kell alkalmazni.
- Ha a Defender for Identity Sensor elemzi a Windows Event 8004-et, a Defender for Identity NTLM hitelesítési tevékenységei a kiszolgáló által elért adatokkal bővülnek.
A kezdeti lépéseket követve nyissa meg a csoportházirend-kezelést, és lépjen az Alapértelmezett tartományvezérlők házirendjének>helyi házirendek>biztonsági beállításaihoz.
A Biztonsági beállítások területen konfigurálja a megadott biztonsági szabályzatokat az alábbiak szerint:
Biztonsági szabályzat beállítása Érték Hálózati biztonság: Az NTLM korlátozása: Kimenő NTLM-forgalom korlátozása távoli kiszolgálókra Az összes naplózása Hálózati biztonság: Az NTLM korlátozása: NTLM-hitelesítés naplózása ebben a tartományban Az összes engedélyezése Hálózati biztonság: Az NTLM korlátozása: Bejövő NTLM-forgalom naplózása Naplózás engedélyezése az összes fiókhoz
Ha például távoli kiszolgálók felé szeretné konfigurálni a kimenő NTLM-forgalmat, a Biztonsági beállítások területen kattintson duplán a Hálózati biztonság: NTLM korlátozása: Kimenő NTLM-forgalom távoli kiszolgálókra, majd válassza az Összes naplózása lehetőséget:
Tartományobjektum-naplózás konfigurálása
Az objektumváltozások (például a 4662-as esemény) eseményeinek gyűjtéséhez konfigurálnia kell az objektumnaplózást a felhasználón, a csoporton, a számítógépen és más objektumokon is. Ez az eljárás azt ismerteti, hogyan engedélyezheti a naplózást az Active Directory-tartományban.
Fontos
Az eseménygyűjtés engedélyezése előtt ellenőrizze és ellenőrizze a naplózási szabályzatokat , hogy a tartományvezérlők megfelelően legyenek konfigurálva a szükséges események rögzítéséhez. Ha megfelelően van konfigurálva, ennek a naplózásnak minimális hatással kell lennie a kiszolgáló teljesítményére.
Lépjen a Active Directory - felhasználók és számítógépek konzolra.
Jelölje ki a naplózni kívánt tartományt.
Válassza a Nézet menüt, és válassza a Speciális szolgáltatások lehetőséget.
Kattintson a jobb gombbal a tartományra, és válassza a Tulajdonságok lehetőséget. Példa:
Lépjen a Biztonság lapra, és válassza a Speciális lehetőséget. Példa:
Az Advanced Security Gépház válassza a Naplózás lapot, majd a Hozzáadás lehetőséget. Példa:
Válassza az Egyszerű kiválasztása lehetőséget. Példa:
Az Enter the object name to select, enter Everyone and check Names>OK (Nevek ellenőrzése OK) területen adja meg a mindenki nevet. Példa:
Ezután visszatér a naplózási bejegyzéshez. Végezze el a következő beállításokat:
A Típus beállításnál válassza a Sikeres elemet.
A Leszármazó felhasználó objektumainak kiválasztásáravonatkozik.
Az Engedélyek csoportban görgessen le, és válassza az Összes törlése gombot. Példa:
Görgessen vissza, és válassza a Teljes vezérlőelem lehetőséget. Minden engedély ki van jelölve.
Törölje a lista tartalmának kijelölését, az Összes tulajdonság beolvasása és az Olvasási engedélyek lehetőséget, és válassza az OK gombot. Ez az összes tulajdonságbeállítást írásra állítja. Példa:
Most, amikor aktiválódik, a címtárszolgáltatások minden lényeges módosítása eseményként
4662
jelenik meg.
Ismételje meg az eljárás lépéseit, de az Applies esetében válassza ki a következő objektumtípusokat:
- Leszármazottcsoport-objektumok
- Leszármazott számítógépobjektumok
- Leszármazott msDS-GroupManagedServiceAccount-objektumok
- Leszármazott msDS-ManagedServiceAccount objektumok
Feljegyzés
A minden leszármazott objektum naplózási engedélyeinek hozzárendelése is működni fog, de csak az utolsó lépésben részletezett objektumtípusokra van szükség.
Naplózás konfigurálása Active Directory összevonási szolgáltatások (AD FS) (AD FS)
Lépjen a Active Directory - felhasználók és számítógépek konzolra, és válassza ki azt a tartományt, amelyen engedélyezni szeretné a naplókat.
Nyissa meg a Program Data>Microsoft>ADFS webhelyet. Példa:
Kattintson a jobb gombbal az ADFS-re, és válassza a Tulajdonságok lehetőséget.
Lépjen a Biztonság lapra, és válassza az Advanced>Advanced Security Gépház> Auditing tab Add>Select a principal (Egyszerű kijelölése) lehetőséget.>
Az Enter the object name to select (A kijelölendő objektum neve) területen adja meg a Mindenki nevet.
Válassza a Nevek>ellenőrzése OK gombot.
Ezután visszatér a naplózási bejegyzéshez. Végezze el a következő beállításokat:
- A Típus beállításnál válassza az Összes lehetőséget.
- Az Ez az objektum és az összes leszármazott objektum kijelölése esetén.
- Az Engedélyek csoportban görgessen le, és válassza az Összes törlése lehetőséget. Görgessen fel, és válassza az Összes tulajdonság olvasása és az Összes tulajdonság írása lehetőséget.
Példa:
Kattintson az OK gombra.
Naplózás konfigurálása az Active Directory tanúsítványszolgáltatásokhoz (AD CS)
Ha dedikált kiszolgálóval dolgozik az Active Directory tanúsítványszolgáltatások (AD CS) konfigurálásával, a dedikált riasztások és a biztonságos pontszámú jelentések megtekintéséhez mindenképpen konfigurálja a naplózást az alábbiak szerint:
Hozzon létre egy csoportházirendet, amely az AD CS-kiszolgálóra vonatkozik. Szerkessze és konfigurálja a következő naplózási beállításokat:
Nyissa meg és válassza duplán a Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Speciális naplózási házirend konfigurálása\Naplózási szabályzatok\Objektumhozzáférés\Naplózási szolgáltatások lehetőséget.
Válassza ki a sikeres és sikertelen naplózási események konfigurálásához. Példa:
Konfigurálja a hitelesítésszolgáltató (CA) naplózását az alábbi módszerek egyikével:
A hitelesítésszolgáltatói naplózás parancssori használatával történő konfigurálásához futtassa a következőt:
certutil –setreg CA\AuditFilter 127 net stop certsvc && net start certsvc
Ca-naplózás konfigurálása a grafikus felhasználói felület használatával:
Válassza a Start –> Hitelesítésszolgáltató (MMC Desktop-alkalmazás) lehetőséget. Kattintson a jobb gombbal a hitelesítésszolgáltató nevére, és válassza a Tulajdonságok lehetőséget. Példa:
Válassza a Naplózás lapot, jelölje ki az összes naplózni kívánt eseményt, majd válassza az Alkalmaz lehetőséget. Például:
Feljegyzés
Az Active Directory tanúsítványszolgáltatások eseménynaplózásának konfigurálása újraindítási késést okozhat egy nagy AD CS-adatbázis kezelésekor. Fontolja meg az irreleváns bejegyzések eltávolítását az adatbázisból, vagy tartózkodjon az ilyen típusú események engedélyezésétől.
Naplózás konfigurálása a konfigurációs tárolón
Nyissa meg az ADSI-szerkesztést a Futtatás indítása>gombra kattintva. Adja meg
ADSIEdit.msc
és válassza az OK gombot.A Művelet menüben válassza a Csatlakozás lehetőséget.
A Csatlakozás ion Gépház párbeszédpanelen válassza a Jól ismert elnevezési környezet kiválasztása lehetőséget, és válassza a Konfiguráció OK gombot>.
Bontsa ki a konfigurációs tárolót a konfigurációs csomópont megjelenítéséhez, kezdve a "CN=Configuration,DC=..."
Kattintson a jobb gombbal a konfigurációs csomópontra, és válassza a Tulajdonságok lehetőséget. Példa:
Válassza a Speciális biztonság lapot>.
Az Advanced Security Gépház válassza a Naplózás lap Hozzáadás elemét>.
Válassza az Egyszerű kiválasztása lehetőséget.
Az Enter the object name to select, enter Everyone and check Names>OK (Nevek ellenőrzése OK) területen adja meg a mindenki nevet.
Ezután visszatér a naplózási bejegyzéshez. Végezze el a következő beállításokat:
- A Típus beállításnál válassza az Összes lehetőséget.
- Az Ez az objektum és az összes leszármazott objektum kijelölése esetén.
- Az Engedélyek csoportban görgessen le, és válassza az Összes törlése lehetőséget. Görgessen fel, és válassza az Összes tulajdonság írása lehetőséget.
Példa:
Kattintson az OK gombra.
Örökölt konfigurációk
Fontos
A Defender for Identity már nem igényel 1644-események naplózását. Ha engedélyezve van ez a beállításjegyzék-beállítás, eltávolíthatja azt.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001
Kapcsolódó tartalom
További információ: Windows biztonsági naplózás.