Naplózási szabályzatok konfigurálása Windows-eseménynaplókhoz

  • Cikk

A Microsoft Defender identitásészlelése bizonyos Windows-eseménynapló-bejegyzésekre támaszkodik az észlelések javítása érdekében, és további információkat nyújt az adott műveleteket végrehajtó felhasználókról, például az NTLM-bejelentkezésekről és a biztonsági csoportok módosításáról.

Ahhoz, hogy a megfelelő események naplózása és a Windows eseménynaplóban szerepeljen, a tartományvezérlőknek speciális Windows serveres naplózási házirend-beállításokra van szükségük. A helytelenül konfigurált speciális naplózási házirend-beállítások hiányosságokat okozhatnak az eseménynaplóban, és hiányos Defender for Identity lefedettséget okozhatnak.

Ez a cikk bemutatja, hogyan konfigurálhatja a Speciális naplózási szabályzat beállításait a Defender for Identity-érzékelőhöz, és hogyan konfigurálhat más konfigurációkat adott eseménytípusokhoz.

További információ: Mi a Windows eseménygyűjtemény a Defender for Identityhez és a speciális biztonsági naplózási szabályzatokhoz a Windows dokumentációjában.

Jelentés létrehozása az aktuális konfigurációkkal a PowerShell használatával

Előfeltételek: A Defender for Identity PowerShell-parancsok futtatása előtt győződjön meg arról, hogy letöltötte a Defender for Identity PowerShell modult.

Mielőtt új esemény- és naplózási szabályzatokat hozna létre, javasoljuk, hogy futtassa a következő PowerShell-parancsot az aktuális tartománykonfigurációk jelentésének létrehozásához:

New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]

Ahol:

  • Az elérési út megadja a jelentések mentési útvonalát
  • A Mód azt határozza meg, hogy Tartomány vagy LocalMachine módot szeretne-e használni. Tartomány módban a rendszer a csoportházirend-objektumokból gyűjti a beállításokat. LocalMachine módban a rendszer összegyűjti a beállításokat a helyi gépről.
  • Az OpenHtmlReport megnyitja a HTML-jelentést a jelentés létrehozása után

Ha például létre szeretne hozni egy jelentést, és meg szeretné nyitni az alapértelmezett böngészőben, futtassa a következő parancsot:

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

További információ: DefenderforIdentity PowerShell-referencia.

Tipp.

A Domain módjelentés csak a tartomány csoportházirendjeként beállított konfigurációkat tartalmazza. Ha a tartományvezérlőkön helyileg vannak meghatározva beállítások, javasoljuk, hogy futtassa a Test-MdiReadiness.ps1 szkriptet is.

Naplózás konfigurálása tartományvezérlőkhöz

Tartományvezérlő használata esetén frissítenie kell a speciális naplózási házirend beállításait és az adott események és eseménytípusok, például felhasználók, csoportok, számítógépek stb. speciális konfigurációit. A tartományvezérlők naplózási konfigurációi a következők:

Speciális naplózási házirend-beállítások konfigurálása

Ez az eljárás azt ismerteti, hogyan módosíthatja a tartományvezérlő speciális naplózási szabályzatait a Defender for Identity esetében.

  1. Jelentkezzen be a kiszolgálóra tartományi Rendszergazda istratorként.

  2. Nyissa meg a csoportházirend-kezelő szerkesztőt a Kiszolgálókezelő> Tools csoportházirend-kezeléséből.>

  3. Bontsa ki a tartományvezérlők szervezeti egységeit, kattintson a jobb gombbal az Alapértelmezett tartományvezérlők házirendre, majd válassza a Szerkesztés lehetőséget. Például:

    Screenshot of the Edit domain controller policy dialog.

    Feljegyzés

    A házirendek beállításához használja az Alapértelmezett tartományvezérlők házirendet vagy egy dedikált csoportházirend-objektumot.

  4. A megnyíló ablakban nyissa meg a Windows Gépház> Security Gépház számítógép-konfigurációs>házirendeket>, és az engedélyezni kívánt házirendtől függően tegye a következőket:

    1. Lépjen a Speciális naplózási házirend konfigurációs naplózási>szabályzatai elemre. Példa:

      Screenshot of the Advanced Audit Policy Configuration dialog.

    2. A Naplózási szabályzatok csoportban szerkessze az alábbi szabályzatokat, és válassza a Következő naplózási események konfigurálása a sikeres és a sikertelen eseményekhez lehetőséget.

      Naplózási szabályzat Alkategória Eseményazonosítók aktiválása
      Fiókbejegyzés Hitelesítő adatok érvényesítésének naplózása 4776
      Fiókkezelés Számítógépfiók-kezelés naplózása * 4741, 4743
      Fiókkezelés Terjesztési csoportok felügyeletének naplózása 4753, 4763
      Fiókkezelés Biztonsági csoport felügyeletének naplózása * 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Fiókkezelés Felhasználói fiókok felügyeletének naplózása 4726
      DS-hozzáférés Könyvtárszolgáltatás módosításainak naplózása 5136
      Rendszer Biztonsági rendszer bővítményének naplózása * 7045
      DS-hozzáférés Könyvtárszolgáltatás hozzáférésének naplózása 4662 – Ehhez az eseményhez tartományobjektum-naplózást is konfigurálnia kell.

      Feljegyzés

      * A feljegyzett alkategóriák nem támogatják a hibaeseményeket. Javasoljuk azonban, hogy auditálás céljából vegye fel őket, ha a jövőben implementálják őket. További információ: Számítógépfiók-kezelés naplózása, biztonsági csoportkezelés naplózása és biztonsági rendszerbővítmény naplózása.

      A naplózási biztonsági csoport felügyeletének konfigurálásához például kattintson duplán a Biztonsági csoport kezelése naplózása elemre a Fiókkezelés területen, majd válassza a Következő naplózási események konfigurálása a sikeres és a sikertelen eseményekhez:

      Screenshot of the Audit Security Group Management dialog.

  5. Egy rendszergazda jogú parancssorból írja be a következőt gpupdate: .

  6. Miután a csoportházirend-objektumon keresztül alkalmazta a szabályzatot, az új események láthatók a Eseménynapló, a Windows-naplók ->Biztonság területén.

Naplózási szabályzatok tesztelése a parancssorból

Az auditszabályzatok parancssorból való teszteléséhez futtassa a következő parancsot:

auditpol.exe /get /category:*

További információ: auditpol referenciadokumentáció.

Naplózási szabályzatok konfigurálása, lekérése és tesztelése a PowerShell használatával

A naplózási szabályzatok PowerShell-lel való konfigurálásához futtassa a következő parancsot:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

Ahol:

  • A Mód azt határozza meg, hogy Tartomány vagy LocalMachine módot szeretne-e használni. Tartomány módban a rendszer a csoportházirend-objektumokból gyűjti a beállításokat. LocalMachine módban a rendszer összegyűjti a beállításokat a helyi gépről.

  • A konfiguráció határozza meg, hogy melyik konfigurációt kell beállítani. Az összes konfiguráció beállítására használható All .

  • A CreateGpoDisabled megadja, hogy a csoportházirend-objektumok létre lettek-e hozva és letiltva maradnak-e.

  • A SkipGpoLink azt adja meg, hogy a csoportházirend-objektum hivatkozásai nem jönnek létre.

  • A Force azt határozza meg, hogy a konfiguráció be van állítva, vagy a csoportházirend-objektumok az aktuális állapot érvényesítése nélkül jönnek létre.

A naplózási szabályzatok PowerShell-lel való megtekintéséhez vagy teszteléséhez futtassa a következő parancsokat szükség szerint. Az aktuális értékek megjelenítéséhez használja a Get-MDIConfiguration parancsot. A Test-MDIConfiguration paranccsal választ kaphat truefalse arra, hogy az értékek megfelelően vannak-e konfigurálva.

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Ahol:

  • A Mód azt határozza meg, hogy Tartomány vagy LocalMachine módot szeretne-e használni. Tartomány módban a rendszer a csoportházirend-objektumokból gyűjti a beállításokat. LocalMachine módban a rendszer összegyűjti a beállításokat a helyi gépről.

  • A konfiguráció határozza meg, hogy melyik konfigurációt kell lekérni. Az összes konfiguráció lekérésére használható All .

Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Ahol:

  • A Mód azt határozza meg, hogy Tartomány vagy LocalMachine módot szeretne-e használni. Tartomány módban a rendszer a csoportházirend-objektumokból gyűjti a beállításokat. LocalMachine módban a rendszer összegyűjti a beállításokat a helyi gépről.

  • A konfiguráció megadja, hogy melyik konfigurációt kell tesztelni. Az összes konfiguráció tesztelésére használható All .

További információ: DefenderForIdentity PowerShell-hivatkozások:

NTLM-naplózás konfigurálása

Ez a szakasz a 8004-es eseményazonosító naplózásához szükséges további konfigurációs lépéseket ismerteti.

Feljegyzés

  • A Windows Event 8004 gyűjtésére vonatkozó tartománycsoport-házirendeket csak a tartományvezérlőkre kell alkalmazni.
  • Ha a Defender for Identity Sensor elemzi a Windows Event 8004-et, a Defender for Identity NTLM hitelesítési tevékenységei a kiszolgáló által elért adatokkal bővülnek.

  1. A kezdeti lépéseket követve nyissa meg a csoportházirend-kezelést, és lépjen az Alapértelmezett tartományvezérlők házirendjének>helyi házirendek>biztonsági beállításaihoz.

  2. A Biztonsági beállítások területen konfigurálja a megadott biztonsági szabályzatokat az alábbiak szerint:

    Biztonsági szabályzat beállítása Érték
    Hálózati biztonság: Az NTLM korlátozása: Kimenő NTLM-forgalom korlátozása távoli kiszolgálókra Az összes naplózása
    Hálózati biztonság: Az NTLM korlátozása: NTLM-hitelesítés naplózása ebben a tartományban Az összes engedélyezése
    Hálózati biztonság: Az NTLM korlátozása: Bejövő NTLM-forgalom naplózása Naplózás engedélyezése az összes fiókhoz

Ha például távoli kiszolgálók felé szeretné konfigurálni a kimenő NTLM-forgalmat, a Biztonsági beállítások területen kattintson duplán a Hálózati biztonság: NTLM korlátozása: Kimenő NTLM-forgalom távoli kiszolgálókra, majd válassza az Összes naplózása lehetőséget:

Screenshot of the Audit Outgoing NTLM traffic to remote servers configuration.

Tartományobjektum-naplózás konfigurálása

Az objektumváltozások (például a 4662-as esemény) eseményeinek gyűjtéséhez konfigurálnia kell az objektumnaplózást a felhasználón, a csoporton, a számítógépen és más objektumokon is. Ez az eljárás azt ismerteti, hogyan engedélyezheti a naplózást az Active Directory-tartományban.

Fontos

Az eseménygyűjtés engedélyezése előtt ellenőrizze és ellenőrizze a naplózási szabályzatokat , hogy a tartományvezérlők megfelelően legyenek konfigurálva a szükséges események rögzítéséhez. Ha megfelelően van konfigurálva, ennek a naplózásnak minimális hatással kell lennie a kiszolgáló teljesítményére.

  1. Lépjen a Active Directory - felhasználók és számítógépek konzolra.

  2. Jelölje ki a naplózni kívánt tartományt.

  3. Válassza a Nézet menüt, és válassza a Speciális szolgáltatások lehetőséget.

  4. Kattintson a jobb gombbal a tartományra, és válassza a Tulajdonságok lehetőséget. Példa:

    Screenshot of the container properties option.

  5. Lépjen a Biztonság lapra, és válassza a Speciális lehetőséget. Példa:

    Screenshot of the advanced security properties dialog.

  6. Az Advanced Security Gépház válassza a Naplózás lapot, majd a Hozzáadás lehetőséget. Példa:

    Screenshot of the Advanced Security Settings Auditing tab.

  7. Válassza az Egyszerű kiválasztása lehetőséget. Példa:

    Screenshot of the Select a principal option.

  8. Az Enter the object name to select, enter Everyone and check Names>OK (Nevek ellenőrzése OK) területen adja meg a mindenki nevet. Példa:

    Screenshot of the Select everyone settings.

  9. Ezután visszatér a naplózási bejegyzéshez. Végezze el a következő beállításokat:

    1. A Típus beállításnál válassza a Sikeres elemet.

    2. A Leszármazó felhasználó objektumainak kiválasztásáravonatkozik.

    3. Az Engedélyek csoportban görgessen le, és válassza az Összes törlése gombot. Példa:

      Screenshot of selecting Clear all.

    4. Görgessen vissza, és válassza a Teljes vezérlőelem lehetőséget. Minden engedély ki van jelölve.

    5. Törölje a lista tartalmának kijelölését, az Összes tulajdonság beolvasása és az Olvasási engedélyek lehetőséget, és válassza az OK gombot. Ez az összes tulajdonságbeállítást írásra állítja. Példa:

      Screenshot of selecting permissions.

      Most, amikor aktiválódik, a címtárszolgáltatások minden lényeges módosítása eseményként 4662 jelenik meg.

  10. Ismételje meg az eljárás lépéseit, de az Applies esetében válassza ki a következő objektumtípusokat:

    • Leszármazottcsoport-objektumok
    • Leszármazott számítógépobjektumok
    • Leszármazott msDS-GroupManagedServiceAccount-objektumok
    • Leszármazott msDS-ManagedServiceAccount objektumok

Feljegyzés

A minden leszármazott objektum naplózási engedélyeinek hozzárendelése is működni fog, de csak az utolsó lépésben részletezett objektumtípusokra van szükség.

Naplózás konfigurálása Active Directory összevonási szolgáltatások (AD FS) (AD FS)

  1. Lépjen a Active Directory - felhasználók és számítógépek konzolra, és válassza ki azt a tartományt, amelyen engedélyezni szeretné a naplókat.

  2. Nyissa meg a Program Data>Microsoft>ADFS webhelyet. Példa:

    Screenshot of an ADFS container.

  3. Kattintson a jobb gombbal az ADFS-re, és válassza a Tulajdonságok lehetőséget.

  4. Lépjen a Biztonság lapra, és válassza az Advanced>Advanced Security Gépház> Auditing tab Add>Select a principal (Egyszerű kijelölése) lehetőséget.>

  5. Az Enter the object name to select (A kijelölendő objektum neve) területen adja meg a Mindenki nevet.

  6. Válassza a Nevek>ellenőrzése OK gombot.

  7. Ezután visszatér a naplózási bejegyzéshez. Végezze el a következő beállításokat:

    • A Típus beállításnál válassza az Összes lehetőséget.
    • Az Ez az objektum és az összes leszármazott objektum kijelölése esetén.
    • Az Engedélyek csoportban görgessen le, és válassza az Összes törlése lehetőséget. Görgessen fel, és válassza az Összes tulajdonság olvasása és az Összes tulajdonság írása lehetőséget.

    Példa:

    Screenshot of the auditing settings for ADFS.

  8. Kattintson az OK gombra.

Naplózás konfigurálása az Active Directory tanúsítványszolgáltatásokhoz (AD CS)

Ha dedikált kiszolgálóval dolgozik az Active Directory tanúsítványszolgáltatások (AD CS) konfigurálásával, a dedikált riasztások és a biztonságos pontszámú jelentések megtekintéséhez mindenképpen konfigurálja a naplózást az alábbiak szerint:

  1. Hozzon létre egy csoportházirendet, amely az AD CS-kiszolgálóra vonatkozik. Szerkessze és konfigurálja a következő naplózási beállításokat:

    1. Nyissa meg és válassza duplán a Számítógép konfigurációja\Házirendek\Windows Gépház\Biztonsági Gépház\Speciális naplózási házirend konfigurálása\Naplózási szabályzatok\Objektumhozzáférés\Naplózási szolgáltatások lehetőséget.

    2. Válassza ki a sikeres és sikertelen naplózási események konfigurálásához. Példa:

      Screenshot of the Group Policy Management Editor.

  2. Konfigurálja a hitelesítésszolgáltató (CA) naplózását az alábbi módszerek egyikével:

    • A hitelesítésszolgáltatói naplózás parancssori használatával történő konfigurálásához futtassa a következőt:

      certutil –setreg CA\AuditFilter 127 

net stop certsvc && net start certsvc

    • Ca-naplózás konfigurálása a grafikus felhasználói felület használatával:

      1. Válassza a Start –> Hitelesítésszolgáltató (MMC Desktop-alkalmazás) lehetőséget. Kattintson a jobb gombbal a hitelesítésszolgáltató nevére, és válassza a Tulajdonságok lehetőséget. Példa:

        Screenshot of the Certification Authority dialog.

      2. Válassza a Naplózás lapot, jelölje ki az összes naplózni kívánt eseményt, majd válassza az Alkalmaz lehetőséget. Például:

        Screenshot of the Properties Auditing tab.

Feljegyzés

Az Active Directory tanúsítványszolgáltatások eseménynaplózásának konfigurálása újraindítási késést okozhat egy nagy AD CS-adatbázis kezelésekor. Fontolja meg az irreleváns bejegyzések eltávolítását az adatbázisból, vagy tartózkodjon az ilyen típusú események engedélyezésétől.

Naplózás konfigurálása a konfigurációs tárolón

  1. Nyissa meg az ADSI-szerkesztést a Futtatás indítása>gombra kattintva. Adja meg ADSIEdit.msc és válassza az OK gombot.

  2. A Művelet menüben válassza a Csatlakozás lehetőséget.

  3. A Csatlakozás ion Gépház párbeszédpanelen válassza a Jól ismert elnevezési környezet kiválasztása lehetőséget, és válassza a Konfiguráció OK gombot>.

  4. Bontsa ki a konfigurációs tárolót a konfigurációs csomópont megjelenítéséhez, kezdve a "CN=Configuration,DC=..."

  5. Kattintson a jobb gombbal a konfigurációs csomópontra, és válassza a Tulajdonságok lehetőséget. Példa:

    Screenshot of the Configuration node properties.

  6. Válassza a Speciális biztonság lapot>.

  7. Az Advanced Security Gépház válassza a Naplózás lap Hozzáadás elemét>.

  8. Válassza az Egyszerű kiválasztása lehetőséget.

  9. Az Enter the object name to select, enter Everyone and check Names>OK (Nevek ellenőrzése OK) területen adja meg a mindenki nevet.

  10. Ezután visszatér a naplózási bejegyzéshez. Végezze el a következő beállításokat:

    • A Típus beállításnál válassza az Összes lehetőséget.
    • Az Ez az objektum és az összes leszármazott objektum kijelölése esetén.
    • Az Engedélyek csoportban görgessen le, és válassza az Összes törlése lehetőséget. Görgessen fel, és válassza az Összes tulajdonság írása lehetőséget.

    Példa:

    Screenshot of the auditing settings for the Configuration container.

  11. Kattintson az OK gombra.

Örökölt konfigurációk

Fontos

A Defender for Identity már nem igényel 1644-események naplózását. Ha engedélyezve van ez a beállításjegyzék-beállítás, eltávolíthatja azt.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Kapcsolódó tartalom

További információ: Windows biztonsági naplózás.

Következő lépés

Mik a Defender identitáskezelő szerepkörei és engedélyei? »