Naplózási szabályzatok konfigurálása Windows-eseménynaplókhoz
Az észlelések javítása és a felhasználói műveletek, például az NTLM-bejelentkezések és a biztonsági csoportok módosításainak további információinak összegyűjtése érdekében a Microsoft Defender for Identity a Windows eseménynaplók adott bejegyzéseire támaszkodik. A speciális naplózási szabályzat beállításainak megfelelő konfigurálása a tartományvezérlőken elengedhetetlen az eseménynaplókban és az identitáshoz készült Defender hiányos lefedettségének elkerülése érdekében.
Ez a cikk bemutatja, hogyan konfigurálhatja a Speciális naplózási szabályzat beállításait a Defender for Identity-érzékelőhöz szükséges módon. Emellett az adott eseménytípusok egyéb konfigurációit is ismerteti.
A Defender for Identity állapotproblémákat okoz az egyes forgatókönyvek esetében, ha észlelik őket. További információ: Microsoft Defender for Identity health issues.
Előfeltételek
- A Defender for Identity PowerShell-parancsok futtatása előtt győződjön meg arról, hogy letöltötte a Defender for Identity PowerShell modult.
Jelentés készítése az aktuális konfigurációkról a PowerShell használatával
Mielőtt új esemény- és naplózási szabályzatokat hozna létre, javasoljuk, hogy futtassa a következő PowerShell-parancsot az aktuális tartománykonfigurációk jelentésének létrehozásához:
New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]
A fenti parancsban:
Path
megadja a jelentések mentési útvonalát.Mode
megadja, hogy használniDomain
szeretné-e vagyLocalMachine
üzemmódot. MódbanDomain
a rendszer összegyűjti a beállításokat a csoportházirend-objektumokból (GPO-kból). MódbanLocalMachine
a rendszer összegyűjti a beállításokat a helyi gépről.OpenHtmlReport
megnyitja a HTML-jelentést a jelentés létrehozása után.
Ha például létre szeretne hozni egy jelentést, és meg szeretné nyitni az alapértelmezett böngészőben, futtassa a következő parancsot:
New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport
További információ: DefenderforIdentity PowerShell-referencia.
Tipp.
A Domain
módjelentés csak a tartomány csoportházirendjeként beállított konfigurációkat tartalmazza. Ha a tartományvezérlőkön helyileg vannak meghatározva beállítások, javasoljuk, hogy futtassa a Test-MdiReadiness.ps1 szkriptet is.
Naplózás konfigurálása tartományvezérlőkhöz
Frissítse a speciális naplózási házirend beállításait és az adott események és eseménytípusok, például felhasználók, csoportok, számítógépek stb. speciális konfigurációit. A tartományvezérlők naplózási konfigurációi a következők:
- Speciális naplózási házirend-beállítások
- NTLM-naplózás
- Tartományobjektum naplózása
További információ: Speciális biztonsági naplózás – gyakori kérdések.
Az alábbi eljárásokkal konfigurálhatja a naplózást azon tartományvezérlőken, amelyeket a Defender for Identity szolgáltatással használ.
Speciális naplózási házirend-beállítások konfigurálása a felhasználói felületről
Ez az eljárás azt ismerteti, hogyan módosíthatja a tartományvezérlő speciális naplózási szabályzatának beállításait a Defender for Identity esetében a felhasználói felületen keresztül.
Kapcsolódó állapotproblémák: A Címtárszolgáltatások speciális naplózása nincs engedélyezve szükség szerint
A Speciális naplózási házirend beállításainak konfigurálása:
Jelentkezzen be a kiszolgálóra tartományi rendszergazdaként.
Nyissa meg a csoportházirend-kezelő szerkesztőt a Kiszolgálókezelő> Tools csoportházirend-kezeléséből.>
Bontsa ki a tartományvezérlők szervezeti egységeit, kattintson a jobb gombbal az Alapértelmezett tartományvezérlők házirendre, majd válassza a Szerkesztés lehetőséget.
Feljegyzés
A házirendek beállításához használja az Alapértelmezett tartományvezérlők házirendet vagy egy dedikált csoportházirend-objektumot.
A megnyíló ablakban lépjen a Számítógép-konfigurációs>házirendek>Windows-beállítások>biztonsági beállításai elemre. Az engedélyezni kívánt szabályzattól függően tegye a következőket:
Lépjen a Speciális naplózási házirend konfigurációs naplózási>szabályzatai elemre.
A Naplózási szabályzatok csoportban szerkessze az alábbi szabályzatokat, és válassza a Következő naplózási események konfigurálása a sikeres és a sikertelen eseményekhez lehetőséget.
Naplózási szabályzat Alkategória Eseményazonosítók aktiválása Fiókbejegyzés Hitelesítő adatok ellenőrzésének naplózása 4776 Fiókkezelés Számítógépfiók-kezelés naplózása* 4741, 4743 Fiókkezelés Terjesztési csoport felügyeletének naplózása* 4753, 4763 Fiókkezelés Biztonsági csoport felügyeletének naplózása* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758 Fiókkezelés Felhasználói fiókok felügyeletének naplózása 4726 DS-hozzáférés Címtárszolgáltatás változásainak naplózása* 5136 Rendszer Biztonsági rendszer bővítményének naplózása* 7045 DS-hozzáférés Címtárszolgáltatás-hozzáférés naplózása 4662 – Ehhez az eseményhez tartományobjektum-naplózást is konfigurálnia kell. Feljegyzés
* A feljegyzett alkategóriák nem támogatják a hibaeseményeket. Javasoljuk azonban, hogy auditálás céljából vegye fel őket, ha a jövőben implementálják őket. További információ: Számítógépfiók-kezelés naplózása, biztonsági csoportkezelés naplózása és biztonsági rendszerbővítmény naplózása.
Ha például a naplózási biztonsági csoportkezelést szeretné konfigurálni, kattintson duplán a Biztonsági csoport kezelése naplózása elemre, majd válassza a Következő naplózási események konfigurálása mind a sikeres, mind a sikertelen események esetében.
Egy rendszergazda jogú parancssorból írja be a következőt
gpupdate
: .Miután a csoportházirend-objektumon keresztül alkalmazta a szabályzatot, összhangban kell lenniük azzal, hogy az új események megjelennek a Eseménynapló a Windows Logs>Security alatt.
Az auditszabályzatok parancssorból való teszteléséhez futtassa a következő parancsot:
auditpol.exe /get /category:*
További információkért tekintse meg az auditpol referenciadokumentációját.
Speciális naplózási házirend-beállítások konfigurálása a PowerShell használatával
Az alábbi műveletek bemutatják, hogyan módosíthatja a tartományvezérlő speciális naplózási házirend-beállításait a Defender for Identityhez szükséges módon a PowerShell használatával.
Kapcsolódó állapotproblémák: A Címtárszolgáltatások speciális naplózása nincs engedélyezve szükség szerint
A beállítások konfigurálásához futtassa a következőt:
Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]
A fenti parancsban:
Mode
megadja, hogy használniDomain
szeretné-e vagyLocalMachine
üzemmódot. MódbanDomain
a rendszer a csoportházirend-objektumokból gyűjti a beállításokat. MódbanLocalMachine
a rendszer összegyűjti a beállításokat a helyi gépről.Configuration
megadja, hogy melyik konfigurációt kell beállítani. Az összes konfiguráció beállítására használhatóAll
.CreateGpoDisabled
meghatározza, hogy a csoportházirend-objektumok létre lettek-e hozva és letiltva maradnak-e.SkipGpoLink
azt adja meg, hogy a csoportházirend-objektum hivatkozásai nem jönnek létre.Force
megadja, hogy a konfiguráció be van állítva, vagy a csoportházirend-objektumok az aktuális állapot ellenőrzése nélkül jönnek létre.
A naplózási szabályzatok megtekintéséhez használja a parancsot az Get-MDIConfiguration
aktuális értékek megjelenítéséhez:
Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>
A fenti parancsban:
Mode
megadja, hogy használniDomain
szeretné-e vagyLocalMachine
üzemmódot. MódbanDomain
a rendszer a csoportházirend-objektumokból gyűjti a beállításokat. MódbanLocalMachine
a rendszer összegyűjti a beállításokat a helyi gépről.Configuration
megadja, hogy melyik konfigurációt szeretné lekérni. Az összes konfiguráció lekérésére használhatóAll
.
Az auditszabályzatok teszteléséhez a Test-MDIConfiguration
paranccsal kaphat true
választ false
arra, hogy az értékek megfelelően vannak-e konfigurálva:
Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>
A fenti parancsban:
Mode
megadja, hogy használniDomain
szeretné-e vagyLocalMachine
üzemmódot. MódbanDomain
a rendszer a csoportházirend-objektumokból gyűjti a beállításokat. MódbanLocalMachine
a rendszer összegyűjti a beállításokat a helyi gépről.Configuration
megadja, hogy melyik konfigurációt kell tesztelni. Az összes konfiguráció tesztelésére használhatóAll
.
További információ: DefenderForIdentity PowerShell-hivatkozások:
NTLM-naplózás konfigurálása
Ez a szakasz a Windows 8004-es esemény naplózásához szükséges további konfigurációs lépéseket ismerteti.
Feljegyzés
- A Windows 8004 esemény gyűjtésére vonatkozó tartománycsoport-házirendeket csak a tartományvezérlőkre kell alkalmazni.
- Amikor egy Defender for Identity-érzékelő elemzi a Windows 8004-eseményt, a Defender for Identity NTLM hitelesítési tevékenységei a kiszolgáló által elért adatokkal bővülnek.
Kapcsolódó állapotproblémák: Az NTLM naplózása nincs engedélyezve
Az NTLM-naplózás konfigurálása:
Miután konfigurálta a kezdeti speciális naplózási házirend-beállításokat (a felhasználói felületen vagy a PowerShellen keresztül), nyissa meg a Csoportházirend-kezelést. Ezután lépjen az Alapértelmezett tartományvezérlők házirend>helyi házirendek>biztonsági beállításai elemre.
Konfigurálja a megadott biztonsági szabályzatokat az alábbiak szerint:
Biztonsági szabályzat beállítása Érték Hálózati biztonság: Az NTLM korlátozása: Kimenő NTLM-forgalom korlátozása távoli kiszolgálókra Az összes naplózása Hálózati biztonság: Az NTLM korlátozása: NTLM-hitelesítés naplózása ebben a tartományban Az összes engedélyezése Hálózati biztonság: Az NTLM korlátozása: Bejövő NTLM-forgalom naplózása Naplózás engedélyezése az összes fiókhoz
Ha például távoli kiszolgálók felé szeretné konfigurálni a kimenő NTLM-forgalmat, a Biztonsági beállítások területen kattintson duplán a Hálózati biztonság: NTLM korlátozása: Kimenő NTLM-forgalom távoli kiszolgálókra, majd válassza az Összes naplózása lehetőséget.
Tartományobjektum-naplózás konfigurálása
Az objektumváltozások , például a 4662-as esemény eseményeinek gyűjtéséhez konfigurálnia kell az objektumnaplózást a felhasználón, a csoporton, a számítógépen és más objektumokon is. Az alábbi eljárás azt ismerteti, hogyan engedélyezheti a naplózást az Active Directory-tartományban.
Fontos
Az eseménygyűjtés engedélyezése előtt tekintse át és ellenőrizze a szabályzatokat (a felhasználói felületen vagy a PowerShellen keresztül), hogy a tartományvezérlők megfelelően legyenek konfigurálva a szükséges események rögzítéséhez. Ha a naplózás megfelelően van konfigurálva, annak minimális hatással kell lennie a kiszolgáló teljesítményére.
Kapcsolódó állapotproblémák: A Címtárszolgáltatások objektumnaplózása nincs engedélyezve szükség szerint
Tartományobjektum-naplózás konfigurálása:
Lépjen a Active Directory - felhasználók és számítógépek konzolra.
Jelölje ki a naplózni kívánt tartományt.
Válassza a Nézet menüt, majd a Speciális szolgáltatások lehetőséget.
Kattintson a jobb gombbal a tartományra, és válassza a Tulajdonságok lehetőséget.
Nyissa meg a Biztonság lapot, majd válassza a Speciális lehetőséget.
A Speciális biztonsági beállítások területen válassza a Naplózás lapot, majd a Hozzáadás lehetőséget.
Válassza az Egyszerű kiválasztása lehetőséget.
Az Enter the object name to select (A kijelölendő objektum neve) területen adja meg a Mindenki nevet. Ezután válassza a Nevek>ellenőrzése OK gombot.
Ezután visszatér a naplózási bejegyzéshez. Végezze el a következő beállításokat:
A Típus beállításnál válassza a Sikeres elemet.
A Vonatkozó beállításnál válassza a Leszármazott felhasználó objektumokat.
Az Engedélyek csoportban görgessen le, és válassza az Összes törlése gombot.
Görgessen vissza, és válassza a Teljes vezérlőelem lehetőséget. Minden engedély ki van jelölve.
Törölje a lista tartalmának, az összes tulajdonság beolvasásának és az olvasási engedélyeknek a kijelölését, majd kattintson az OK gombra. Ez a lépés az összes tulajdonságbeállítást írásra állítja.
Most a címtárszolgáltatások minden lényeges módosítása 4662 eseményként jelenik meg az aktiválásukkor.
Ismételje meg az eljárás lépéseit, de az Applies esetében válassza ki a következő objektumtípusokat:
- Leszármazottcsoport-objektumok
- Leszármazott számítógépobjektumok
- Leszármazott msDS-GroupManagedServiceAccount-objektumok
- Leszármazott msDS-ManagedServiceAccount objektumok
Feljegyzés
Az összes leszármazott objektum naplózási engedélyeinek hozzárendelése is működni fog, de csak az utolsó lépésben részletezett objektumtípusokra van szüksége.
Naplózás konfigurálása az AD FS-en
Kapcsolódó állapotproblémák: Az AD FS-tároló naplózása nincs engedélyezve szükség szerint
Naplózás konfigurálása Active Directory összevonási szolgáltatások (AD FS) (AD FS):
Lépjen a Active Directory - felhasználók és számítógépek konzolra, és válassza ki azt a tartományt, ahol engedélyezni szeretné a naplókat.
Nyissa meg a Program Data>Microsoft>ADFS webhelyet.
Kattintson a jobb gombbal az ADFS-re, és válassza a Tulajdonságok lehetőséget.
Lépjen a Biztonság lapra, és válassza a Speciális>biztonsági beállítások lehetőséget. Ezután lépjen a Naplózás lapra, és válassza az Egyszerű kijelölése hozzáadása>lehetőséget.
Az Enter the object name to select (A kijelölendő objektum neve) területen adja meg a Mindenki nevet. Ezután válassza a Nevek>ellenőrzése OK gombot.
Ezután visszatér a naplózási bejegyzéshez. Végezze el a következő beállításokat:
- A Típus beállításnál válassza az Összes lehetőséget.
- A Vonatkozó beállításnál válassza az Ez az objektum és az összes leszármazott objektum lehetőséget.
- Az Engedélyek csoportban görgessen le, és válassza az Összes törlése lehetőséget. Görgessen fel, és válassza az Összes tulajdonság olvasása és az Összes tulajdonság írása lehetőséget.
Kattintson az OK gombra.
Részletes naplózás konfigurálása AD FS-eseményekhez
Az AD FS-kiszolgálókon futó érzékelőknek részletes naplózási szinttel kell rendelkezniük a releváns eseményekhez. Például a következő paranccsal konfigurálja a naplózási szintet részletesre:
Set-AdfsProperties -AuditLevel Verbose
Naplózás konfigurálása AD CS-n
Ha olyan dedikált kiszolgálóval dolgozik, amelyen az Active Directory tanúsítványszolgáltatások (AD CS) konfigurálva vannak, a naplózást az alábbiak szerint konfigurálhatja a dedikált riasztások és a biztonságos pontszámú jelentések megtekintéséhez:
Hozzon létre egy csoportházirendet, amely az AD CS-kiszolgálóra vonatkozik. Szerkessze és konfigurálja a következő naplózási beállításokat:
Nyissa meg a Számítógép konfigurációja\Házirendek\Windows-beállítások\Biztonsági beállítások\Speciális naplózási házirend-konfiguráció\Naplózási szabályzatok\Objektumhozzáférés\Audittanúsítvány-szolgáltatások lehetőséget.
Jelölje be a jelölőnégyzeteket a sikeres és sikertelen naplózási események konfigurálásához.
A hitelesítésszolgáltató (CA) naplózását az alábbi módszerek egyikével konfigurálhatja:
A hitelesítésszolgáltatói naplózás parancssor használatával történő konfigurálásához futtassa a következőt:
certutil –setreg CA\AuditFilter 127 net stop certsvc && net start certsvc
Ca-naplózás konfigurálása a grafikus felhasználói felület használatával:
Válassza a Hitelesítésszolgáltató indítása>(MMC Desktop-alkalmazás) lehetőséget. Kattintson a jobb gombbal a hitelesítésszolgáltató nevére, és válassza a Tulajdonságok lehetőséget.
Válassza a Naplózás lapot, jelölje ki az összes naplózni kívánt eseményt, majd válassza az Alkalmaz lehetőséget.
Feljegyzés
Ha nagy AD CS-adatbázissal dolgozik, az Active Directory tanúsítványszolgáltatások eseménynaplózásának indítása és leállítása újraindítási késéseket okozhat. Fontolja meg az irreleváns bejegyzések eltávolítását az adatbázisból. Másik lehetőségként tartózkodjon az ilyen típusú események engedélyezésétől.
Naplózás konfigurálása a Microsoft Entra Connecten
Naplózás konfigurálása a Microsoft Entra Connect-kiszolgálókon:
Hozzon létre egy csoportházirendet, amely a Microsoft Entra Connect-kiszolgálókra vonatkozik. Szerkessze és konfigurálja a következő naplózási beállításokat:
Nyissa meg a Számítógép konfigurációja\Házirendek\Windows-beállítások\Biztonsági beállítások\Speciális naplózási házirend konfigurálása\Naplózási szabályzatok\Bejelentkezés/Kijelentkezés\Naplózási bejelentkezés lehetőséget.
Jelölje be a jelölőnégyzeteket a sikeres és sikertelen naplózási események konfigurálásához.
Naplózás konfigurálása a konfigurációs tárolón
Feljegyzés
A konfigurációs tároló naplózása csak olyan környezetek esetében lesz újrakonfigurálva, amelyek jelenleg vagy korábban Microsoft Exchange-et használnak, mivel ezek a környezetek rendelkeznek egy Exchange-tárolóval a tartomány konfigurációs szakaszában.
Kapcsolódó állapotproblémák: A konfigurációs tároló naplózása nincs engedélyezve szükség szerint
Nyissa meg az ADSI Edit eszközt. Válassza a Futtatás indítása>, az Enter
ADSIEdit.msc
, majd az OK gombot.A Művelet menüben válassza a Csatlakozás lehetőséget.
A Kapcsolat beállításai párbeszédpanelEn, a Jól ismert elnevezési környezet kiválasztása csoportban válassza a Konfiguráció OK gombot>.
Bontsa ki a konfigurációs tárolót a konfigurációs csomópont megjelenítéséhez, amely a következővel kezdődik: "CN=Configuration,DC=...".
Kattintson a jobb gombbal a konfigurációs csomópontra, és válassza a Tulajdonságok lehetőséget.
Válassza a Biztonság lapot, majd a Speciális lehetőséget.
A Speciális biztonsági beállítások területen válassza a Naplózás lapot, majd a Hozzáadás lehetőséget.
Válassza az Egyszerű kiválasztása lehetőséget.
Az Enter the object name to select (A kijelölendő objektum neve) területen adja meg a Mindenki nevet. Ezután válassza a Nevek>ellenőrzése OK gombot.
Ezután visszatér a naplózási bejegyzéshez. Végezze el a következő beállításokat:
- A Típus beállításnál válassza az Összes lehetőséget.
- A Vonatkozó beállításnál válassza az Ez az objektum és az összes leszármazott objektum lehetőséget.
- Az Engedélyek csoportban görgessen le, és válassza az Összes törlése lehetőséget. Görgessen fel, és válassza az Összes tulajdonság írása lehetőséget.
Kattintson az OK gombra.
Régi konfigurációk frissítése
A Defender for Identity már nem igényel 1644-események naplózását. Ha engedélyezve van ez a beállításjegyzék-beállítás, eltávolíthatja azt.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001
Kapcsolódó tartalom
További információk:
- Eseménygyűjtemény a Microsoft Defender for Identity szolgáltatással
- Windows biztonsági naplózás
- Speciális biztonsági naplózási szabályzatok