Megosztás a következőn keresztül:


Naplózási szabályzatok konfigurálása Windows-eseménynaplókhoz

Az észlelések javítása és a felhasználói műveletek, például az NTLM-bejelentkezések és a biztonsági csoportok módosításainak további információinak összegyűjtése érdekében a Microsoft Defender for Identity a Windows eseménynaplók adott bejegyzéseire támaszkodik. A speciális naplózási szabályzat beállításainak megfelelő konfigurálása a tartományvezérlőken elengedhetetlen az eseménynaplókban és az identitáshoz készült Defender hiányos lefedettségének elkerülése érdekében.

Ez a cikk bemutatja, hogyan konfigurálhatja a Speciális naplózási szabályzat beállításait a Defender for Identity-érzékelőhöz szükséges módon. Emellett az adott eseménytípusok egyéb konfigurációit is ismerteti.

A Defender for Identity állapotproblémákat okoz az egyes forgatókönyvek esetében, ha észlelik őket. További információ: Microsoft Defender for Identity health issues.

Előfeltételek

Jelentés készítése az aktuális konfigurációkról a PowerShell használatával

Mielőtt új esemény- és naplózási szabályzatokat hozna létre, javasoljuk, hogy futtassa a következő PowerShell-parancsot az aktuális tartománykonfigurációk jelentésének létrehozásához:

New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]

A fenti parancsban:

  • Path megadja a jelentések mentési útvonalát.
  • Mode megadja, hogy használni Domain szeretné-e vagy LocalMachine üzemmódot. Módban Domain a rendszer összegyűjti a beállításokat a csoportházirend-objektumokból (GPO-kból). Módban LocalMachine a rendszer összegyűjti a beállításokat a helyi gépről.
  • OpenHtmlReport megnyitja a HTML-jelentést a jelentés létrehozása után.

Ha például létre szeretne hozni egy jelentést, és meg szeretné nyitni az alapértelmezett böngészőben, futtassa a következő parancsot:

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

További információ: DefenderforIdentity PowerShell-referencia.

Tipp.

A Domain módjelentés csak a tartomány csoportházirendjeként beállított konfigurációkat tartalmazza. Ha a tartományvezérlőkön helyileg vannak meghatározva beállítások, javasoljuk, hogy futtassa a Test-MdiReadiness.ps1 szkriptet is.

Naplózás konfigurálása tartományvezérlőkhöz

Frissítse a speciális naplózási házirend beállításait és az adott események és eseménytípusok, például felhasználók, csoportok, számítógépek stb. speciális konfigurációit. A tartományvezérlők naplózási konfigurációi a következők:

További információ: Speciális biztonsági naplózás – gyakori kérdések.

Az alábbi eljárásokkal konfigurálhatja a naplózást azon tartományvezérlőken, amelyeket a Defender for Identity szolgáltatással használ.

Speciális naplózási házirend-beállítások konfigurálása a felhasználói felületről

Ez az eljárás azt ismerteti, hogyan módosíthatja a tartományvezérlő speciális naplózási szabályzatának beállításait a Defender for Identity esetében a felhasználói felületen keresztül.

Kapcsolódó állapotproblémák: A Címtárszolgáltatások speciális naplózása nincs engedélyezve szükség szerint

A Speciális naplózási házirend beállításainak konfigurálása:

  1. Jelentkezzen be a kiszolgálóra tartományi rendszergazdaként.

  2. Nyissa meg a csoportházirend-kezelő szerkesztőt a Kiszolgálókezelő> Tools csoportházirend-kezeléséből.>

  3. Bontsa ki a tartományvezérlők szervezeti egységeit, kattintson a jobb gombbal az Alapértelmezett tartományvezérlők házirendre, majd válassza a Szerkesztés lehetőséget.

    Képernyőkép a tartományvezérlők alapértelmezett házirendjének szerkesztésére szolgáló panelről.

    Feljegyzés

    A házirendek beállításához használja az Alapértelmezett tartományvezérlők házirendet vagy egy dedikált csoportházirend-objektumot.

  4. A megnyíló ablakban lépjen a Számítógép-konfigurációs>házirendek>Windows-beállítások>biztonsági beállításai elemre. Az engedélyezni kívánt szabályzattól függően tegye a következőket:

    1. Lépjen a Speciális naplózási házirend konfigurációs naplózási>szabályzatai elemre.

      Képernyőkép az auditszabályzatok megnyitására szolgáló kijelölésekről.

    2. A Naplózási szabályzatok csoportban szerkessze az alábbi szabályzatokat, és válassza a Következő naplózási események konfigurálása a sikeres és a sikertelen eseményekhez lehetőséget.

      Naplózási szabályzat Alkategória Eseményazonosítók aktiválása
      Fiókbejegyzés Hitelesítő adatok ellenőrzésének naplózása 4776
      Fiókkezelés Számítógépfiók-kezelés naplózása* 4741, 4743
      Fiókkezelés Terjesztési csoport felügyeletének naplózása* 4753, 4763
      Fiókkezelés Biztonsági csoport felügyeletének naplózása* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Fiókkezelés Felhasználói fiókok felügyeletének naplózása 4726
      DS-hozzáférés Címtárszolgáltatás változásainak naplózása* 5136
      Rendszer Biztonsági rendszer bővítményének naplózása* 7045
      DS-hozzáférés Címtárszolgáltatás-hozzáférés naplózása 4662 – Ehhez az eseményhez tartományobjektum-naplózást is konfigurálnia kell.

      Feljegyzés

      * A feljegyzett alkategóriák nem támogatják a hibaeseményeket. Javasoljuk azonban, hogy auditálás céljából vegye fel őket, ha a jövőben implementálják őket. További információ: Számítógépfiók-kezelés naplózása, biztonsági csoportkezelés naplózása és biztonsági rendszerbővítmény naplózása.

      Ha például a naplózási biztonsági csoportkezelést szeretné konfigurálni, kattintson duplán a Biztonsági csoport kezelése naplózása elemre, majd válassza a Következő naplózási események konfigurálása mind a sikeres, mind a sikertelen események esetében.

      Képernyőkép a Biztonsági csoport felügyeleti tulajdonságainak naplózása párbeszédpanelről.

  5. Egy rendszergazda jogú parancssorból írja be a következőt gpupdate: .

  6. Miután a csoportházirend-objektumon keresztül alkalmazta a szabályzatot, összhangban kell lenniük azzal, hogy az új események megjelennek a Eseménynapló a Windows Logs>Security alatt.

Az auditszabályzatok parancssorból való teszteléséhez futtassa a következő parancsot:

auditpol.exe /get /category:*

További információkért tekintse meg az auditpol referenciadokumentációját.

Speciális naplózási házirend-beállítások konfigurálása a PowerShell használatával

Az alábbi műveletek bemutatják, hogyan módosíthatja a tartományvezérlő speciális naplózási házirend-beállításait a Defender for Identityhez szükséges módon a PowerShell használatával.

Kapcsolódó állapotproblémák: A Címtárszolgáltatások speciális naplózása nincs engedélyezve szükség szerint

A beállítások konfigurálásához futtassa a következőt:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

A fenti parancsban:

  • Mode megadja, hogy használni Domain szeretné-e vagy LocalMachine üzemmódot. Módban Domain a rendszer a csoportházirend-objektumokból gyűjti a beállításokat. Módban LocalMachine a rendszer összegyűjti a beállításokat a helyi gépről.
  • Configuration megadja, hogy melyik konfigurációt kell beállítani. Az összes konfiguráció beállítására használható All .
  • CreateGpoDisabled meghatározza, hogy a csoportházirend-objektumok létre lettek-e hozva és letiltva maradnak-e.
  • SkipGpoLink azt adja meg, hogy a csoportházirend-objektum hivatkozásai nem jönnek létre.
  • Force megadja, hogy a konfiguráció be van állítva, vagy a csoportházirend-objektumok az aktuális állapot ellenőrzése nélkül jönnek létre.

A naplózási szabályzatok megtekintéséhez használja a parancsot az Get-MDIConfiguration aktuális értékek megjelenítéséhez:

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

A fenti parancsban:

  • Mode megadja, hogy használni Domain szeretné-e vagy LocalMachine üzemmódot. Módban Domain a rendszer a csoportházirend-objektumokból gyűjti a beállításokat. Módban LocalMachine a rendszer összegyűjti a beállításokat a helyi gépről.
  • Configuration megadja, hogy melyik konfigurációt szeretné lekérni. Az összes konfiguráció lekérésére használható All .

Az auditszabályzatok teszteléséhez a Test-MDIConfiguration paranccsal kaphat true választ false arra, hogy az értékek megfelelően vannak-e konfigurálva:

Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

A fenti parancsban:

  • Mode megadja, hogy használni Domain szeretné-e vagy LocalMachine üzemmódot. Módban Domain a rendszer a csoportházirend-objektumokból gyűjti a beállításokat. Módban LocalMachine a rendszer összegyűjti a beállításokat a helyi gépről.
  • Configuration megadja, hogy melyik konfigurációt kell tesztelni. Az összes konfiguráció tesztelésére használható All .

További információ: DefenderForIdentity PowerShell-hivatkozások:

NTLM-naplózás konfigurálása

Ez a szakasz a Windows 8004-es esemény naplózásához szükséges további konfigurációs lépéseket ismerteti.

Feljegyzés

  • A Windows 8004 esemény gyűjtésére vonatkozó tartománycsoport-házirendeket csak a tartományvezérlőkre kell alkalmazni.
  • Amikor egy Defender for Identity-érzékelő elemzi a Windows 8004-eseményt, a Defender for Identity NTLM hitelesítési tevékenységei a kiszolgáló által elért adatokkal bővülnek.

Kapcsolódó állapotproblémák: Az NTLM naplózása nincs engedélyezve

Az NTLM-naplózás konfigurálása:

  1. Miután konfigurálta a kezdeti speciális naplózási házirend-beállításokat (a felhasználói felületen vagy a PowerShellen keresztül), nyissa meg a Csoportházirend-kezelést. Ezután lépjen az Alapértelmezett tartományvezérlők házirend>helyi házirendek>biztonsági beállításai elemre.

  2. Konfigurálja a megadott biztonsági szabályzatokat az alábbiak szerint:

    Biztonsági szabályzat beállítása Érték
    Hálózati biztonság: Az NTLM korlátozása: Kimenő NTLM-forgalom korlátozása távoli kiszolgálókra Az összes naplózása
    Hálózati biztonság: Az NTLM korlátozása: NTLM-hitelesítés naplózása ebben a tartományban Az összes engedélyezése
    Hálózati biztonság: Az NTLM korlátozása: Bejövő NTLM-forgalom naplózása Naplózás engedélyezése az összes fiókhoz

Ha például távoli kiszolgálók felé szeretné konfigurálni a kimenő NTLM-forgalmat, a Biztonsági beállítások területen kattintson duplán a Hálózati biztonság: NTLM korlátozása: Kimenő NTLM-forgalom távoli kiszolgálókra, majd válassza az Összes naplózása lehetőséget.

Képernyőkép a távoli kiszolgálók felé irányuló kimenő NTLM-forgalom naplózási konfigurációjáról.

Tartományobjektum-naplózás konfigurálása

Az objektumváltozások , például a 4662-as esemény eseményeinek gyűjtéséhez konfigurálnia kell az objektumnaplózást a felhasználón, a csoporton, a számítógépen és más objektumokon is. Az alábbi eljárás azt ismerteti, hogyan engedélyezheti a naplózást az Active Directory-tartományban.

Fontos

Az eseménygyűjtés engedélyezése előtt tekintse át és ellenőrizze a szabályzatokat (a felhasználói felületen vagy a PowerShellen keresztül), hogy a tartományvezérlők megfelelően legyenek konfigurálva a szükséges események rögzítéséhez. Ha a naplózás megfelelően van konfigurálva, annak minimális hatással kell lennie a kiszolgáló teljesítményére.

Kapcsolódó állapotproblémák: A Címtárszolgáltatások objektumnaplózása nincs engedélyezve szükség szerint

Tartományobjektum-naplózás konfigurálása:

  1. Lépjen a Active Directory - felhasználók és számítógépek konzolra.

  2. Jelölje ki a naplózni kívánt tartományt.

  3. Válassza a Nézet menüt, majd a Speciális szolgáltatások lehetőséget.

  4. Kattintson a jobb gombbal a tartományra, és válassza a Tulajdonságok lehetőséget.

    Képernyőkép a tárolótulajdonságok megnyitására szolgáló kijelölésekről.

  5. Nyissa meg a Biztonság lapot, majd válassza a Speciális lehetőséget.

    Képernyőkép a speciális biztonsági tulajdonságok megnyitására szolgáló párbeszédpanelről.

  6. A Speciális biztonsági beállítások területen válassza a Naplózás lapot, majd a Hozzáadás lehetőséget.

    Képernyőkép a Naplózás lapról a Speciális biztonsági beállítások párbeszédpanelen.

  7. Válassza az Egyszerű kiválasztása lehetőséget.

    Képernyőkép a főnév kiválasztására szolgáló gombról.

  8. Az Enter the object name to select (A kijelölendő objektum neve) területen adja meg a Mindenki nevet. Ezután válassza a Nevek>ellenőrzése OK gombot.

    Képernyőkép a Mindenki objektumnevének megadásáról.

  9. Ezután visszatér a naplózási bejegyzéshez. Végezze el a következő beállításokat:

    1. A Típus beállításnál válassza a Sikeres elemet.

    2. A Vonatkozó beállításnál válassza a Leszármazott felhasználó objektumokat.

    3. Az Engedélyek csoportban görgessen le, és válassza az Összes törlése gombot.

      Képernyőkép az összes engedély törlésére szolgáló gombról.

    4. Görgessen vissza, és válassza a Teljes vezérlőelem lehetőséget. Minden engedély ki van jelölve.

    5. Törölje a lista tartalmának, az összes tulajdonság beolvasásának és az olvasási engedélyeknek a kijelölését, majd kattintson az OK gombra. Ez a lépés az összes tulajdonságbeállítást írásra állítja.

      Képernyőkép az engedélyek kiválasztásáról.

      Most a címtárszolgáltatások minden lényeges módosítása 4662 eseményként jelenik meg az aktiválásukkor.

  10. Ismételje meg az eljárás lépéseit, de az Applies esetében válassza ki a következő objektumtípusokat:

    • Leszármazottcsoport-objektumok
    • Leszármazott számítógépobjektumok
    • Leszármazott msDS-GroupManagedServiceAccount-objektumok
    • Leszármazott msDS-ManagedServiceAccount objektumok

Feljegyzés

Az összes leszármazott objektum naplózási engedélyeinek hozzárendelése is működni fog, de csak az utolsó lépésben részletezett objektumtípusokra van szüksége.

Naplózás konfigurálása az AD FS-en

Kapcsolódó állapotproblémák: Az AD FS-tároló naplózása nincs engedélyezve szükség szerint

Naplózás konfigurálása Active Directory összevonási szolgáltatások (AD FS) (AD FS):

  1. Lépjen a Active Directory - felhasználók és számítógépek konzolra, és válassza ki azt a tartományt, ahol engedélyezni szeretné a naplókat.

  2. Nyissa meg a Program Data>Microsoft>ADFS webhelyet.

    Képernyőkép egy Active Directory összevonási szolgáltatások (AD FS) tárolóról.

  3. Kattintson a jobb gombbal az ADFS-re, és válassza a Tulajdonságok lehetőséget.

  4. Lépjen a Biztonság lapra, és válassza a Speciális>biztonsági beállítások lehetőséget. Ezután lépjen a Naplózás lapra, és válassza az Egyszerű kijelölése hozzáadása>lehetőséget.

  5. Az Enter the object name to select (A kijelölendő objektum neve) területen adja meg a Mindenki nevet. Ezután válassza a Nevek>ellenőrzése OK gombot.

  6. Ezután visszatér a naplózási bejegyzéshez. Végezze el a következő beállításokat:

    • A Típus beállításnál válassza az Összes lehetőséget.
    • A Vonatkozó beállításnál válassza az Ez az objektum és az összes leszármazott objektum lehetőséget.
    • Az Engedélyek csoportban görgessen le, és válassza az Összes törlése lehetőséget. Görgessen fel, és válassza az Összes tulajdonság olvasása és az Összes tulajdonság írása lehetőséget.

    Képernyőkép a Active Directory összevonási szolgáltatások (AD FS) naplózási beállításairól.

  7. Kattintson az OK gombra.

Részletes naplózás konfigurálása AD FS-eseményekhez

Az AD FS-kiszolgálókon futó érzékelőknek részletes naplózási szinttel kell rendelkezniük a releváns eseményekhez. Például a következő paranccsal konfigurálja a naplózási szintet részletesre:

Set-AdfsProperties -AuditLevel Verbose

Naplózás konfigurálása AD CS-n

Ha olyan dedikált kiszolgálóval dolgozik, amelyen az Active Directory tanúsítványszolgáltatások (AD CS) konfigurálva vannak, a naplózást az alábbiak szerint konfigurálhatja a dedikált riasztások és a biztonságos pontszámú jelentések megtekintéséhez:

  1. Hozzon létre egy csoportházirendet, amely az AD CS-kiszolgálóra vonatkozik. Szerkessze és konfigurálja a következő naplózási beállításokat:

    1. Nyissa meg a Számítógép konfigurációja\Házirendek\Windows-beállítások\Biztonsági beállítások\Speciális naplózási házirend-konfiguráció\Naplózási szabályzatok\Objektumhozzáférés\Audittanúsítvány-szolgáltatások lehetőséget.

    2. Jelölje be a jelölőnégyzeteket a sikeres és sikertelen naplózási események konfigurálásához.

      Képernyőkép az Active Directory tanúsítványszolgáltatások naplózási eseményeinek konfigurálásáról a Csoportházirend-kezelési szerkesztőben.

  2. A hitelesítésszolgáltató (CA) naplózását az alábbi módszerek egyikével konfigurálhatja:

    • A hitelesítésszolgáltatói naplózás parancssor használatával történő konfigurálásához futtassa a következőt:

      certutil –setreg CA\AuditFilter 127 
      
      
      net stop certsvc && net start certsvc
      
    • Ca-naplózás konfigurálása a grafikus felhasználói felület használatával:

      1. Válassza a Hitelesítésszolgáltató indítása>(MMC Desktop-alkalmazás) lehetőséget. Kattintson a jobb gombbal a hitelesítésszolgáltató nevére, és válassza a Tulajdonságok lehetőséget.

        Képernyőkép a Hitelesítésszolgáltató párbeszédpanelről.

      2. Válassza a Naplózás lapot, jelölje ki az összes naplózni kívánt eseményt, majd válassza az Alkalmaz lehetőséget.

        Képernyőkép a hitelesítésszolgáltató tulajdonságainak Naplózás lapján.

Feljegyzés

Ha nagy AD CS-adatbázissal dolgozik, az Active Directory tanúsítványszolgáltatások eseménynaplózásának indítása és leállítása újraindítási késéseket okozhat. Fontolja meg az irreleváns bejegyzések eltávolítását az adatbázisból. Másik lehetőségként tartózkodjon az ilyen típusú események engedélyezésétől.

Naplózás konfigurálása a Microsoft Entra Connecten

Naplózás konfigurálása a Microsoft Entra Connect-kiszolgálókon:

  • Hozzon létre egy csoportházirendet, amely a Microsoft Entra Connect-kiszolgálókra vonatkozik. Szerkessze és konfigurálja a következő naplózási beállításokat:

    1. Nyissa meg a Számítógép konfigurációja\Házirendek\Windows-beállítások\Biztonsági beállítások\Speciális naplózási házirend konfigurálása\Naplózási szabályzatok\Bejelentkezés/Kijelentkezés\Naplózási bejelentkezés lehetőséget.

    2. Jelölje be a jelölőnégyzeteket a sikeres és sikertelen naplózási események konfigurálásához.

Képernyőkép a Csoportházirend-kezelési szerkesztőről.

Naplózás konfigurálása a konfigurációs tárolón

Feljegyzés

A konfigurációs tároló naplózása csak olyan környezetek esetében lesz újrakonfigurálva, amelyek jelenleg vagy korábban Microsoft Exchange-et használnak, mivel ezek a környezetek rendelkeznek egy Exchange-tárolóval a tartomány konfigurációs szakaszában.

Kapcsolódó állapotproblémák: A konfigurációs tároló naplózása nincs engedélyezve szükség szerint

  1. Nyissa meg az ADSI Edit eszközt. Válassza a Futtatás indítása>, az EnterADSIEdit.msc, majd az OK gombot.

  2. A Művelet menüben válassza a Csatlakozás lehetőséget.

  3. A Kapcsolat beállításai párbeszédpanelEn, a Jól ismert elnevezési környezet kiválasztása csoportban válassza a Konfiguráció OK gombot>.

  4. Bontsa ki a konfigurációs tárolót a konfigurációs csomópont megjelenítéséhez, amely a következővel kezdődik: "CN=Configuration,DC=...".

  5. Kattintson a jobb gombbal a konfigurációs csomópontra, és válassza a Tulajdonságok lehetőséget.

    Képernyőkép a konfigurációs csomópont tulajdonságainak megnyitására szolgáló kijelölésekről.

  6. Válassza a Biztonság lapot, majd a Speciális lehetőséget.

  7. A Speciális biztonsági beállítások területen válassza a Naplózás lapot, majd a Hozzáadás lehetőséget.

  8. Válassza az Egyszerű kiválasztása lehetőséget.

  9. Az Enter the object name to select (A kijelölendő objektum neve) területen adja meg a Mindenki nevet. Ezután válassza a Nevek>ellenőrzése OK gombot.

  10. Ezután visszatér a naplózási bejegyzéshez. Végezze el a következő beállításokat:

    • A Típus beállításnál válassza az Összes lehetőséget.
    • A Vonatkozó beállításnál válassza az Ez az objektum és az összes leszármazott objektum lehetőséget.
    • Az Engedélyek csoportban görgessen le, és válassza az Összes törlése lehetőséget. Görgessen fel, és válassza az Összes tulajdonság írása lehetőséget.

    Képernyőkép a konfigurációs tároló naplózási beállításairól.

  11. Kattintson az OK gombra.

Régi konfigurációk frissítése

A Defender for Identity már nem igényel 1644-események naplózását. Ha engedélyezve van ez a beállításjegyzék-beállítás, eltávolíthatja azt.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

További információk:

Következő lépés