Megosztás a következőn keresztül:

Naplózási szabályzatok konfigurálása Windows-eseménynaplókhoz

Az észlelések javítása és az olyan felhasználói műveletek további információinak összegyűjtése érdekében, mint az NTLM-bejelentkezések és a biztonsági csoportok módosításai, Microsoft Defender for Identity a Windows eseménynaplóiban megadott bejegyzésekre támaszkodik. A speciális naplózási házirend beállításainak megfelelő konfigurálása a tartományvezérlőkön elengedhetetlen ahhoz, hogy elkerülje az eseménynaplók hiányosságait és a Defender for Identity hiányos lefedettségét.

Ez a cikk bemutatja, hogyan konfigurálhatja a Speciális naplózási házirend beállításait a Defender for Identity-érzékelőhöz szükséges módon. Az adott eseménytípusok egyéb konfigurációit is ismerteti.

A Defender for Identity állapotproblémákat okoz az egyes forgatókönyvek esetében, ha észleli őket. További információ: Microsoft Defender for Identity állapotproblémák.

Előfeltételek

Jelentés készítése az aktuális konfigurációkról a PowerShell-lel

Mielőtt új esemény- és naplózási házirendeket hozna létre, javasoljuk, hogy futtassa a következő PowerShell-parancsot az aktuális tartománykonfigurációk jelentésének létrehozásához:

New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]

Az előző parancsban:

  • Path A a jelentés mentési útvonalát adja meg.
  • Modeazt adja meg, hogy a vagy LocalMachine a módot szeretné-e használniDomain. Módban Domain a beállításokat a rendszer a Csoportházirend objektumokból (GPO-kból) gyűjti össze. Módban LocalMachine a beállításokat a rendszer a helyi gépről gyűjti össze.
  • OpenHtmlReport megnyitja a HTML-jelentést a jelentés létrehozása után.

Ha például létre szeretne hozni egy jelentést, és meg szeretné nyitni azt az alapértelmezett böngészőben, futtassa a következő parancsot:

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

További információ: DefenderforIdentity PowerShell-referencia.

Tipp

A Domain módjelentés csak a tartományon csoportházirendként beállított konfigurációkat tartalmazza. Ha a tartományvezérlőkön helyileg vannak megadva beállítások, javasoljuk, hogy futtassa a Test-MdiReadiness.ps1 szkriptet is.

Tartományvezérlők naplózásának konfigurálása

Frissítse a speciális naplózási házirend beállításait és további konfigurációit bizonyos eseményekhez és eseménytípusokhoz, például felhasználókhoz, csoportokhoz, számítógépekhez és egyebekhez. A tartományvezérlők naplózási konfigurációi a következők:

További információ: Speciális biztonsági naplózás – gyakori kérdések.

Az alábbi eljárásokkal konfigurálhatja a naplózást az identitáshoz készült Defenderrel használt tartományvezérlőkön.

Speciális naplózási házirend-beállítások konfigurálása a felhasználói felületről

Ez az eljárás azt ismerteti, hogyan módosíthatja a tartományvezérlő speciális naplózási házirendjének beállításait a Defender for Identityhez a felhasználói felületen keresztül.

Kapcsolódó állapottal kapcsolatos probléma:A Címtárszolgáltatások speciális naplózása nincs szükség szerint engedélyezve

A Speciális naplózási házirend beállításainak konfigurálása:

  1. Jelentkezzen be a kiszolgálóra tartományi rendszergazdaként.

  2. Nyissa meg a Csoportházirend Management Szerkesztő a Kiszolgálókezelő>Tools>Csoportházirend Management webhelyről.

  3. Bontsa ki a Tartományvezérlők szervezeti egységek elemet, kattintson a jobb gombbal az Alapértelmezett tartományvezérlői házirend elemre, majd válassza a Szerkesztés lehetőséget.

    Képernyőkép a tartományvezérlők alapértelmezett házirendjének szerkesztésére szolgáló panelről.

    Megjegyzés:

    A házirendek beállításához használja az Alapértelmezett tartományvezérlők házirendet vagy egy dedikált csoportházirend-objektumot.

  4. A megnyíló ablakban lépjen a Számítógép-konfigurációs>házirendek>Windows-beállítások>Biztonsági beállítások területre. Az engedélyezni kívánt szabályzattól függően tegye a következőket:

    1. Lépjen a Speciális naplózási házirend konfigurációs naplózási>szabályzatai szakaszra.

      Képernyőkép a naplózási szabályzatok megnyitására szolgáló kijelölésekről.

    2. A Naplózási házirendek területen szerkessze az alábbi házirendeket, és válassza a Következő naplózási események konfigurálásasikeres és sikertelen eseményekhez lehetőséget.

      Naplózási szabályzat Alkategória Eseményazonosítók aktiválása
      Fiókbejelentkozás Hitelesítő adatok ellenőrzésének naplózása 4776
      Fiókkezelés Számítógépfiókok kezelésének naplózása* 4741, 4743
      Fiókkezelés Terjesztési csoport felügyeletének naplózása* 4753, 4763
      Fiókkezelés Biztonságicsoport-kezelés naplózása* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Fiókkezelés Felhasználói fiókok kezelésének naplózása 4726
      DS-hozzáférés Címtárszolgáltatás változásainak naplózása* 5136
      Rendszer Biztonságirendszer-bővítmény naplózása* 7045
      DS-hozzáférés Címtárszolgáltatás-hozzáférés naplózása 4662 – Ehhez az eseményhez tartományobjektumok naplózását is konfigurálnia kell.

      Megjegyzés:

      * A feljegyzett alkategóriák nem támogatják a hibaeseményeket. Javasoljuk azonban, hogy auditálás céljából vegye fel őket arra az esetre, ha a jövőben implementálnák őket. További információ: A számítógépfiókok kezelésének naplózása, a biztonsági csoportkezelés naplózása és a biztonságirendszer-bővítmény naplózása.

      A Naplózási biztonsági csoportok kezelésének konfigurálásához például a Fiókkezelés területen kattintson duplán a Biztonsági csoportkezelés naplózása elemre, majd válassza a Következő naplózási események konfigurálásasikeres és sikertelen eseményekhez lehetőséget.

      Képernyőkép a Biztonsági csoportkezelés tulajdonságainak naplózása párbeszédpanelről.

  5. Egy rendszergazda jogú parancssorból írja be a következőt gpupdate: .

  6. Miután a csoportházirend-objektumon keresztül alkalmazta a szabályzatot, meg kell felelnie annak, hogy az új események megjelennek a eseménymegtekintő a Windows Naplók>biztonsága területen.

    A naplózási szabályzatok parancssorból történő teszteléséhez futtassa a következő parancsot:

    auditpol.exe /get /category:*

További információért tekintse meg az auditpol referenciadokumentációját.

Speciális naplózási házirend-beállítások konfigurálása a PowerShell használatával

Az alábbi műveletek azt mutatják be, hogyan módosíthatja a tartományvezérlő speciális naplózási házirendjének beállításait a Defender for Identityhez szükséges módon a PowerShell használatával.

Kapcsolódó állapottal kapcsolatos probléma:A Címtárszolgáltatások speciális naplózása nincs szükség szerint engedélyezve

A beállítások konfigurálásához futtassa a következőt:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

Az előző parancsban:

  • Modeazt adja meg, hogy a vagy LocalMachine a módot szeretné-e használniDomain. Módban Domain a rendszer összegyűjti a beállításokat a Csoportházirend objektumokból. Módban LocalMachine a beállításokat a rendszer a helyi gépről gyűjti össze.
  • Configuration a beállítandó konfigurációt adja meg. Az összes konfiguráció beállításához használható All .
  • CreateGpoDisabled megadja, hogy a csoportházirend-objektumok létrejönnek-e, és letiltottként vannak-e megőrzve.
  • SkipGpoLink A azt adja meg, hogy a csoportházirend-objektum hivatkozásai nem jönnek létre.
  • Force azt adja meg, hogy a konfiguráció be van állítva, vagy a csoportházirend-objektumok az aktuális állapot ellenőrzése nélkül jönnek létre.

A naplózási szabályzatok megtekintéséhez használja a parancsot az Get-MDIConfiguration aktuális értékek megjelenítéséhez:

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Az előző parancsban:

  • Modeazt adja meg, hogy a vagy LocalMachine a módot szeretné-e használniDomain. Módban Domain a rendszer összegyűjti a beállításokat a Csoportházirend objektumokból. Módban LocalMachine a beállításokat a rendszer a helyi gépről gyűjti össze.
  • Configuration a lekérni kívánt konfigurációt határozza meg. A használatával All lekérheti az összes konfigurációt.

A naplózási szabályzatok teszteléséhez a Test-MDIConfiguration paranccsal kérhet le vagy falsetrue válaszolhat arra, hogy az értékek megfelelően vannak-e konfigurálva:

Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Az előző parancsban:

  • Modeazt adja meg, hogy a vagy LocalMachine a módot szeretné-e használniDomain. Módban Domain a rendszer összegyűjti a beállításokat a Csoportházirend objektumokból. Módban LocalMachine a beállításokat a rendszer a helyi gépről gyűjti össze.
  • Configuration A a tesztelni kívánt konfigurációt adja meg. A használatával All tesztelje az összes konfigurációt.

További információ: DefenderForIdentity PowerShell-hivatkozások:

NTLM-naplózás konfigurálása

Ez a szakasz a Windows 8004-es esemény naplózásához szükséges további konfigurációs lépéseket ismerteti.

Megjegyzés:

  • A Windows 8004 esemény gyűjtésére vonatkozó tartománycsoport-házirendeket csak a tartományvezérlőkre kell alkalmazni.
  • Amikor egy Defender for Identity-érzékelő elemzi a Windows 8004-eseményt, a Defender for Identity NTLM hitelesítési tevékenységei ki lesznek egészítve a kiszolgáló által elért adatokkal.

Kapcsolódó állapottal kapcsolatos probléma:Az NTLM-naplózás nincs engedélyezve

Az NTLM-naplózás konfigurálása:

  1. Miután konfigurálta a speciális naplózási házirend kezdeti beállításait (a felhasználói felületen vagy a PowerShellen keresztül), nyissa meg a Csoportházirend Managementet. Ezután lépjen az Alapértelmezett tartományvezérlők házirend>helyi házirendek>biztonsági beállításai menüpontra.

  2. Konfigurálja a megadott biztonsági szabályzatokat az alábbiak szerint:

    Biztonsági szabályzat beállítása Érték
    Hálózati biztonság: Az NTLM korlátozása: Kimenő NTLM-forgalom távoli kiszolgálókra Az összes naplózása
    Hálózati biztonság: Az NTLM korlátozása: NTLM-hitelesítés naplózása ebben a tartományban Az összes engedélyezése
    Hálózati biztonság: Az NTLM korlátozása: Bejövő NTLM-forgalom naplózása Naplózás engedélyezése az összes fiókhoz

Ha például távoli kiszolgálók felé irányuló kimenő NTLM-forgalmat szeretne konfigurálni, a Biztonsági beállítások területen kattintson duplán a Hálózati biztonság: Az NTLM korlátozása: Kimenő NTLM-forgalom távoli kiszolgálókra lehetőségre, majd válassza az Összes naplózása lehetőséget.

Képernyőkép a távoli kiszolgálók felé irányuló kimenő NTLM-forgalom naplózási konfigurációjáról.

Tartományobjektumok naplózásának konfigurálása

Az objektumváltozások eseményeinek (például a 4662-as eseményhez) gyűjtéséhez konfigurálnia kell az objektumnaplózást a felhasználón, a csoporton, a számítógépen és más objektumokon. Az alábbi eljárás azt ismerteti, hogyan engedélyezheti a naplózást az Active Directory-tartományban.

Fontos

Az eseménygyűjtés engedélyezése előtt tekintse át és naplózhatja a szabályzatokat (a felhasználói felületen vagy a PowerShellen keresztül), hogy a tartományvezérlők megfelelően legyenek konfigurálva a szükséges események rögzítéséhez. Ha a naplózás megfelelően van konfigurálva, minimális hatással kell lennie a kiszolgáló teljesítményére.

Kapcsolódó állapottal kapcsolatos probléma:A Címtárszolgáltatások objektumnaplózása nincs szükség szerint engedélyezve

Tartományobjektumok naplózásának konfigurálása:

  1. Nyissa meg a Active Directory - felhasználók és számítógépek konzolt.

  2. Válassza ki a naplózni kívánt tartományt.

  3. Válassza a Nézet menüt, majd a Speciális szolgáltatások lehetőséget.

  4. Kattintson a jobb gombbal a tartományra, és válassza a Tulajdonságok parancsot.

    Képernyőkép a tárolótulajdonságok megnyitására vonatkozó beállításokról.

  5. Lépjen a Biztonság lapra, majd válassza a Speciális lehetőséget.

    A speciális biztonsági tulajdonságok megnyitására szolgáló párbeszédpanel képernyőképe.

  6. A Speciális biztonsági beállítások területen válassza a Naplózás lapot, majd a Hozzáadás lehetőséget.

    A Speciális biztonsági beállítások párbeszédpanel Naplózás lapjának képernyőképe.

  7. Válassza a Rendszerbiztonsági tag kiválasztása lehetőséget.

    Képernyőkép a rendszerbiztonsági tag kiválasztására szolgáló gombról.

  8. Az Enter the object name to select (Adja meg a kijelölendő objektum nevét) területen adja meg a Mindenki nevet. Ezután válassza a Nevek> ellenőrzéseOK lehetőséget.

    Képernyőkép a Mindenki objektumnév megadásáról.

  9. Ezután visszatér a naplózási bejegyzéshez. Végezze el a következő beállításokat:

    1. A Típus mezőben válassza a Siker lehetőséget.

    2. A Hatókör mezőben válassza a Leszármazott felhasználói objektumok lehetőséget.

    3. Az Engedélyek területen görgessen le, és válassza az Összes törlése gombot.

      Képernyőkép az összes engedély törlésére szolgáló gombról.

    4. Görgessen vissza, és válassza a Teljes hozzáférés lehetőséget. Minden engedély ki van jelölve.

    5. Törölje a lista tartalmának, az Összes tulajdonság olvasása és az Olvasási engedélyek engedélyeinek kijelölését, majd kattintson az OK gombra. Ez a lépés az összes tulajdonságbeállítástÍrás értékre állítja.

      Képernyőkép az engedélyek kiválasztásáról.

      Most a címtárszolgáltatások minden lényeges módosítása 4662-eseményként jelenik meg, amikor azok aktiválódnak.

  10. Ismételje meg az eljárás lépéseit, de a Hatókör beállításnál válassza ki a következő objektumtípusokat 1

    • Leszármazottcsoport-objektumok
    • Leszármazott számítógép-objektumok
    • Leszármazott msDS-GroupManagedServiceAccount objektumok
    • Leszármazott msDS-ManagedServiceAccount objektumok
    • Leszármazott msDS-DelegatedManagedServiceAccount objektumok2

Megjegyzés:

  1. A naplózási engedélyek hozzárendelése az összes leszármazott objektumhoz is működne, de csak az utolsó lépésben részletezett objektumtípusokra van szüksége.
  2. Az msDS-DelegatedManagedServiceAccount osztály csak a legalább egy Windows Server 2025-ös tartományvezérlőt futtató tartományok esetében releváns.

Naplózás konfigurálása az AD FS-en

Kapcsolódó állapottal kapcsolatos probléma:Az AD FS-tároló naplózása nincs szükség szerint engedélyezve

A Active Directory összevonási szolgáltatások (AD FS) (AD FS) naplózásának konfigurálása:

  1. Lépjen a Active Directory - felhasználók és számítógépek konzolra, és válassza ki azt a tartományt, ahol engedélyezni szeretné a naplókat.

  2. Nyissa meg a ProgramAdatok>Microsoft>ADFS lehetőséget.

    Képernyőkép egy Active Directory összevonási szolgáltatások (AD FS) tárolóról.

  3. Kattintson a jobb gombbal az ADFS elemre, és válassza a Tulajdonságok lehetőséget.

  4. Lépjen a Biztonságlapra, és válassza a Speciális >speciális biztonsági beállítások lehetőséget. Ezután lépjen a Naplózás lapra, és válassza azAdd Select a principal (Résztvevő kiválasztása) lehetőséget>.

  5. Az Enter the object name to select (Adja meg a kijelölendő objektum nevét) területen adja meg a Mindenki nevet. Ezután válassza a Nevek> ellenőrzéseOK lehetőséget.

  6. Ezután visszatér a naplózási bejegyzéshez. Végezze el a következő beállításokat:

    • A Típus mezőben válassza az Összes lehetőséget.
    • A Hatókör mezőben válassza az Ez az objektum és az összes leszármazott objektum lehetőséget.
    • Az Engedélyek területen görgessen le, és válassza az Összes törlése lehetőséget. Görgessen felfelé, és válassza az Összes tulajdonság olvasása és Az összes tulajdonság írása lehetőséget.

    Képernyőkép a Active Directory összevonási szolgáltatások (AD FS) naplózási beállításairól.

  7. Kattintson az OK gombra.

Részletes naplózás konfigurálása AD FS-eseményekhez

Az AD FS-kiszolgálókon futó érzékelőknek részletes naplózási szinttel kell rendelkezniük a releváns eseményekhez. Például a következő paranccsal konfigurálhatja a naplózási szintet Részletes értékre:

Set-AdfsProperties -AuditLevel Verbose

Naplózás konfigurálása AD CS-n

Ha olyan dedikált kiszolgálóval dolgozik, amelyen konfigurálva van az Active Directory tanúsítványszolgáltatás (AD CS), konfigurálja a naplózást az alábbiak szerint a dedikált riasztások és a biztonsági pontszám jelentéseinek megtekintéséhez:

  1. Hozzon létre egy csoportházirendet, amely az AD CS-kiszolgálóra vonatkozik. Szerkessze, és konfigurálja a következő naplózási beállításokat:

    1. Lépjen a Számítógép konfigurációja\Házirendek\Windows-beállítások\Biztonsági beállítások\Speciális naplózási házirend konfigurálása\Naplózási házirendek\Objektumhozzáférés\Naplózási minősítési szolgáltatások területre.

    2. Jelölje be a sikeres éssikertelen naplózási események konfigurálásához szükséges jelölőnégyzeteket.

      Képernyőkép az Active Directory tanúsítványszolgáltatások naplózási eseményeinek konfigurálásáról a Csoportházirend Management Szerkesztő.

  2. Konfigurálja a hitelesítésszolgáltató (CA) naplózását az alábbi módszerek egyikével:

    • A hitelesítésszolgáltatói naplózás parancssor használatával történő konfigurálásához futtassa a következőt:

      certutil –setreg CA\AuditFilter 127 


net stop certsvc && net start certsvc

    • Ca-naplózás konfigurálása a grafikus felhasználói felület használatával:

      1. Válassza a Hitelesítésszolgáltató indítása >(MMC asztali alkalmazás) lehetőséget. Kattintson a jobb gombbal a hitelesítésszolgáltató nevére, és válassza a Tulajdonságok lehetőséget.

        A Hitelesítésszolgáltató párbeszédpanel képernyőképe.

      2. Válassza a Naplózás lapot, jelölje ki az összes naplózni kívánt eseményt, majd válassza az Alkalmaz lehetőséget.

        A hitelesítésszolgáltató tulajdonságainak Naplózás lapjának képernyőképe.

Megjegyzés:

Ha nagy AD CS-adatbázissal dolgozik, a Start and Stop Active Directory Certificate Services eseménynaplózásának konfigurálása újraindítási késéseket okozhat. Fontolja meg az irreleváns bejegyzések eltávolítását az adatbázisból. Másik lehetőségként tartózkodjon az ilyen típusú események engedélyezésétől.

Naplózás konfigurálása Microsoft Entra Connecten

A naplózás konfigurálása Microsoft Entra Connect-kiszolgálókon:

  • Hozzon létre egy csoportházirendet a Microsoft Entra Connect-kiszolgálókra való alkalmazáshoz. Szerkessze, és konfigurálja a következő naplózási beállításokat:

    1. Lépjen a Számítógép konfigurációja\Házirendek\Windows-beállítások\Biztonsági beállítások\Speciális naplózási házirend konfigurálása\Naplózási házirendek\Bejelentkezés/Kijelentkezés\Naplózási bejelentkezés területre.

    2. Jelölje be a sikeres éssikertelen naplózási események konfigurálásához szükséges jelölőnégyzeteket.

A Csoportházirend Management Szerkesztő képernyőképe.

Naplózás konfigurálása a konfigurációs tárolón

Megjegyzés:

A konfigurációs tároló naplózása csak azokhoz a környezetekhez szükséges, amelyeken jelenleg vagy korábban volt Microsoft Exchange, mivel ezekben a környezetekben található egy Exchange-tároló a tartomány Konfiguráció szakaszában.

Kapcsolódó állapottal kapcsolatos probléma:A konfigurációs tároló naplózása nincs szükség szerint engedélyezve

  1. Nyissa meg az ADSI-szerkesztő eszközt. Válassza a Futtatás indítása> lehetőséget, írja beADSIEdit.msc a kifejezést, majd kattintson az OK gombra.

  2. A Művelet menüben válassza a Csatlakozás lehetőséget.

  3. A Kapcsolatbeállítások párbeszédpanel Jól ismert elnevezési környezet kiválasztása területén válassza a Konfiguráció>OK lehetőséget.

  4. Bontsa ki a Konfiguráció tárolót a Konfiguráció csomópont megjelenítéséhez, amely a következővel kezdődik: "CN=Configuration,DC=...".

    Képernyőkép a CN-konfigurációs csomópont tulajdonságainak megnyitására szolgáló kijelölésekről.

  5. Kattintson a jobb gombbal a Konfiguráció csomópontra, és válassza a Tulajdonságok lehetőséget.

    Képernyőkép a Konfiguráció csomópont tulajdonságainak megnyitására szolgáló kijelölésekről.

  6. Válassza a Biztonság lapot, majd a Speciális lehetőséget.

  7. A Speciális biztonsági beállítások területen válassza a Naplózás lapot, majd a Hozzáadás lehetőséget.

  8. Válassza a Rendszerbiztonsági tag kiválasztása lehetőséget.

  9. Az Enter the object name to select (Adja meg a kijelölendő objektum nevét) területen adja meg a Mindenki nevet. Ezután válassza a Nevek> ellenőrzéseOK lehetőséget.

  10. Ezután visszatér a naplózási bejegyzéshez. Végezze el a következő beállításokat:

    • A Típus mezőben válassza az Összes lehetőséget.
    • A Hatókör mezőben válassza az Ez az objektum és az összes leszármazott objektum lehetőséget.
    • Az Engedélyek területen görgessen le, és válassza az Összes törlése lehetőséget. Görgessen felfelé, és válassza az Összes tulajdonság írása lehetőséget.

    Képernyőkép a konfigurációs tároló naplózási beállításairól.

  11. Kattintson az OK gombra.

Örökölt konfigurációk frissítése

A Defender for Identity már nem igényel 1644-események naplózását. Ha az alábbi beállítások bármelyike engedélyezve van, eltávolíthatja őket a beállításjegyzékből.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Kapcsolódó tartalom

További információ:

További lépés

Mik a Defender for Identity szerepkörei és engedélyei?