Megosztás a következőn keresztül:

Windows-eseménynaplózás konfigurálása

Ez a cikk a Windows eseménynaplózásának konfigurálását ismerteti.

A Defender for Identity windowsos eseménynapló-bejegyzéseket használ adott tevékenységek észleléséhez. Ezeket az adatokat különböző észlelési forgatókönyvekben használják, és speciális veszélyforrás-keresési lekérdezésekben használhatók. Az optimális védelem és monitorozás érdekében győződjön meg arról, hogy a Windows-események gyűjteménye megfelelően van konfigurálva.

A Defender for Identity állapotriasztásokat hoz létre, ha helytelen Windows-eseménynaplózási konfigurációkat észlel. További információ: állapotriasztások Microsoft Defender for Identity.

Ha megfelelően konfigurálja a naplózást, az minimális hatással van a kiszolgáló teljesítményére.

Az első lépések

Mielőtt megkezdené a Windows-eseménygyűjtés konfigurálását, javasoljuk, hogy futtasson egy PowerShell-szkriptet az aktuális konfiguráció ellenőrzéséhez, és készítsen jelentést a szükséges módosításokról:

  1. Töltse le a Defender for Identity PowerShell-modult.

  2. Futtassa a Defender for Identity New-MDIConfigurationReport PowerShell-modult az aktuális Windows-eseménynaplózási konfiguráció jelentésének létrehozásához.

        New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -Identity "DOMAIN\ServiceAccountName" -OpenHtmlReport

    Hely:

    • Path A a jelentés mentési könyvtára.
    • Mode azt jelzi, hogy honnan gyűjti a rendszer a beállításokat.
      • Módban Domain a beállításokat a rendszer a Csoportházirend objektumokból (GPO-kból) gyűjti össze. A használatakor -Mode Domainadja meg a paramétert az -Identity interaktív kérdés elkerüléséhez.
      • Módban LocalMachine a beállításokat a rendszer a helyi gépről gyűjti össze.
    • OpenHtmlReport megnyitja a HTML-jelentést a jelentés létrehozása után. Ha például létre szeretne hozni egy jelentést, és meg szeretné nyitni azt az alapértelmezett böngészőben, futtassa a következő parancsot:
    New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

    További információ: New-MDIConfigurationReport.

  3. A Windows-eseménygyűjtés konfigurálása előtt tekintse át a jelentést, és végezze el a szükséges módosításokat.

A Defender for Identity konfigurálása Windows-események automatikus gyűjtésére (előzetes verzió)

Megjegyzés:

Az automatikus Windows-eseménynaplózás a Defender for Identity érzékelő 3.x verzióját használó tartományvezérlők esetében támogatott.

Az automatikus Windows-naplózás automatikusan végrehajtja az összes konfigurációs feladatot:

  • Ellenőrzi a Windows aktuális eseménynaplózási konfigurációját.
  • Azonosítja a konfiguráció esetleges hiányosságait.
  • Az érzékelő minden szükséges módosítást alkalmaz, beleértve a manuális konfiguráció összes lépését:
    • Címtárszolgáltatások speciális naplózása: Naplóbejegyzéseket ad hozzá a tartomány gyökérobjektumának System Access Control List (SACL) listájához a szükséges címtárszolgáltatás-naplózás engedélyezéséhez.
    • NTLM-naplózás – Standard Windows beállításjegyzékBELI API-kkal konfigurálja a szükséges NTLM-naplózási beállításjegyzék-értékeket.
    • Tartományi objektum naplózása – Módosítja a SACL-t a konfigurációs partíción a címtárszolgáltatás konfigurációs objektumainak módosításainak rögzítéséhez.
    • ADFS-naplózás – Naplóbejegyzéseket ad hozzá az objektum AD FS konfigurációs tárolójának System Access Control List (SACL) listájához az AD FS-hez kapcsolódó címtárobjektumok naplózásának engedélyezéséhez.
    • Windows-naplózási szabályzat – A helyi Windows naplózási házirendeket a Windows helyi biztonsági szolgáltató (LSA) naplózási házirendjének API-jaival konfigurálja.
  • A naplózási beállításokat közvetlenül a tartományvezérlő helyi rendszerszabályzatára alkalmazza.
  • Állapotriasztásokat küld a konfigurációs állapotról.
  • 24 óránként egyszer fut le.

Megjegyzés:

  • Ha nem kapcsolja be az automatikus Windows-naplózást, manuálisan vagy a PowerShell használatávalkell konfigurálnia a Windows eseménynaplózását.
  • A csoportházirend-objektum beállításai ütközhetnek az érzékelő által beállított helyi beállításokkal.

Az automatikus Windows-naplózás bekapcsolása

  1. A Microsoft Defender portálon lépjen a Beállítások, majd az Identitások elemre.
  2. Az Általános szakaszban válassza a Speciális szolgáltatások lehetőséget.
  3. Kapcsolja be a Windows automatikus naplózási konfigurációját.

A Windows-eseménygyűjtés manuális konfigurálása

Ez a szakasz az alábbi esetekben a Windows-eseménygyűjtés manuális konfigurálására vonatkozó utasításokat tartalmazza:

Naplózás konfigurálása tartományvezérlőkön

A naplózás tartományvezérlőn való konfigurálásához hajtsa végre a következő lépéseket:

A Címtárszolgáltatások speciális naplózásának konfigurálása

Ez a szakasz azt ismerteti, hogyan módosíthatja a tartományvezérlő Speciális naplózási házirend beállításait a Defender for Identity esetében.

  1. Jelentkezzen be a kiszolgálóra tartományi rendszergazdaként.

  2. Nyissa meg a Csoportházirend Management Editort a Kiszolgálókezelő>Tools>Csoportházirend Management webhelyről.

  3. Bontsa ki a Tartományvezérlők szervezeti egységek elemet, kattintson a jobb gombbal az Alapértelmezett tartományvezérlői házirend elemre, majd válassza a Szerkesztés lehetőséget.

    Képernyőkép a tartományvezérlők alapértelmezett házirendjének szerkesztésére szolgáló panelről.

    Megjegyzés:

    A házirendek beállításához használja az Alapértelmezett tartományvezérlők házirendet vagy egy dedikált csoportházirend-objektumot.

  4. Lépjen a Számítógép-konfigurációs>házirendek>Windows-beállítások>Biztonsági beállítások területre. Az engedélyezni kívánt szabályzattól függően tegye a következőket:

    1. Lépjen a Speciális naplózási házirend konfigurációs naplózási>szabályzatai szakaszra.

      Képernyőkép a naplózási szabályzat megnyitására szolgáló lehetőségekről.

    2. A Naplózási házirendek területen szerkessze az alábbi házirendeket, és válassza a Következő naplózási események konfigurálásasikeres és sikertelen eseményekhez lehetőséget.

      Naplózási szabályzat Alkategória Eseményazonosítók aktiválása
      Fiókbejelentkozás Hitelesítő adatok ellenőrzésének naplózása 4776
      Fiókkezelés Számítógépfiókok kezelésének naplózása* 4741, 4743
      Fiókkezelés Terjesztési csoport felügyeletének naplózása* 4753, 4763
      Fiókkezelés Biztonságicsoport-kezelés naplózása* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Fiókkezelés Felhasználói fiókok kezelésének naplózása 4726
      DS-hozzáférés Címtárszolgáltatás változásainak naplózása* 5136
      Rendszer Biztonságirendszer-bővítmény naplózása* 7045
      DS-hozzáférés Címtárszolgáltatás-hozzáférés naplózása 4662 – Ehhez az eseményhez tartományobjektumok naplózását is konfigurálnia kell.

      Megjegyzés:

      * Ezek az alkategóriák nem támogatják a hibaeseményeket. Javasoljuk, hogy auditálási célokra adja hozzá őket, ha a jövőben implementálják őket. További információ: A számítógépfiókok kezelésének naplózása, a biztonsági csoportkezelés naplózása és a biztonságirendszer-bővítmény naplózása.

    3. A naplózási biztonsági csoportok felügyeletének konfigurálásához a Fiókkezelés területen kattintson duplán a Biztonsági csoportkezelés naplózása elemre, majd válassza a Következő naplózási események konfigurálásamind a sikeres , mind a sikertelen eseményekhez lehetőséget.

      Képernyőkép a naplózási biztonsági csoport felügyeleti tulajdonságainak naplóról.

  5. Egy rendszergazda jogú parancssorból írja be a következőt gpupdate: .

  6. Miután a csoportházirend-objektumon keresztül alkalmazta a szabályzatot, győződjön meg arról, hogy az új események megjelennek a eseménymegtekintő a Windows Naplók>biztonsága területen.

    A naplózási szabályzatok parancssorból történő teszteléséhez futtassa a következő parancsot:

    auditpol.exe /get /category:*

További információért tekintse meg az auditpol referenciadokumentációját.

NTLM-naplózás konfigurálása

Amikor egy Defender for Identity-érzékelő elemzi a Windows 8004-eseményt, a Defender for Identity NTLM hitelesítési tevékenységei ki lesznek egészítve a kiszolgáló által elért adatokkal. Ez a szakasz a Windows 8004-es esemény naplózásához szükséges konfigurációs lépéseket ismerteti.

Megjegyzés:

Tartománycsoport-házirendek alkalmazásával csak a tartományvezérlőkre gyűjtse a Windows 8004-eseményt.

Az NTLM-naplózás konfigurálása:

  1. Nyissa meg Csoportházirend Felügyeletet, és lépjen az Alapértelmezett tartományvezérlők házirendje>Helyi házirendek>biztonsági beállításai menüpontra.

  2. Konfigurálja a megadott biztonsági szabályzatokat az alábbiak szerint:

    Biztonsági szabályzat beállítása Érték
    Hálózati biztonság: Az NTLM korlátozása: Kimenő NTLM-forgalom távoli kiszolgálókra Az összes naplózása
    Hálózati biztonság: Az NTLM korlátozása: NTLM-hitelesítés naplózása ebben a tartományban Az összes engedélyezése
    Hálózati biztonság: Az NTLM korlátozása: Bejövő NTLM-forgalom naplózása Naplózás engedélyezése az összes fiókhoz

  3. A távoli kiszolgálók felé irányuló kimenő NTLM-forgalom konfigurálásához a Biztonsági beállítások területen kattintson duplán a Hálózati biztonság: Az NTLM korlátozása: Kimenő NTLM-forgalom távoli kiszolgálókra elemre, majd válassza az Összes naplózása lehetőséget.

Képernyőkép a távoli kiszolgálók felé irányuló kimenő NTLM-forgalom naplózási konfigurációjáról.

Tartományobjektumok naplózásának konfigurálása

Az objektumváltozások eseményeinek (például a 4662-as eseményhez) gyűjtéséhez konfigurálnia kell az objektumnaplózást a felhasználón, a csoporton, a számítógépen és más objektumokon. Az alábbi eljárás azt ismerteti, hogyan engedélyezheti a naplózást az Active Directory-tartományban.

Tartományobjektumok naplózásának konfigurálása:

  1. Nyissa meg a Active Directory - felhasználók és számítógépek konzolt.

  2. Válassza ki a naplózni kívánt tartományt.

  3. Válassza a Nézet menüt, majd a Speciális szolgáltatások lehetőséget.

  4. Kattintson a jobb gombbal a tartományra, és válassza a Tulajdonságok parancsot.

    Képernyőkép a tárolótulajdonságok megnyitására vonatkozó beállításokról.

  5. Lépjen a Biztonság lapra, majd válassza a Speciális lehetőséget.

    A speciális biztonsági tulajdonságok megnyitására szolgáló párbeszédpanel képernyőképe.

  6. A Speciális biztonsági beállítások területen válassza a Naplózás lapot, majd a Hozzáadás lehetőséget.

    A Speciális biztonsági beállítások párbeszédpanel Naplózás lapjának képernyőképe.

  7. Válassza a Rendszerbiztonsági tag kiválasztása lehetőséget.

    Képernyőkép a rendszerbiztonsági tag kiválasztására szolgáló gombról.

  8. Az Enter the object name to select (Adja meg a kijelölendő objektum nevét) területen adja meg a Mindenki nevet. Ezután válassza a Nevek> ellenőrzéseOK lehetőséget.

    Képernyőkép a Mindenki objektumnév megadásáról.

  9. Vissza a naplózási bejegyzéshez, és végezze el a következő beállításokat:

    1. A Típus mezőben válassza a Siker lehetőséget.

    2. A Hatókör mezőben válassza a Leszármazott felhasználói objektumok lehetőséget.

    3. Az Engedélyek területen görgessen le, és válassza az Összes törlése gombot.

      Képernyőkép az összes engedély törlésére szolgáló gombról.

    4. Görgessen vissza, és válassza a Teljes hozzáférés lehetőséget. Minden engedély ki van jelölve.

    5. Törölje a lista tartalmának, az Összes tulajdonság olvasása és az Olvasási engedélyek engedélyeinek kijelölését, majd kattintson az OK gombra. Ez a lépés az összes tulajdonságbeállítástÍrás értékre állítja.

      Képernyőkép az engedélyek kiválasztásáról.

      Most a címtárszolgáltatások összes releváns módosítása 4662 eseményként jelenik meg, amikor azok aktiválódnak.

  10. Ismételje meg az eljárás lépéseit, de a Hatókör beállításnál válassza ki a következő objektumtípusokat 1

    • Leszármazottcsoport-objektumok
    • Leszármazott számítógép-objektumok
    • Leszármazott msDS-GroupManagedServiceAccount objektumok
    • Leszármazott msDS-ManagedServiceAccount objektumok
    • Leszármazott msDS-DelegatedManagedServiceAccount objektumok2

Megjegyzés:

  • A minden leszármazott objektumhoz hozzárendelhet naplózási engedélyeket, csak az utolsó lépésben részletezett objektumtípusok használatával.
  • Az msDS-DelegatedManagedServiceAccount osztály csak a legalább egy Windows Server 2025-ös tartományvezérlőt futtató tartományok esetében releváns.

Naplózás konfigurálása az AD FS-en

Ez a szakasz a Defender for Identity Active Directory összevonási szolgáltatások (AD FS) (AD FS) naplózási konfigurációinak módosítását ismerteti.

Objektumszintű naplózás az AD FS konfigurációs mappájában

  1. Lépjen a Active Directory - felhasználók és számítógépek konzolra, és válassza ki azt a tartományt, ahol engedélyezni szeretné a naplókat.

  2. Nyissa meg a ProgramAdatok>Microsoft>ADFS lehetőséget.

    Képernyőkép egy Active Directory összevonási szolgáltatások (AD FS) tárolóról.

  3. Kattintson a jobb gombbal az ADFS elemre, és válassza a Tulajdonságok lehetőséget.

  4. Lépjen a Biztonságlapra, és válassza a Speciális >speciális biztonsági beállítások lehetőséget. Ezután lépjen a Naplózás lapra, és válassza azAdd Select a principal (Résztvevő kiválasztása) lehetőséget>.

  5. Az Enter the object name to select (Adja meg a kijelölendő objektum nevét) területen adja meg a Mindenki nevet. Ezután válassza a Nevek> ellenőrzéseOK lehetőséget.

  6. Visszatérés a naplózási bejegyzéshez. Végezze el a következő beállításokat:

    • A Típus mezőben válassza az Összes lehetőséget.
    • A Hatókör mezőben válassza az Ez az objektum és az összes leszármazott objektum lehetőséget.
    • Az Engedélyek területen görgessen le, és válassza az Összes törlése lehetőséget. Görgessen felfelé, és válassza az Összes tulajdonság olvasása és Az összes tulajdonság írása lehetőséget.

    Képernyőkép a Active Directory összevonási szolgáltatások (AD FS) naplózási beállításairól.

  7. Kattintson az OK gombra.

Csoportházirend konfigurálása eseménynaplózáshoz

  1. Hozzon létre egy csoportházirendet a Active Directory összevonási szolgáltatások (AD FS) (AD FS) alkalmazásához.

  2. Konfigurálja a következő naplózási beállításokat:

    1. Lépjen a Számítógép konfigurációja\Házirendek\Windows-beállítások\Biztonsági beállítások\Speciális naplózási házirend konfigurálása\Naplózási házirendek\Objektumhozzáférés\Létrehozott naplózási alkalmazás területre.

    2. Jelölje be a sikeres éssikertelen naplózási események konfigurálásához szükséges jelölőnégyzeteket.

    Képernyőkép a speciális naplózási naplózási szabályzat konfigurációjáról.

Részletes naplózás konfigurálása AD FS-eseményekhez

Az AD FS-kiszolgálókon futó érzékelőknek részletes naplózási szinttel kell rendelkezniük a releváns eseményekhez.

A naplózási szintet a következő PowerShell-paranccsal konfigurálhatja Verbose értékre:

Set-AdfsProperties -AuditLevel Verbose

Naplózás konfigurálása AD CS-n

Ha olyan dedikált kiszolgálóval dolgozik, amelyen konfigurálva van az Active Directory tanúsítványszolgáltatás (AD CS), konfigurálja a naplózást az alábbiak szerint a dedikált riasztások és a biztonsági pontszám jelentéseinek megtekintéséhez:

  1. Hozzon létre egy csoportházirendet, amely az AD CS-kiszolgálóra vonatkozik. Szerkessze, és konfigurálja a következő naplózási beállításokat:

    1. Lépjen a Számítógép konfigurációja\Házirendek\Windows-beállítások\Biztonsági beállítások\Speciális naplózási házirend konfigurálása\Naplózási házirendek\Objektumhozzáférés\Naplózási minősítési szolgáltatások területre.

    2. Jelölje be a sikeres éssikertelen naplózási események konfigurálásához szükséges jelölőnégyzeteket.

    Képernyőkép az Active Directory tanúsítványszolgáltatások naplózási eseményeinek konfigurálásáról a Csoportházirend Management Editorban.

  2. Konfigurálja a hitelesítésszolgáltató (CA) naplózását az alábbi módszerek egyikével:

    • A hitelesítésszolgáltatói naplózás PowerShell-lel történő konfigurálásához futtassa a következőt:
certutil -setreg CA\AuditFilter 127 
Restart-Service certsvc

Ez a parancs frissíti a hitelesítésszolgáltató naplózási beállításait, és újraindítja a tanúsítványszolgáltatást, hogy a módosítások érvénybe lépjenek.

  • Ca-naplózás konfigurálása a Defender portálon:

    1. Válassza a Hitelesítésszolgáltató indítása >(MMC asztali alkalmazás) lehetőséget. Kattintson a jobb gombbal a hitelesítésszolgáltató nevére, és válassza a Tulajdonságok lehetőséget.

      A Hitelesítésszolgáltató párbeszédpanel képernyőképe.

    2. Válassza a Naplózás lapot, jelölje ki az összes naplózni kívánt eseményt, majd válassza az Alkalmaz lehetőséget.

      A hitelesítésszolgáltató tulajdonságainak Naplózás lapjának képernyőképe.

Megjegyzés:

Ha nagy AD CS-adatbázissal dolgozik, a Start and Stop Active Directory Certificate Services eseménynaplózásának konfigurálása újraindítási késéseket okozhat. Fontolja meg az irreleváns bejegyzések eltávolítását az adatbázisból. Másik lehetőségként ne engedélyezze ezt az adott eseménytípust.

Naplózás konfigurálása Microsoft Entra Connecten

A naplózás konfigurálása Microsoft Entra Connect-kiszolgálókon:

  1. Hozzon létre egy csoportházirendet a Microsoft Entra Connect-kiszolgálókra való alkalmazáshoz.

  2. Szerkessze a csoportházirendet, és konfigurálja a következő naplózási beállításokat:

    1. Lépjen a Számítógép konfigurációja\Házirendek\Windows-beállítások\Biztonsági beállítások\Speciális naplózási házirend konfigurálása\Naplózási házirendek\Bejelentkezés/Kijelentkezés\Naplózási bejelentkezés területre.

    2. Jelölje be a sikeres éssikertelen naplózási események konfigurálásához szükséges jelölőnégyzeteket.

    A Csoportházirend Management Editor képernyőképe.

Naplózás konfigurálása a konfigurációs tárolón

A konfigurációs tároló naplózására csak olyan környezetekben van szükség, amelyekben jelenleg vagy korábban volt Microsoft Exchange. Ezek a környezetek rendelkeznek egy Exchange-tárolóval a tartomány Konfiguráció szakaszában.

  1. Nyissa meg az ADSI-szerkesztő eszközt.

  2. Válassza a Futtatás indítása> lehetőséget, írja beADSIEdit.msc a kifejezést, majd kattintson az OK gombra.

  3. A Művelet menüben válassza a Csatlakozás lehetőséget.

  4. Lépjen a Kapcsolatbeállítások>Válassza ki a jól ismert elnevezési környezetet, konfigurációt, > majd kattintson az OK gombra.

  5. Bontsa ki a Konfiguráció tárolót a Konfiguráció csomópont megjelenítéséhez, amely a következővel kezdődik: "CN=Configuration,DC=...".

    Képernyőkép a CN-konfigurációs csomópont tulajdonságainak megnyitására szolgáló kijelölésekről.

  6. Kattintson a jobb gombbal a Konfiguráció csomópontra, és válassza a Tulajdonságok lehetőséget.

    Képernyőkép a Konfiguráció csomópont tulajdonságainak megnyitására szolgáló kijelölésekről.

  7. Válassza a Biztonság lapot, majd a Speciális lehetőséget.

  8. A Speciális biztonsági beállítások területen válassza a Naplózás lapot, majd a Hozzáadás lehetőséget.

  9. Válassza a Rendszerbiztonsági tag kiválasztása lehetőséget.

  10. Az Enter the object name to select (Adja meg a kijelölendő objektum nevét) területen adja meg a Mindenki nevet. Ezután válassza a Nevek> ellenőrzéseOK lehetőséget.

  11. Visszatérés a naplózási bejegyzéshez. Végezze el a következő beállításokat:

    • A Típus mezőben válassza az Összes lehetőséget.
    • A Hatókör mezőben válassza az Ez az objektum és az összes leszármazott objektum lehetőséget.
    • Az Engedélyek területen görgessen le, és válassza az Összes törlése lehetőséget. Görgessen felfelé, és válassza az Összes tulajdonság írása lehetőséget.

    Képernyőkép a konfigurációs tároló naplózási beállításairól.

  12. Kattintson az OK gombra.

Windows-eseménygyűjtés konfigurálása a PowerShell használatával

További információ: A Defender for Identity PowerShell-referenciája:

Az alábbi parancsok bemutatják, hogyan módosíthatja a tartományvezérlő Speciális naplózási házirend beállításait a Defender for Identityhez a PowerShell használatával.

A naplózási szabályzatok megtekintése:

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Hely:

  • Modeazt adja meg, hogy a vagy LocalMachine a módot szeretné-e használniDomain. Módban Domain a rendszer összegyűjti a beállításokat a Csoportházirend objektumokból. Módban LocalMachine a beállításokat a rendszer a helyi gépről gyűjti össze.
  • Configuration a lekérni kívánt konfigurációt határozza meg. A használatával All lekérheti az összes konfigurációt.

A beállítások konfigurálása:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

Hely:

  • Modeazt adja meg, hogy a vagy LocalMachine a módot szeretné-e használniDomain. Módban Domain a rendszer összegyűjti a beállításokat a Csoportházirend objektumokból. Módban LocalMachine a beállításokat a rendszer a helyi gépről gyűjti össze.
  • Configuration a beállítandó konfigurációt adja meg. Az összes konfiguráció beállításához használható All .
  • CreateGpoDisabled megadja, hogy a csoportházirend-objektumok létrejönnek-e, és letiltottként vannak-e megőrzve.
  • SkipGpoLink A azt adja meg, hogy a csoportházirend-objektum hivatkozásai nem jönnek létre.
  • Force azt adja meg, hogy a konfiguráció be van állítva, vagy a csoportházirend-objektumok az aktuális állapot ellenőrzése nélkül jönnek létre.

A következő parancs definiálja a tartomány összes beállítását, létrehozza a csoportházirend-objektumokat, és összekapcsolja őket.

Set-MDIConfiguration -Mode Domain -Configuration All

Örökölt konfigurációk frissítése

A Defender for Identity már nem igényel 1644 esemény naplózását. Ha engedélyezte az alábbi beállítások egyikét, távolítsa el őket a beállításjegyzékből.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Kapcsolódó tartalom

További információ:

  • Last updated on