Windows-eseménynaplózás konfigurálása

Konfigurálja a Windows eseménynaplózását a Defender for Identity észlelésének engedélyezéséhez. Az érzékelő elemzi a tartományvezérlők, AD FS-kiszolgálók, AD CS-kiszolgálók és Microsoft Entra Connect-kiszolgálók adott Windows-eseménynaplóit. Ahhoz, hogy a megfelelő eseményeket naplózhassa és szerepeltetni lehessen a Windows eseménynaplójában, ezeknek a kiszolgálóknak a megfelelő speciális naplózási házirend-beállításokra van szükségük.

Konfigurálja a naplózást az alábbi módszerek egyikével:

A Defender for Identity állapotriasztásokat hoz létre, ha helytelen Windows-eseménynaplózási konfigurációkat észlel. További információ: állapotriasztások Microsoft Defender for Identity.

Ha megfelelően konfigurálja a naplózást, az minimális hatással van a kiszolgáló teljesítményére.

A Defender for Identity konfigurálása Windows-események automatikus gyűjtésére

Ha tartományvezérlőkre telepíti a v3.x érzékelőt, használja az automatikus Windows-naplózást. Ez az ajánlott megközelítés; nincs szükség manuális konfigurálásra, és az összes naplózási beállítást kezeli.

Az automatikus Windows-naplózás bekapcsolása

  1. A Microsoft Defender portálon lépjen a Beállítások, majd az Identitások elemre.
  2. Az Általános szakaszban válassza a Speciális szolgáltatások lehetőséget.
  3. Kapcsolja be a Windows automatikus naplózási konfigurációját.

Milyen automatikus naplózás konfigurálható?

Ha engedélyezve van, az érzékelő automatikusan:

  • Ellenőrzi a Windows aktuális eseménynaplózási konfigurációját.
  • Azonosítja a konfiguráció esetleges hiányosságait.
  • Alkalmazza a szükséges módosításokat, beleértve a manuális konfiguráció összes lépését:
    • Címtárszolgáltatások speciális naplózása: Naplóbejegyzéseket ad hozzá a tartomány gyökérobjektumának System Access Control List (SACL) listájához a szükséges címtárszolgáltatás-naplózás engedélyezéséhez.
    • NTLM-naplózás: Standard Windows beállításjegyzékBELI API-kkal konfigurálja a szükséges NTLM-naplózási beállításjegyzék-értékeket.
    • Tartományi objektum naplózása: Módosítja a SACL-t a konfigurációs partíción a címtárszolgáltatás konfigurációs objektumainak módosításainak rögzítéséhez.
    • ADFS-naplózás: Naplóbejegyzéseket ad hozzá az objektum AD FS konfigurációs tárolójának System Access Control List (SACL) listájához az AD FS-hez kapcsolódó címtárobjektumok naplózásának engedélyezéséhez.
    • Windows-naplózási szabályzat: A helyi Windows naplózási házirendeket a Windows helyi biztonsági szolgáltató (LSA) naplózási házirendjének API-jaival konfigurálja.
  • A naplózási beállításokat közvetlenül a tartományvezérlő helyi rendszerszabályzatára alkalmazza.
  • Állapotriasztásokat küld a konfigurációs állapotról.
  • 24 óránként egyszer fut le.

Megjegyzés:

  • Az automatikus Windows-eseménynaplózás csak a Defender for Identity érzékelő 3.x verzióját használó tartományvezérlők esetében támogatott. Nem vonatkozik a v2.x tartományvezérlőkre, illetve az AD FS-hez, az AD CS-hez és a nem tartományvezérlőkhöz tartozó Microsoft Entra Connect-kiszolgálókra. Ezekhez a kiszolgálókhoz konfigurálja manuálisan a Windows-eseménynaplózást.
  • Ha nem kapcsolja be az automatikus Windows-naplózást, manuálisan vagy a PowerShell használatávalkell konfigurálnia a Windows eseménynaplózását.
  • A csoportházirend-objektum beállításai ütközhetnek az érzékelő által beállított helyi beállításokkal.

Szükséges Windows-események

Ez a szakasz azokat a Windows-eseményeket sorolja fel, amelyekre a Defender for Identity-érzékelőnek szüksége van. A konkrét események attól a kiszolgálótípustól függenek, amelyen az érzékelő telepítve van.

Szükséges AD FS-események

Az AD FS-kiszolgálókhoz a következő események szükségesek:

  • 1202: Az összevonási szolgáltatás új hitelesítő adatot ellenőrzött
  • 1203: Az összevonási szolgáltatás nem tudta ellenőrizni az új hitelesítő adatokat
  • 4624: A fiók sikeresen be lett jelentkezve
  • 4625: Egy fiók nem tudott bejelentkezni

További információ: Naplózás konfigurálása AD FS-kiszolgálón.

Szükséges AD CS-események

Az AD CS-kiszolgálókhoz a következő események szükségesek:

  • 4870: A tanúsítványszolgáltatás visszavont egy tanúsítványt
  • 4882: A tanúsítványszolgáltatások biztonsági engedélyei megváltoztak
  • 4885: A tanúsítványszolgáltatások naplózási szűrője megváltozott
  • 4887: A tanúsítványszolgáltatás jóváhagyott egy tanúsítványkérelmet, és kiadott egy tanúsítványt
  • 4888: A tanúsítványszolgáltatás megtagadta a tanúsítványkérelmet
  • 4890: A Tanúsítványszolgáltatások tanúsítványkezelői beállításai megváltoztak
  • 4896: Egy vagy több sor törölve lett a tanúsítvány-adatbázisból

További információ: Naplózás konfigurálása AD CS-kiszolgálón.

Kötelező Microsoft Entra Connect-események

A Microsoft Entra Connect-kiszolgálókhoz a következő esemény szükséges:

  • 4624: A fiók sikeresen be lett jelentkezve

További információ: Naplózás konfigurálása Microsoft Entra Connecten.

Egyéb szükséges Windows-események

A következő általános Windows-eseményekre van szükség a tartományvezérlőkön lévő összes Defender for Identity-érzékelőhöz:

  • 4662: Műveletet hajtottak végre egy objektumon
  • 4726: Felhasználói fiók törölve
  • 4728: Tag hozzáadva a globális biztonsági csoporthoz
  • 4729: Tag eltávolítva a globális biztonsági csoportból
  • 4730: Globális biztonsági csoport törölve
  • 4732: Tag hozzáadva a helyi biztonsági csoporthoz
  • 4733: Tag eltávolítva a helyi biztonsági csoportból
  • 4741: Számítógépfiók hozzáadva
  • 4743: Számítógépfiók törölve
  • 4753: Globális terjesztési csoport törölve
  • 4756: Tag hozzáadva az univerzális biztonsági csoporthoz
  • 4757: Tag eltávolítva az univerzális biztonsági csoportból
  • 4758: Univerzális biztonsági csoport törölve
  • 4763: Univerzális terjesztési csoport törölve
  • 4776: A tartományvezérlő megpróbálta ellenőrizni egy fiók hitelesítő adatait (NTLM)
  • 5136: Egy címtárszolgáltatás-objektum módosult
  • 7045: Új szolgáltatás telepítve
  • 8004: NTLM-hitelesítés

További információ: NTLM-naplózás konfigurálása és Tartományobjektumok naplózásának konfigurálása.

Eseménygyűjtés önálló érzékelőkhöz

Ha önálló Defender for Identity-érzékelővel dolgozik, manuálisan konfigurálja az eseménygyűjtést az alábbi módszerek egyikével:

Fontos

A Defender for Identity önálló érzékelői nem támogatják a Windows (ETW) eseménykövetési naplóbejegyzéseinek gyűjtését, amelyek több észlelés adatait biztosítják. A környezet teljes körű lefedése érdekében telepítse a Defender for Identity érzékelőt.

További információért tekintse meg a SIEM-rendszer vagy a syslog-kiszolgáló termékdokumentációját.

Az aktuális konfiguráció ellenőrzése

Mielőtt manuálisan konfigurálja a Windows-eseménygyűjtést, futtathat egy PowerShell-szkriptet az aktuális konfiguráció ellenőrzéséhez, és létrehozhat egy jelentést a szükséges módosításokról:

  1. Töltse le a Defender for Identity PowerShell-modult.

  2. Futtassa a Defender for Identity New-MDIConfigurationReport PowerShell-modult az aktuális Windows-eseménynaplózási konfiguráció jelentésének létrehozásához.

        New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -Identity "DOMAIN\ServiceAccountName" -OpenHtmlReport

    Hely:

    • Path A a jelentés mentési könyvtára.
    • Mode azt jelzi, hogy honnan gyűjti a rendszer a beállításokat.
      • Módban Domain a beállításokat a rendszer a Csoportházirend objektumokból (GPO-kból) gyűjti össze. A használatakor -Mode Domainadja meg a paramétert az -Identity interaktív kérdés elkerüléséhez.
      • Módban LocalMachine a beállításokat a rendszer a helyi gépről gyűjti össze.
    • OpenHtmlReport megnyitja a HTML-jelentést a jelentés létrehozása után. Ha például létre szeretne hozni egy jelentést, és meg szeretné nyitni azt az alapértelmezett böngészőben, futtassa a következő parancsot:
    New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

    További információ: New-MDIConfigurationReport.

  3. A Windows-eseménygyűjtés konfigurálása előtt tekintse át a jelentést, és végezze el a szükséges módosításokat.

A Windows-eseménygyűjtés manuális konfigurálása

Ez a szakasz a Windows-eseménygyűjtés manuális konfigurálására vonatkozó utasításokat tartalmazza. Kövesse ezeket a lépéseket, ha v2.x érzékelőt, AD FS-en, AD CS-en vagy Entra Connect-kiszolgálókon végez üzembe helyezést, amelyek nem tartományvezérlők, vagy ha kikapcsolta a v3.x érzékelő automatikus naplózását.

Megjegyzés:

Ismert probléma: Egyes v3-érzékelőkörnyezetekben a Windows eseménynaplózásával kapcsolatos állapotriasztások akkor is megmaradhatnak, ha a naplózás megfelelően van konfigurálva. Ez elsősorban manuális naplózási konfiguráció esetén fordul elő, például a Csoportházirend vagy a PowerShell használatával. Az érzékelő kifogástalan állapotban marad, és az észlelésekre nincs hatással. A probléma megoldásához engedélyezze az Automatikus Windows-naplózási konfigurációt a Defender for Identity portál Beállítások>Speciális funkciói területén.

A következő szakaszok az egyes kiszolgálótípusok konfigurációját ismertetik:

Naplózás konfigurálása tartományvezérlőn

A naplózás tartományvezérlőn való konfigurálásához hajtsa végre a következő lépéseket:

A Címtárszolgáltatások speciális naplózásának konfigurálása

Ez a szakasz bemutatja, hogyan módosíthatja a tartományvezérlő naplózási (prémium) szabályzatának beállításait a Defender for Identity esetében.

  1. Jelentkezzen be a kiszolgálóra tartományi rendszergazdaként.

  2. Nyissa meg a Csoportházirend Management Editort a Kiszolgálókezelő>Tools>Csoportházirend Management webhelyről.

  3. Bontsa ki a Tartományvezérlők szervezeti egységek elemet, kattintson a jobb gombbal az Alapértelmezett tartományvezérlői házirend elemre, majd válassza a Szerkesztés lehetőséget.

    Képernyőkép a tartományvezérlők alapértelmezett házirendjének szerkesztésére szolgáló panelről.

    Megjegyzés:

    A házirendek beállításához használja az Alapértelmezett tartományvezérlők házirendet vagy egy dedikált csoportházirend-objektumot.

  4. Lépjen a Számítógép-konfigurációs>házirendek>Windows-beállítások>Biztonsági beállítások területre. Az engedélyezni kívánt szabályzattól függően tegye a következőket:

    1. Lépjen a Speciális naplózási házirend konfigurációs naplózási>szabályzatai szakaszra.

      Képernyőkép a naplózási szabályzat megnyitására szolgáló lehetőségekről.

    2. A Naplózási házirendek területen szerkessze az alábbi házirendeket, és válassza a Következő naplózási események konfigurálásasikeres és sikertelen eseményekhez lehetőséget.

      Naplózási szabályzat Alkategória Eseményazonosítók aktiválása
      Fiókbejelentkozás Hitelesítő adatok ellenőrzésének naplózása 4776
      Fiókkezelés Számítógépfiókok kezelésének naplózása* 4741, 4743
      Fiókkezelés Terjesztési csoport felügyeletének naplózása* 4753, 4763
      Fiókkezelés Biztonságicsoport-kezelés naplózása* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Fiókkezelés Felhasználói fiókok kezelésének naplózása 4726
      DS-hozzáférés Címtárszolgáltatás változásainak naplózása* 5136
      Rendszer Biztonságirendszer-bővítmény naplózása* 7045
      DS-hozzáférés Címtárszolgáltatás-hozzáférés naplózása 4662 – Ehhez az eseményhez tartományobjektumok naplózását is konfigurálnia kell.

      Megjegyzés:

      * Ezek az alkategóriák nem támogatják a hibaeseményeket. Adja hozzá őket naplózási célokra arra az esetre, ha a jövőben implementálnák őket. További információ: A számítógépfiókok kezelésének naplózása, a biztonsági csoportkezelés naplózása és a biztonságirendszer-bővítmény naplózása.

    3. A naplózási biztonsági csoport kezelésének konfigurálásához a Fiókkezelés területen válassza a Biztonsági csoportkezelés naplózása lehetőséget, majd válassza a Következő naplózási események konfigurálásamind a sikeres , mind a sikertelen eseményekhez lehetőséget.

      Képernyőkép a naplózási biztonsági csoport felügyeleti tulajdonságainak naplóról.

  5. Egy rendszergazda jogú parancssorból írja be a következőt gpupdate: .

  6. Miután a csoportházirend-objektumon keresztül alkalmazta a szabályzatot, győződjön meg arról, hogy az új események megjelennek a eseménymegtekintő a Windows Naplók>biztonsága területen.

    A naplózási szabályzatok parancssorból történő teszteléséhez futtassa a következő parancsot:

    auditpol.exe /get /category:*

További információért tekintse meg az auditpol referenciadokumentációját.

NTLM-naplózás konfigurálása

Amikor egy Defender for Identity-érzékelő elemzi a Windows 8004-eseményt, kibővíti a Defender for Identity NTLM-hitelesítési tevékenységeit a kiszolgáló által elért adatokkal. Ez a szakasz a Windows 8004-es esemény naplózásának konfigurációs lépéseit ismerteti.

Megjegyzés:

Tartománycsoport-házirendek alkalmazásával csak a tartományvezérlőkre gyűjtse a Windows 8004-eseményt.

Az NTLM-naplózás konfigurálása:

  1. Nyissa meg Csoportházirend Felügyeletet, és lépjen az Alapértelmezett tartományvezérlők házirendje>Helyi házirendek>biztonsági beállításai menüpontra.

  2. Konfigurálja a megadott biztonsági szabályzatokat az alábbiak szerint:

    Biztonsági szabályzat beállítása Érték
    Hálózati biztonság: Az NTLM korlátozása: Kimenő NTLM-forgalom távoli kiszolgálókra Az összes naplózása
    Hálózati biztonság: Az NTLM korlátozása: NTLM-hitelesítés naplózása ebben a tartományban Az összes engedélyezése
    Hálózati biztonság: Az NTLM korlátozása: Bejövő NTLM-forgalom naplózása Naplózás engedélyezése az összes fiókhoz

  3. A távoli kiszolgálók felé irányuló kimenő NTLM-forgalom konfigurálásához a Biztonsági beállítások területen kattintson duplán a Hálózati biztonság: Az NTLM korlátozása: Kimenő NTLM-forgalom távoli kiszolgálókra elemre, majd válassza az Összes naplózása lehetőséget.

Képernyőkép a távoli kiszolgálók felé irányuló kimenő NTLM-forgalom naplózási konfigurációjáról.

Tartományobjektumok naplózásának konfigurálása

Az objektumváltozások eseményeinek (például a 4662-as eseményhez) gyűjtéséhez konfigurálnia kell az objektumnaplózást a felhasználón, a csoporton, a számítógépen és más objektumokon. Az alábbi eljárás azt ismerteti, hogyan engedélyezheti a naplózást az Active Directory-tartományban.

Tartományobjektumok naplózásának konfigurálása:

  1. Nyissa meg a Active Directory - felhasználók és számítógépek konzolt.

  2. Válassza ki a naplózni kívánt tartományt.

  3. Válassza a Nézet menüt, majd a Speciális szolgáltatások lehetőséget.

  4. Kattintson a jobb gombbal a tartományra, és válassza a Tulajdonságok parancsot.

    Képernyőkép a tárolótulajdonságok megnyitására vonatkozó beállításokról.

  5. Lépjen a Biztonság lapra, majd válassza a Speciális lehetőséget.

    A speciális biztonsági tulajdonságok megnyitására szolgáló párbeszédpanel képernyőképe.

  6. A Speciális biztonsági beállítások területen válassza a Naplózás lapot, majd a Hozzáadás lehetőséget.

    A Speciális biztonsági beállítások párbeszédpanel Naplózás lapjának képernyőképe.

  7. Válassza a Rendszerbiztonsági tag kiválasztása lehetőséget.

    Képernyőkép a rendszerbiztonsági tag kiválasztására szolgáló gombról.

  8. Az Enter the object name to select (Adja meg a kijelölendő objektum nevét) területen adja meg a Mindenki nevet. Ezután válassza a Nevek> ellenőrzéseOK lehetőséget.

    Képernyőkép a Mindenki objektumnév megadásáról.

  9. Vissza a naplózási bejegyzésre. Az alábbi objektumtípusok mindegyikéhez külön naplózási bejegyzést kell létrehoznia:

    • Leszármazott felhasználói objektumok
    • Leszármazottcsoport-objektumok
    • Leszármazott számítógép-objektumok
    • Leszármazott msDS-GroupManagedServiceAccount objektumok
    • Leszármazott msDS-ManagedServiceAccount objektumok
    • Leszármazott msDS-DelegatedManagedServiceAccount objektumok1

    Fontos

    A naplózást az összes felsorolt objektumtípushoz konfigurálni kell, nem csak a felhasználói objektumokhoz. Ha csak egy objektumtípushoz konfigurálja a naplózást, az hiányos észlelési lefedettséget eredményez.

    Minden objektumtípushoz végezze el a következő beállításokat:

    1. A Típus mezőben válassza a Siker lehetőséget.

    2. A Hatókör mezőben válassza ki az objektumtípust a listából.

    3. Az Engedélyek területen görgessen le, és válassza az Összes törlése gombot.

      Képernyőkép az összes engedély törlésére szolgáló gombról.

    4. Görgessen vissza, és válassza a Teljes hozzáférés lehetőséget. Minden engedély ki van jelölve.

    5. Törölje a lista tartalmának, az Összes tulajdonság olvasása és az Olvasási engedélyek engedélyeinek kijelölését, majd kattintson az OK gombra. Ez a lépés az összes tulajdonságbeállítástÍrás értékre állítja.

      Képernyőkép az engedélyek kiválasztásáról.

      Most a címtárszolgáltatások összes releváns módosítása 4662 eseményként jelenik meg, amikor azok aktiválódnak.

Megjegyzés:

  • A minden leszármazott objektumhoz hozzárendelhet naplózási engedélyeket, csak az előző lépésben részletezett objektumtípusok használatával.
  • Az msDS-DelegatedManagedServiceAccount osztály csak a legalább egy Windows Server 2025-ös tartományvezérlőt futtató tartományok esetében releváns.

Objektumszintű naplózás konfigurálása az AD FS konfigurációs mappáján

  1. Lépjen a Active Directory - felhasználók és számítógépek konzolra, és válassza ki azt a tartományt, ahol engedélyezni szeretné a naplókat.

  2. Nyissa meg a ProgramAdatok>Microsoft>ADFS lehetőséget.

    Képernyőkép egy Active Directory összevonási szolgáltatások (AD FS) tárolóról.

  3. Kattintson a jobb gombbal az ADFS elemre, és válassza a Tulajdonságok lehetőséget.

  4. Lépjen a Biztonságlapra, és válassza a Speciális >speciális biztonsági beállítások lehetőséget. Ezután lépjen a Naplózás lapra, és válassza azAdd Select a principal (Résztvevő kiválasztása) lehetőséget>.

  5. Az Enter the object name to select (Adja meg a kijelölendő objektum nevét) területen adja meg a Mindenki nevet. Ezután válassza a Nevek> ellenőrzéseOK lehetőséget.

  6. Visszatérés a naplózási bejegyzéshez. Végezze el a következő beállításokat:

    • A Típus mezőben válassza az Összes lehetőséget.
    • A Hatókör mezőben válassza az Ez az objektum és az összes leszármazott objektum lehetőséget.
    • Az Engedélyek területen görgessen le, és válassza az Összes törlése lehetőséget. Görgessen felfelé, és válassza az Összes tulajdonság olvasása és Az összes tulajdonság írása lehetőséget.

    Képernyőkép a Active Directory összevonási szolgáltatások (AD FS) naplózási beállításairól.

  7. Kattintson az OK gombra.

Naplózás konfigurálása AD FS-kiszolgálón

Ez a szakasz a Defender for Identity Active Directory összevonási szolgáltatások (AD FS) (AD FS) naplózási konfigurációinak módosítását ismerteti.

Csoportházirend konfigurálása eseménynaplózáshoz

  1. Hozzon létre egy csoportházirendet a Active Directory összevonási szolgáltatások (AD FS) (AD FS) alkalmazásához.

  2. Konfigurálja a következő naplózási beállításokat:

    1. Lépjen a Számítógép konfigurációja\Házirendek\Windows-beállítások\Biztonsági beállítások\Speciális naplózási házirend konfigurálása\Naplózási házirendek\Objektumhozzáférés\Létrehozott naplózási alkalmazás területre.

    2. Jelölje be a sikeres éssikertelen naplózási események konfigurálásához szükséges jelölőnégyzeteket.

    Képernyőkép a speciális naplózási naplózási szabályzat konfigurációjáról.

Az AD FS eseménynaplózásának konfigurálása az AD FS-kezelésben

  1. Válassza aProgramok>indítása>Felügyeleti eszközök>AD FS-kezelés lehetőséget.

  2. Lépjen a Műveletek>Összevonási szolgáltatás tulajdonságainak szerkesztése elemre.

  3. Válassza az Események lapot.

  4. Jelölje be a Sikeres éssikertelen naplók jelölőnégyzetet .

  5. Kattintson az OK gombra.

    Képernyőkép az Összevonási szolgáltatás tulajdonságai lapról.

Részletes naplózás konfigurálása AD FS-eseményekhez

Az AD FS-kiszolgálókon futó érzékelőknek részletes naplózási szinttel kell rendelkezniük a releváns eseményekhez.

A következő PowerShell-paranccsal konfigurálja a naplózási szintet Részletes értékre:

Set-AdfsProperties -AuditLevel Verbose

Naplózás konfigurálása AD CS-kiszolgálón

Ha olyan dedikált kiszolgálóval dolgozik, amelyen konfigurálva van az Active Directory tanúsítványszolgáltatás (AD CS), konfigurálja a naplózást az alábbiak szerint a dedikált riasztások és a biztonsági pontszám jelentéseinek megtekintéséhez:

  1. Hozzon létre egy csoportházirendet, amely az AD CS-kiszolgálóra vonatkozik. Szerkessze, és konfigurálja a következő naplózási beállításokat:

    1. Lépjen a Számítógép konfigurációja\Házirendek\Windows-beállítások\Biztonsági beállítások\Speciális naplózási házirend konfigurálása\Naplózási házirendek\Objektumhozzáférés\Naplózási minősítési szolgáltatások területre.

    2. Jelölje be a sikeres éssikertelen naplózási események konfigurálásához szükséges jelölőnégyzeteket.

    Képernyőkép az Active Directory tanúsítványszolgáltatások naplózási eseményeinek konfigurálásáról a Csoportházirend Management Editorban.

  2. Konfigurálja a hitelesítésszolgáltató (CA) naplózását az alábbi módszerek egyikével:

    • A hitelesítésszolgáltatói naplózás PowerShell-lel történő konfigurálásához futtassa a következőt:
certutil -setreg CA\AuditFilter 127 
Restart-Service certsvc

Ez a parancs frissíti a hitelesítésszolgáltató naplózási beállításait, és újraindítja a tanúsítványszolgáltatást, hogy a módosítások érvénybe lépjenek.

  • Ca-naplózás konfigurálása a Defender portálon:

    1. Válassza a Hitelesítésszolgáltató indítása >(MMC asztali alkalmazás) lehetőséget. Kattintson a jobb gombbal a hitelesítésszolgáltató nevére, és válassza a Tulajdonságok lehetőséget.

      A Hitelesítésszolgáltató párbeszédpanel képernyőképe.

    2. Válassza a Naplózás lapot, jelölje ki az összes naplózni kívánt eseményt, majd válassza az Alkalmaz lehetőséget.

      A hitelesítésszolgáltató tulajdonságainak Naplózás lapjának képernyőképe.

Megjegyzés:

Ha nagy AD CS-adatbázissal dolgozik, a Start and Stop Active Directory Certificate Services eseménynaplózásának konfigurálása újraindítási késéseket okozhat. Fontolja meg az irreleváns bejegyzések eltávolítását az adatbázisból. Másik lehetőségként ne engedélyezze ezt az adott eseménytípust.

Naplózás konfigurálása Microsoft Entra Connecten

A naplózás konfigurálása Microsoft Entra Connect-kiszolgálókon:

  1. Hozzon létre egy csoportházirendet a Microsoft Entra Connect-kiszolgálókra való alkalmazáshoz.

  2. Szerkessze a csoportházirendet, és konfigurálja a következő naplózási beállításokat:

    1. Lépjen a Számítógép konfigurációja\Házirendek\Windows-beállítások\Biztonsági beállítások\Speciális naplózási házirend konfigurálása\Naplózási házirendek\Bejelentkezés/Kijelentkezés\Naplózási bejelentkezés területre.

    2. Jelölje be a sikeres éssikertelen naplózási események konfigurálásához szükséges jelölőnégyzeteket.

    A Csoportházirend Management Editor képernyőképe.

Naplózás konfigurálása a konfigurációs tárolón

A konfigurációs tároló naplózására csak olyan környezetekben van szükség, amelyekben jelenleg vagy korábban volt Microsoft Exchange. Ezek a környezetek rendelkeznek egy Exchange-tárolóval a tartomány Konfiguráció szakaszában.

  1. Nyissa meg az ADSI-szerkesztő eszközt.

  2. Válassza a Futtatás indítása> lehetőséget, írja beADSIEdit.msc a kifejezést, majd kattintson az OK gombra.

  3. A Művelet menüben válassza a Csatlakozás lehetőséget.

  4. Lépjen a Kapcsolatbeállítások>Válassza ki a jól ismert elnevezési környezetet, konfigurációt, > majd kattintson az OK gombra.

  5. Bontsa ki a Konfiguráció tárolót a Konfiguráció csomópont megjelenítéséhez, amely a következővel kezdődik: "CN=Configuration,DC=...".

    Képernyőkép a CN-konfigurációs csomópont tulajdonságainak megnyitására szolgáló kijelölésekről.

  6. Kattintson a jobb gombbal a Konfiguráció csomópontra, és válassza a Tulajdonságok lehetőséget.

    Képernyőkép a Konfiguráció csomópont tulajdonságainak megnyitására szolgáló kijelölésekről.

  7. Válassza a Biztonság lapot, majd a Speciális lehetőséget.

  8. A Speciális biztonsági beállítások területen válassza a Naplózás lapot, majd a Hozzáadás lehetőséget.

  9. Válassza a Rendszerbiztonsági tag kiválasztása lehetőséget.

  10. Az Enter the object name to select (Adja meg a kijelölendő objektum nevét) területen adja meg a Mindenki nevet. Ezután válassza a Nevek> ellenőrzéseOK lehetőséget.

  11. Visszatérés a naplózási bejegyzéshez. Végezze el a következő beállításokat:

    • A Típus mezőben válassza az Összes lehetőséget.
    • A Hatókör mezőben válassza az Ez az objektum és az összes leszármazott objektum lehetőséget.
    • Az Engedélyek területen görgessen le, és válassza az Összes törlése lehetőséget. Görgessen felfelé, és válassza az Összes tulajdonság írása lehetőséget.

    Képernyőkép a konfigurációs tároló naplózási beállításairól.

  12. Kattintson az OK gombra.

Windows-eseménygyűjtés konfigurálása a PowerShell használatával

További információ: A Defender for Identity PowerShell-referenciája:

Az alábbi parancsok bemutatják, hogyan módosíthatja a tartományvezérlő auditálási (prémium) házirend-beállításait a Defender for Identityhez a PowerShell használatával.

A naplózási szabályzatok megtekintése:

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Hely:

  • Mode azt adja meg, hogy a vagy a mód legyen-e használva DomainLocalMachine . Módban Domain a beállítások a Csoportházirend objektumokból származnak. Módban LocalMachine a beállítások a helyi gépről származnak.
  • Configuration a lekérni kívánt konfigurációt határozza meg. A használatával All lekérheti az összes konfigurációt.

A beállítások konfigurálása:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

Hely:

  • Mode azt adja meg, hogy a vagy a mód legyen-e használva DomainLocalMachine . Módban Domain a beállítások a Csoportházirend objektumokból származnak. Módban LocalMachine a beállítások a helyi gépről származnak.
  • Configuration a beállítandó konfigurációt adja meg. Az összes konfiguráció beállításához használható All .
  • CreateGpoDisabled megadja, hogy a csoportházirend-objektumok létrejönnek-e, és letiltottként vannak-e megőrzve.
  • SkipGpoLink A azt adja meg, hogy a csoportházirend-objektum hivatkozásai nem jönnek létre.
  • Force azt adja meg, hogy a konfiguráció be van állítva, vagy a csoportházirend-objektumok az aktuális állapot ellenőrzése nélkül jönnek létre.

A következő parancs definiálja a tartomány összes beállítását, létrehozza a csoportházirend-objektumokat, és összekapcsolja őket.

Set-MDIConfiguration -Mode Domain -Configuration All

Örökölt konfigurációk frissítése

A Defender for Identity már nem igényel 1644 esemény naplózását. Ha engedélyezte az alábbi beállítások egyikét, távolítsa el őket a beállításjegyzékből.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Kapcsolódó tartalom

További információ:

  • Last updated on