Mengonfigurasi kebijakan audit untuk log peristiwa Windows
Microsoft Defender untuk Identitas deteksi bergantung pada entri log Peristiwa Windows tertentu untuk meningkatkan deteksi dan memberikan informasi tambahan tentang pengguna yang melakukan tindakan tertentu, seperti logon NTLM dan modifikasi grup keamanan.
Agar peristiwa yang benar diaudit dan disertakan dalam Log Peristiwa Windows, pengendali domain Anda memerlukan pengaturan Kebijakan Audit Tingkat Lanjut server Windows tertentu. Pengaturan Kebijakan Audit Tingkat Lanjut yang salah dikonfigurasi dapat menyebabkan kesenjangan di Log Peristiwa dan cakupan Defender for Identity yang tidak lengkap.
Artikel ini menjelaskan cara mengonfigurasi pengaturan Kebijakan Audit Tingkat Lanjut sesuai kebutuhan untuk sensor Defender for Identity, dan konfigurasi lainnya untuk jenis peristiwa tertentu.
Untuk informasi selengkapnya, lihat Apa itu kumpulan peristiwa Windows untuk kebijakan audit keamanan Pertahanan untuk Identitas dan Tingkat Lanjut dalam dokumentasi Windows.
Membuat laporan dengan konfigurasi saat ini melalui PowerShell
Prasyarat: Sebelum menjalankan perintah Defender for Identity PowerShell, pastikan Anda mengunduh modul Defender for Identity PowerShell.
Sebelum Anda mulai membuat kebijakan peristiwa dan audit baru, kami sarankan Anda menjalankan perintah PowerShell berikut untuk membuat laporan konfigurasi domain Anda saat ini:
New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]
Mana:
- Jalur menentukan jalur untuk menyimpan laporan
- Mode menentukan apakah Anda ingin menggunakan mode Domain atau LocalMachine . Dalam mode Domain , pengaturan dikumpulkan dari objek Kebijakan Grup. Dalam mode LocalMachine , pengaturan dikumpulkan dari komputer lokal.
- OpenHtmlReport membuka laporan HTML setelah laporan dibuat
Misalnya, untuk membuat laporan dan membukanya di browser default Anda, jalankan perintah berikut:
New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport
Untuk informasi selengkapnya, lihat referensi DefenderforIdentity PowerShell.
Tip
Laporan Domain
mode hanya menyertakan konfigurasi yang ditetapkan sebagai kebijakan grup pada domain. Jika Anda memiliki pengaturan yang ditentukan secara lokal pada Pengendali Domain, kami sarankan Anda juga menjalankan skrip Test-MdiReadiness.ps1 .
Mengonfigurasi audit untuk pengendali domain
Saat bekerja dengan pengendali domain, Anda perlu memperbarui pengaturan Kebijakan Audit Tingkat Lanjut dan konfigurasi tambahan untuk peristiwa dan jenis peristiwa tertentu, seperti pengguna, grup, komputer, dan lainnya. Konfigurasi audit untuk pengendali domain meliputi:
Mengonfigurasi pengaturan Kebijakan Audit Tingkat Lanjut
Prosedur ini menjelaskan cara mengubah Kebijakan Audit Tingkat Lanjut pengendali domain Anda sesuai kebutuhan untuk Defender for Identity.
Masuk ke server sebagai Administrator Domain.
Buka Editor Manajemen Kebijakan Grup dari Manajemen Kebijakan Grup Alat>Manajer>Server.
Perluas Unit Organisasi Pengendali Domain, klik kanan Kebijakan Pengendali Domain Default, lalu pilih Edit. Contoh:
Catatan
Gunakan Kebijakan Pengendali Domain Default atau GPO khusus untuk mengatur kebijakan ini.
Dari jendela yang terbuka, buka Kebijakan>Konfigurasi>Komputer Windows Pengaturan> Keamanan Pengaturan dan bergantung pada kebijakan yang ingin Anda aktifkan, lakukan hal berikut:
Buka Kebijakan Audit Konfigurasi>Kebijakan Audit Tingkat Lanjut. Misalnya:
Di bawah Kebijakan Audit, edit setiap kebijakan berikut dan pilih Konfigurasikan peristiwa audit berikut untuk peristiwa Keberhasilan dan Kegagalan .
Kebijakan audit Subkategori Memicu ID peristiwa Masuk Akun Mengaudit Validasi Informasi Masuk 4776 Manajemen Akun Mengaudit Manajemen Akun Komputer * 4741, 4743 Manajemen Akun Mengaudit Manajemen Grup Distribusi 4753, 4763 Manajemen Akun Mengaudit Manajemen Grup Keamanan * 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758 Manajemen Akun Mengaudit Manajemen Akun Pengguna 4726 Akses DS Mengaudit Perubahan Layanan Direktori 5136 Log Mengaudit Ekstensi Sistem Keamanan * 7045 Akses DS Mengaudit Akses Layanan Direktori 4662 - Untuk peristiwa ini, Anda juga harus mengonfigurasi audit objek domain. Catatan
* Subkataan yang dicatat tidak mendukung peristiwa kegagalan. Namun, sebaiknya tambahkan untuk tujuan audit jika diterapkan di masa mendatang. Untuk informasi selengkapnya, lihat Audit Manajemen Akun Komputer, Manajemen Grup Keamanan Audit, dan Ekstensi Sistem Keamanan Audit.
Misalnya, untuk mengonfigurasi Manajemen Grup Keamanan Audit, di bawah Manajemen Akun, klik dua kali Manajemen Grup Keamanan Audit, lalu pilih Konfigurasikan peristiwa audit berikut untuk peristiwa Keberhasilan dan Kegagalan :
Dari prompt perintah yang ditingkatkan, ketik
gpupdate
.Setelah Anda menerapkan kebijakan melalui GPO, peristiwa baru terlihat di Pemantau Peristiwa, di bawah Log Windows ->Security.
Menguji kebijakan audit dari baris perintah
Untuk menguji kebijakan audit Anda dari baris perintah, jalankan perintah berikut:
auditpol.exe /get /category:*
Untuk informasi selengkapnya, lihat dokumentasi referensi auditpol.
Mengonfigurasi, mendapatkan, dan menguji kebijakan audit menggunakan PowerShell
Untuk mengonfigurasi kebijakan audit menggunakan PowerShell, jalankan perintah berikut:
Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]
Mana:
Mode menentukan apakah Anda ingin menggunakan mode Domain atau LocalMachine . Dalam mode Domain , pengaturan dikumpulkan dari objek Kebijakan Grup. Dalam mode LocalMachine , pengaturan dikumpulkan dari komputer lokal.
Konfigurasi menentukan konfigurasi mana yang akan diatur. Gunakan
All
untuk mengatur semua konfigurasi.CreateGpoDisabled menentukan apakah GPO dibuat dan disimpan sebagai dinonaktifkan.
SkipGpoLink menentukan bahwa tautan GPO tidak dibuat.
Paksa menentukan bahwa konfigurasi diatur atau GPO dibuat tanpa memvalidasi status saat ini.
Untuk melihat atau menguji kebijakan audit Anda menggunakan PowerShell, jalankan perintah berikut sesuai kebutuhan. Gunakan perintah Get-MDIConfiguration untuk menampilkan nilai saat ini. Gunakan perintah Test-MDIConfiguration untuk mendapatkan true
respons atau false
apakah nilai dikonfigurasi dengan benar.
Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>
Mana:
Mode menentukan apakah Anda ingin menggunakan mode Domain atau LocalMachine . Dalam mode Domain , pengaturan dikumpulkan dari objek Kebijakan Grup. Dalam mode LocalMachine , pengaturan dikumpulkan dari komputer lokal.
Konfigurasi menentukan konfigurasi mana yang akan didapatkan. Gunakan
All
untuk mendapatkan semua konfigurasi.
Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>
Mana:
Mode menentukan apakah Anda ingin menggunakan mode Domain atau LocalMachine . Dalam mode Domain , pengaturan dikumpulkan dari objek Kebijakan Grup. Dalam mode LocalMachine , pengaturan dikumpulkan dari komputer lokal.
Konfigurasi menentukan konfigurasi mana yang akan diuji. Gunakan
All
untuk menguji semua konfigurasi.
Untuk informasi selengkapnya, lihat referensi DefenderForIdentity PowerShell berikut ini:
Mengonfigurasi audit NTLM
Bagian ini menjelaskan langkah-langkah konfigurasi tambahan yang diperlukan untuk mengaudit ID Peristiwa 8004.
Catatan
- Kebijakan grup domain untuk mengumpulkan Windows Event 8004 hanya boleh diterapkan ke pengendali domain.
- Ketika Windows Event 8004 diurai oleh Defender for Identity Sensor, aktivitas autentikasi Defender for Identity NTLM diperkaya dengan data yang diakses server.
Mengikuti langkah-langkah awal, buka Manajemen Kebijakan Grup dan buka Opsi Keamanan Kebijakan>Lokal Kebijakan>Pengendali Domain Default.
Di bawah Opsi Keamanan, konfigurasikan kebijakan keamanan yang ditentukan sebagai berikut:
Pengaturan kebijakan keamanan Value Keamanan jaringan: Membatasi NTLM: Lalu lintas NTLM keluar ke server jarak jauh Mengaudit semua Keamanan jaringan: Membatasi NTLM: Mengaudit autentikasi NTLM di domain ini Aktifkan semua Keamanan jaringan: Batasi NTLM: Audit Lalu Lintas NTLM Masuk Mengaktifkan audit untuk semua akun
Misalnya, untuk mengonfigurasi lalu lintas NTLM Keluar ke server jarak jauh, di bawah Opsi Keamanan, klik dua kali Keamanan jaringan: Batasi NTLM: Lalu lintas NTLM keluar ke server jarak jauh, lalu pilih Audit semua:
Mengonfigurasi audit objek domain
Untuk mengumpulkan peristiwa perubahan objek, seperti peristiwa 4662, Anda juga harus mengonfigurasi audit objek pada pengguna, grup, komputer, dan objek lainnya. Prosedur ini menjelaskan cara mengaktifkan audit di domain Direktori Aktif.
Penting
Pastikan untuk meninjau dan memverifikasi kebijakan audit Anda sebelum mengaktifkan pengumpulan peristiwa untuk memastikan bahwa pengendali domain dikonfigurasi dengan benar untuk merekam peristiwa yang diperlukan. Jika dikonfigurasi dengan benar, audit ini harus memiliki efek minimal pada performa server.
Buka konsol Pengguna dan Komputer Direktori Aktif.
Pilih domain yang ingin Anda audit.
Pilih menu Tampilan dan pilih Fitur Tingkat Lanjut.
Klik kanan domain dan pilih Properti. Misalnya:
Buka tab Keamanan , dan pilih Tingkat Lanjut. Misalnya:
Di Pengaturan Keamanan Tingkat Lanjut, pilih tab Audit lalu pilih Tambahkan. Misalnya:
Pilih Pilih prinsipal. Misalnya:
Di bawah Masukkan nama objek untuk dipilih, masukkan Semua Orang dan pilih Periksa Nama>OK. Misalnya:
Anda kemudian kembali ke Entri Audit. Buat pilihan berikut:
Untuk Jenis pilih Berhasil.
Untuk Berlaku untuk memilih objek Pengguna Turunan.
Di bawah Izin, gulir ke bawah dan pilih tombol Hapus semua . Misalnya:
Gulir kembali ke atas dan pilih Kontrol Penuh. Semua izin dipilih.
Kosongkan pilihan untuk izin Daftar konten, Baca semua properti, dan Izin baca, dan pilih OK. Ini mengatur semua pengaturan Properti ke Tulis. Misalnya:
Sekarang, ketika dipicu, semua perubahan yang relevan pada layanan direktori muncul sebagai
4662
peristiwa.
Ulangi langkah-langkah dalam prosedur ini, tetapi untuk Berlaku untuk, pilih jenis objek berikut:
- Objek Grup Turunan
- Objek Komputer Turunan
- Objek msDS-GroupManagedServiceAccount Turunan
- Objek msDS-ManagedServiceAccount Turunan
Catatan
Menetapkan izin audit pada Semua objek turunan juga akan berfungsi, tetapi kami hanya memerlukan jenis objek sebagaimana dirinci pada langkah terakhir.
Mengonfigurasi audit pada Layanan Federasi Direktori Aktif (AD FS)
Buka konsol Pengguna dan Komputer Direktori Aktif, dan pilih domain yang ingin Anda aktifkan log-nya.
Buka Data>Program Microsoft>ADFS. Misalnya:
Klik kanan ADFS dan pilih Properti.
Buka tab Keamanan dan pilih Pengaturan> Keamanan Tingkat LanjutTambahkan> tab >Tambahkan>Pilih prinsipal.
Di bawah Masukkan nama objek untuk dipilih, masukkan Semua Orang.
Pilih Periksa Nama>OK.
Anda kemudian kembali ke Entri Audit. Buat pilihan berikut:
- Untuk Jenis pilih Semua.
- Untuk Berlaku untuk memilih Objek ini dan semua objek turunan.
- Di bawah Izin, gulir ke bawah dan pilih Hapus semua. Gulir ke atas dan pilih Baca semua properti dan Tulis semua properti.
Misalnya:
Pilih OK.
Mengonfigurasi audit untuk Active Directory Certificate Services (AD CS)
Jika Anda bekerja dengan server khusus dengan Active Directory Certificate Services (AD CS) yang dikonfigurasi, pastikan untuk mengonfigurasi audit sebagai berikut untuk melihat pemberitahuan khusus dan laporan Skor Aman:
Buat kebijakan grup untuk diterapkan ke server AD CS Anda. Edit dan konfigurasikan pengaturan audit berikut:
Buka dan pilih ganda Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Security Pengaturan\Advanced Audit Policy Configuration\Audit Policies\Object Access\Audit Certification Services.
Pilih untuk mengonfigurasi peristiwa audit untuk Keberhasilan dan Kegagalan. Misalnya:
Konfigurasikan audit pada otoritas sertifikat (CA) menggunakan salah satu metode berikut:
Untuk mengonfigurasi audit CA menggunakan baris perintah, jalankan:
certutil –setreg CA\AuditFilter 127 net stop certsvc && net start certsvc
Untuk Mengonfigurasi audit CA menggunakan GUI:
Pilih Mulai -> Otoritas Sertifikasi (aplikasi MMC Desktop). Klik kanan nama CA Anda dan pilih Properti. Misalnya:
Pilih tab Audit , pilih semua peristiwa yang ingin Anda audit, lalu pilih Terapkan. Contoh:
Catatan
Mengonfigurasi audit peristiwa Mulai dan Hentikan Layanan Sertifikat Direktori Aktif dapat menyebabkan penundaan hidupkan ulang saat berhadapan dengan database AD CS besar. Pertimbangkan untuk menghapus entri yang tidak relevan dari database, atau sebagai alternatif, menahan diri dari mengaktifkan jenis peristiwa tertentu ini.
Mengonfigurasi audit pada kontainer konfigurasi
Buka ADSI Edit dengan memilih Mulai>Jalankan. Masukkan
ADSIEdit.msc
dan pilih OK.Pada menu Tindakan, pilih Koneksi.
Dalam kotak dialog Koneksi ion Pengaturan di bawah Pilih Konteks Penamaan yang terkenal, pilih Konfigurasi>OK.
Perluas kontainer Konfigurasi untuk menampilkan simpul Konfigurasi, dimulai dengan "CN=Configuration,DC=..."
Klik kanan simpul Konfigurasi dan pilih Properti. Misalnya:
Pilih tab >Keamanan Tingkat Lanjut.
Di Pengaturan Keamanan Tingkat Lanjut, pilih tab >Pengauditan Tambahkan.
Pilih Pilih prinsipal.
Di bawah Masukkan nama objek untuk dipilih, masukkan Semua Orang dan pilih Periksa Nama>OK.
Anda kemudian kembali ke Entri Audit. Buat pilihan berikut:
- Untuk Jenis pilih Semua.
- Untuk Berlaku untuk memilih Objek ini dan semua objek turunan.
- Di bawah Izin, gulir ke bawah dan pilih Hapus semua. Gulir ke atas dan pilih Tulis semua properti.
Misalnya:
Pilih OK.
Konfigurasi warisan
Penting
Defender untuk Identitas tidak lagi memerlukan pengelogan 1644 peristiwa. Jika pengaturan registri ini diaktifkan, Anda dapat menghapusnya.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001
Konten terkait
Untuk informasi selengkapnya, lihat Audit keamanan Windows.