Mengonfigurasi kebijakan audit untuk log peristiwa Windows

  • Artikel

Microsoft Defender untuk Identitas deteksi bergantung pada entri log Peristiwa Windows tertentu untuk meningkatkan deteksi dan memberikan informasi tambahan tentang pengguna yang melakukan tindakan tertentu, seperti logon NTLM dan modifikasi grup keamanan.

Agar peristiwa yang benar diaudit dan disertakan dalam Log Peristiwa Windows, pengendali domain Anda memerlukan pengaturan Kebijakan Audit Tingkat Lanjut server Windows tertentu. Pengaturan Kebijakan Audit Tingkat Lanjut yang salah dikonfigurasi dapat menyebabkan kesenjangan di Log Peristiwa dan cakupan Defender for Identity yang tidak lengkap.

Artikel ini menjelaskan cara mengonfigurasi pengaturan Kebijakan Audit Tingkat Lanjut sesuai kebutuhan untuk sensor Defender for Identity, dan konfigurasi lainnya untuk jenis peristiwa tertentu.

Untuk informasi selengkapnya, lihat Apa itu kumpulan peristiwa Windows untuk kebijakan audit keamanan Pertahanan untuk Identitas dan Tingkat Lanjut dalam dokumentasi Windows.

Membuat laporan dengan konfigurasi saat ini melalui PowerShell

Prasyarat: Sebelum menjalankan perintah Defender for Identity PowerShell, pastikan Anda mengunduh modul Defender for Identity PowerShell.

Sebelum Anda mulai membuat kebijakan peristiwa dan audit baru, kami sarankan Anda menjalankan perintah PowerShell berikut untuk membuat laporan konfigurasi domain Anda saat ini:

New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]

Mana:

  • Jalur menentukan jalur untuk menyimpan laporan
  • Mode menentukan apakah Anda ingin menggunakan mode Domain atau LocalMachine . Dalam mode Domain , pengaturan dikumpulkan dari objek Kebijakan Grup. Dalam mode LocalMachine , pengaturan dikumpulkan dari komputer lokal.
  • OpenHtmlReport membuka laporan HTML setelah laporan dibuat

Misalnya, untuk membuat laporan dan membukanya di browser default Anda, jalankan perintah berikut:

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

Untuk informasi selengkapnya, lihat referensi DefenderforIdentity PowerShell.

Tip

Laporan Domain mode hanya menyertakan konfigurasi yang ditetapkan sebagai kebijakan grup pada domain. Jika Anda memiliki pengaturan yang ditentukan secara lokal pada Pengendali Domain, kami sarankan Anda juga menjalankan skrip Test-MdiReadiness.ps1 .

Mengonfigurasi audit untuk pengendali domain

Saat bekerja dengan pengendali domain, Anda perlu memperbarui pengaturan Kebijakan Audit Tingkat Lanjut dan konfigurasi tambahan untuk peristiwa dan jenis peristiwa tertentu, seperti pengguna, grup, komputer, dan lainnya. Konfigurasi audit untuk pengendali domain meliputi:

Mengonfigurasi pengaturan Kebijakan Audit Tingkat Lanjut

Prosedur ini menjelaskan cara mengubah Kebijakan Audit Tingkat Lanjut pengendali domain Anda sesuai kebutuhan untuk Defender for Identity.

  1. Masuk ke server sebagai Administrator Domain.

  2. Buka Editor Manajemen Kebijakan Grup dari Manajemen Kebijakan Grup Alat>Manajer>Server.

  3. Perluas Unit Organisasi Pengendali Domain, klik kanan Kebijakan Pengendali Domain Default, lalu pilih Edit. Contoh:

    Screenshot of the Edit domain controller policy dialog.

    Catatan

    Gunakan Kebijakan Pengendali Domain Default atau GPO khusus untuk mengatur kebijakan ini.

  4. Dari jendela yang terbuka, buka Kebijakan>Konfigurasi>Komputer Windows Pengaturan> Keamanan Pengaturan dan bergantung pada kebijakan yang ingin Anda aktifkan, lakukan hal berikut:

    1. Buka Kebijakan Audit Konfigurasi>Kebijakan Audit Tingkat Lanjut. Misalnya:

      Screenshot of the Advanced Audit Policy Configuration dialog.

    2. Di bawah Kebijakan Audit, edit setiap kebijakan berikut dan pilih Konfigurasikan peristiwa audit berikut untuk peristiwa Keberhasilan dan Kegagalan .

      Kebijakan audit Subkategori Memicu ID peristiwa
      Masuk Akun Mengaudit Validasi Informasi Masuk 4776
      Manajemen Akun Mengaudit Manajemen Akun Komputer * 4741, 4743
      Manajemen Akun Mengaudit Manajemen Grup Distribusi 4753, 4763
      Manajemen Akun Mengaudit Manajemen Grup Keamanan * 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Manajemen Akun Mengaudit Manajemen Akun Pengguna 4726
      Akses DS Mengaudit Perubahan Layanan Direktori 5136
      Log Mengaudit Ekstensi Sistem Keamanan * 7045
      Akses DS Mengaudit Akses Layanan Direktori 4662 - Untuk peristiwa ini, Anda juga harus mengonfigurasi audit objek domain.

      Catatan

      * Subkataan yang dicatat tidak mendukung peristiwa kegagalan. Namun, sebaiknya tambahkan untuk tujuan audit jika diterapkan di masa mendatang. Untuk informasi selengkapnya, lihat Audit Manajemen Akun Komputer, Manajemen Grup Keamanan Audit, dan Ekstensi Sistem Keamanan Audit.

      Misalnya, untuk mengonfigurasi Manajemen Grup Keamanan Audit, di bawah Manajemen Akun, klik dua kali Manajemen Grup Keamanan Audit, lalu pilih Konfigurasikan peristiwa audit berikut untuk peristiwa Keberhasilan dan Kegagalan :

      Screenshot of the Audit Security Group Management dialog.

  5. Dari prompt perintah yang ditingkatkan, ketik gpupdate.

  6. Setelah Anda menerapkan kebijakan melalui GPO, peristiwa baru terlihat di Pemantau Peristiwa, di bawah Log Windows ->Security.

Menguji kebijakan audit dari baris perintah

Untuk menguji kebijakan audit Anda dari baris perintah, jalankan perintah berikut:

auditpol.exe /get /category:*

Untuk informasi selengkapnya, lihat dokumentasi referensi auditpol.

Mengonfigurasi, mendapatkan, dan menguji kebijakan audit menggunakan PowerShell

Untuk mengonfigurasi kebijakan audit menggunakan PowerShell, jalankan perintah berikut:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

Mana:

  • Mode menentukan apakah Anda ingin menggunakan mode Domain atau LocalMachine . Dalam mode Domain , pengaturan dikumpulkan dari objek Kebijakan Grup. Dalam mode LocalMachine , pengaturan dikumpulkan dari komputer lokal.

  • Konfigurasi menentukan konfigurasi mana yang akan diatur. Gunakan All untuk mengatur semua konfigurasi.

  • CreateGpoDisabled menentukan apakah GPO dibuat dan disimpan sebagai dinonaktifkan.

  • SkipGpoLink menentukan bahwa tautan GPO tidak dibuat.

  • Paksa menentukan bahwa konfigurasi diatur atau GPO dibuat tanpa memvalidasi status saat ini.

Untuk melihat atau menguji kebijakan audit Anda menggunakan PowerShell, jalankan perintah berikut sesuai kebutuhan. Gunakan perintah Get-MDIConfiguration untuk menampilkan nilai saat ini. Gunakan perintah Test-MDIConfiguration untuk mendapatkan true respons atau false apakah nilai dikonfigurasi dengan benar.

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Mana:

  • Mode menentukan apakah Anda ingin menggunakan mode Domain atau LocalMachine . Dalam mode Domain , pengaturan dikumpulkan dari objek Kebijakan Grup. Dalam mode LocalMachine , pengaturan dikumpulkan dari komputer lokal.

  • Konfigurasi menentukan konfigurasi mana yang akan didapatkan. Gunakan All untuk mendapatkan semua konfigurasi.

Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Mana:

  • Mode menentukan apakah Anda ingin menggunakan mode Domain atau LocalMachine . Dalam mode Domain , pengaturan dikumpulkan dari objek Kebijakan Grup. Dalam mode LocalMachine , pengaturan dikumpulkan dari komputer lokal.

  • Konfigurasi menentukan konfigurasi mana yang akan diuji. Gunakan All untuk menguji semua konfigurasi.

Untuk informasi selengkapnya, lihat referensi DefenderForIdentity PowerShell berikut ini:

Mengonfigurasi audit NTLM

Bagian ini menjelaskan langkah-langkah konfigurasi tambahan yang diperlukan untuk mengaudit ID Peristiwa 8004.

Catatan

  • Kebijakan grup domain untuk mengumpulkan Windows Event 8004 hanya boleh diterapkan ke pengendali domain.
  • Ketika Windows Event 8004 diurai oleh Defender for Identity Sensor, aktivitas autentikasi Defender for Identity NTLM diperkaya dengan data yang diakses server.

  1. Mengikuti langkah-langkah awal, buka Manajemen Kebijakan Grup dan buka Opsi Keamanan Kebijakan>Lokal Kebijakan>Pengendali Domain Default.

  2. Di bawah Opsi Keamanan, konfigurasikan kebijakan keamanan yang ditentukan sebagai berikut:

    Pengaturan kebijakan keamanan Value
    Keamanan jaringan: Membatasi NTLM: Lalu lintas NTLM keluar ke server jarak jauh Mengaudit semua
    Keamanan jaringan: Membatasi NTLM: Mengaudit autentikasi NTLM di domain ini Aktifkan semua
    Keamanan jaringan: Batasi NTLM: Audit Lalu Lintas NTLM Masuk Mengaktifkan audit untuk semua akun

Misalnya, untuk mengonfigurasi lalu lintas NTLM Keluar ke server jarak jauh, di bawah Opsi Keamanan, klik dua kali Keamanan jaringan: Batasi NTLM: Lalu lintas NTLM keluar ke server jarak jauh, lalu pilih Audit semua:

Screenshot of the Audit Outgoing NTLM traffic to remote servers configuration.

Mengonfigurasi audit objek domain

Untuk mengumpulkan peristiwa perubahan objek, seperti peristiwa 4662, Anda juga harus mengonfigurasi audit objek pada pengguna, grup, komputer, dan objek lainnya. Prosedur ini menjelaskan cara mengaktifkan audit di domain Direktori Aktif.

Penting

Pastikan untuk meninjau dan memverifikasi kebijakan audit Anda sebelum mengaktifkan pengumpulan peristiwa untuk memastikan bahwa pengendali domain dikonfigurasi dengan benar untuk merekam peristiwa yang diperlukan. Jika dikonfigurasi dengan benar, audit ini harus memiliki efek minimal pada performa server.

  1. Buka konsol Pengguna dan Komputer Direktori Aktif.

  2. Pilih domain yang ingin Anda audit.

  3. Pilih menu Tampilan dan pilih Fitur Tingkat Lanjut.

  4. Klik kanan domain dan pilih Properti. Misalnya:

    Screenshot of the container properties option.

  5. Buka tab Keamanan , dan pilih Tingkat Lanjut. Misalnya:

    Screenshot of the advanced security properties dialog.

  6. Di Pengaturan Keamanan Tingkat Lanjut, pilih tab Audit lalu pilih Tambahkan. Misalnya:

    Screenshot of the Advanced Security Settings Auditing tab.

  7. Pilih Pilih prinsipal. Misalnya:

    Screenshot of the Select a principal option.

  8. Di bawah Masukkan nama objek untuk dipilih, masukkan Semua Orang dan pilih Periksa Nama>OK. Misalnya:

    Screenshot of the Select everyone settings.

  9. Anda kemudian kembali ke Entri Audit. Buat pilihan berikut:

    1. Untuk Jenis pilih Berhasil.

    2. Untuk Berlaku untuk memilih objek Pengguna Turunan.

    3. Di bawah Izin, gulir ke bawah dan pilih tombol Hapus semua . Misalnya:

      Screenshot of selecting Clear all.

    4. Gulir kembali ke atas dan pilih Kontrol Penuh. Semua izin dipilih.

    5. Kosongkan pilihan untuk izin Daftar konten, Baca semua properti, dan Izin baca, dan pilih OK. Ini mengatur semua pengaturan Properti ke Tulis. Misalnya:

      Screenshot of selecting permissions.

      Sekarang, ketika dipicu, semua perubahan yang relevan pada layanan direktori muncul sebagai 4662 peristiwa.

  10. Ulangi langkah-langkah dalam prosedur ini, tetapi untuk Berlaku untuk, pilih jenis objek berikut:

    • Objek Grup Turunan
    • Objek Komputer Turunan
    • Objek msDS-GroupManagedServiceAccount Turunan
    • Objek msDS-ManagedServiceAccount Turunan

Catatan

Menetapkan izin audit pada Semua objek turunan juga akan berfungsi, tetapi kami hanya memerlukan jenis objek sebagaimana dirinci pada langkah terakhir.

Mengonfigurasi audit pada Layanan Federasi Direktori Aktif (AD FS)

  1. Buka konsol Pengguna dan Komputer Direktori Aktif, dan pilih domain yang ingin Anda aktifkan log-nya.

  2. Buka Data>Program Microsoft>ADFS. Misalnya:

    Screenshot of an ADFS container.

  3. Klik kanan ADFS dan pilih Properti.

  4. Buka tab Keamanan dan pilih Pengaturan> Keamanan Tingkat LanjutTambahkan> tab >Tambahkan>Pilih prinsipal.

  5. Di bawah Masukkan nama objek untuk dipilih, masukkan Semua Orang.

  6. Pilih Periksa Nama>OK.

  7. Anda kemudian kembali ke Entri Audit. Buat pilihan berikut:

    • Untuk Jenis pilih Semua.
    • Untuk Berlaku untuk memilih Objek ini dan semua objek turunan.
    • Di bawah Izin, gulir ke bawah dan pilih Hapus semua. Gulir ke atas dan pilih Baca semua properti dan Tulis semua properti.

    Misalnya:

    Screenshot of the auditing settings for ADFS.

  8. Pilih OK.

Mengonfigurasi audit untuk Active Directory Certificate Services (AD CS)

Jika Anda bekerja dengan server khusus dengan Active Directory Certificate Services (AD CS) yang dikonfigurasi, pastikan untuk mengonfigurasi audit sebagai berikut untuk melihat pemberitahuan khusus dan laporan Skor Aman:

  1. Buat kebijakan grup untuk diterapkan ke server AD CS Anda. Edit dan konfigurasikan pengaturan audit berikut:

    1. Buka dan pilih ganda Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Security Pengaturan\Advanced Audit Policy Configuration\Audit Policies\Object Access\Audit Certification Services.

    2. Pilih untuk mengonfigurasi peristiwa audit untuk Keberhasilan dan Kegagalan. Misalnya:

      Screenshot of the Group Policy Management Editor.

  2. Konfigurasikan audit pada otoritas sertifikat (CA) menggunakan salah satu metode berikut:

    • Untuk mengonfigurasi audit CA menggunakan baris perintah, jalankan:

      certutil –setreg CA\AuditFilter 127 

net stop certsvc && net start certsvc

    • Untuk Mengonfigurasi audit CA menggunakan GUI:

      1. Pilih Mulai -> Otoritas Sertifikasi (aplikasi MMC Desktop). Klik kanan nama CA Anda dan pilih Properti. Misalnya:

        Screenshot of the Certification Authority dialog.

      2. Pilih tab Audit , pilih semua peristiwa yang ingin Anda audit, lalu pilih Terapkan. Contoh:

        Screenshot of the Properties Auditing tab.

Catatan

Mengonfigurasi audit peristiwa Mulai dan Hentikan Layanan Sertifikat Direktori Aktif dapat menyebabkan penundaan hidupkan ulang saat berhadapan dengan database AD CS besar. Pertimbangkan untuk menghapus entri yang tidak relevan dari database, atau sebagai alternatif, menahan diri dari mengaktifkan jenis peristiwa tertentu ini.

Mengonfigurasi audit pada kontainer konfigurasi

  1. Buka ADSI Edit dengan memilih Mulai>Jalankan. Masukkan ADSIEdit.msc dan pilih OK.

  2. Pada menu Tindakan, pilih Koneksi.

  3. Dalam kotak dialog Koneksi ion Pengaturan di bawah Pilih Konteks Penamaan yang terkenal, pilih Konfigurasi>OK.

  4. Perluas kontainer Konfigurasi untuk menampilkan simpul Konfigurasi, dimulai dengan "CN=Configuration,DC=..."

  5. Klik kanan simpul Konfigurasi dan pilih Properti. Misalnya:

    Screenshot of the Configuration node properties.

  6. Pilih tab >Keamanan Tingkat Lanjut.

  7. Di Pengaturan Keamanan Tingkat Lanjut, pilih tab >Pengauditan Tambahkan.

  8. Pilih Pilih prinsipal.

  9. Di bawah Masukkan nama objek untuk dipilih, masukkan Semua Orang dan pilih Periksa Nama>OK.

  10. Anda kemudian kembali ke Entri Audit. Buat pilihan berikut:

    • Untuk Jenis pilih Semua.
    • Untuk Berlaku untuk memilih Objek ini dan semua objek turunan.
    • Di bawah Izin, gulir ke bawah dan pilih Hapus semua. Gulir ke atas dan pilih Tulis semua properti.

    Misalnya:

    Screenshot of the auditing settings for the Configuration container.

  11. Pilih OK.

Konfigurasi warisan

Penting

Defender untuk Identitas tidak lagi memerlukan pengelogan 1644 peristiwa. Jika pengaturan registri ini diaktifkan, Anda dapat menghapusnya.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Konten terkait

Untuk informasi selengkapnya, lihat Audit keamanan Windows.

Langkah selanjutnya

Apa itu peran dan izin Defender for Identity? »