Configurare i criteri di controllo per i log eventi di Windows

  • Articolo

Microsoft Defender per identità rilevamento si basa su voci specifiche del registro eventi di Windows per migliorare i rilevamenti e fornire informazioni aggiuntive sugli utenti che hanno eseguito azioni specifiche, ad esempio accessi NTLM e modifiche ai gruppi di sicurezza.

Affinché gli eventi corretti vengano controllati e inclusi nel registro eventi di Windows, i controller di dominio richiedono impostazioni specifiche dei criteri di controllo avanzati di Windows Server. Le impostazioni dei criteri di controllo avanzato configurate in modo errato possono causare lacune nel registro eventi e incomplete Defender per la copertura delle identità.

Questo articolo descrive come configurare le impostazioni dei criteri di controllo avanzati in base alle esigenze per un sensore defender per identità e altre configurazioni per tipi di eventi specifici.

Per altre informazioni, vedere What is Windows event collection for Defender for Identity and Advanced security audit policies (Informazioni sulla raccolta di eventi di Windows per Defender per identità e Criteri di controllo di sicurezza avanzati) nella documentazione di Windows.

Generare un report con configurazioni correnti tramite PowerShell

Prerequisiti: prima di eseguire i comandi di PowerShell di Defender per identità, assicurarsi di aver scaricato il modulo PowerShell defender per identità.

Prima di iniziare a creare nuovi criteri di controllo ed eventi, è consigliabile eseguire il comando PowerShell seguente per generare un report delle configurazioni di dominio correnti:

New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]

Dove:

  • Path specifica il percorso in cui salvare i report
  • Mode specifica se si desidera utilizzare la modalità Domain o LocalMachine . In modalità dominio , le impostazioni vengono raccolte dagli oggetti Criteri di gruppo. In modalità LocalMachine le impostazioni vengono raccolte dal computer locale.
  • OpenHtmlReport apre il report HTML dopo la generazione del report

Ad esempio, per generare un report e aprirlo nel browser predefinito, eseguire il comando seguente:

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

Per altre informazioni, vedere le informazioni di riferimento su PowerShell per DefenderforIdentity.

Suggerimento

Il Domain report in modalità include solo le configurazioni impostate come criteri di gruppo nel dominio. Se sono presenti impostazioni definite localmente nei controller di dominio, è consigliabile eseguire anche lo script Test-MdiReadiness.ps1 .

Configurare il controllo per i controller di dominio

Quando si usa un controller di dominio, è necessario aggiornare le impostazioni dei criteri di controllo avanzati e le configurazioni aggiuntive per eventi e tipi di eventi specifici, ad esempio utenti, gruppi, computer e altro ancora. Le configurazioni di controllo per i controller di dominio includono:

Configurare le impostazioni dei criteri di controllo avanzati

Questa procedura descrive come modificare i criteri di controllo avanzati del controller di dominio in base alle esigenze di Defender per identità.

  1. Accedere al server come domain Amministrazione istrator.

  2. Aprire l'Editor Gestione Criteri di gruppo da Gestione Criteri di gruppo degli strumenti>di Server Manager>.

  3. Espandere le unità organizzative controller di dominio, fare clic con il pulsante destro del mouse su Criteri controller di dominio predefiniti e quindi scegliere Modifica. Ad esempio:

    Screenshot of the Edit domain controller policy dialog.

    Nota

    Usare i criteri dei controller di dominio predefiniti o un oggetto Criteri di gruppo dedicato per impostare questi criteri.

  4. Dalla finestra visualizzata passare a Criteri>di configurazione>computer Windows Impostazioni> Sicurezza Impostazioni e a seconda dei criteri da abilitare, eseguire le operazioni seguenti:

    1. Passare a Criteri di controllo avanzati Criteri di>controllo Criteri di controllo. Ad esempio:

      Screenshot of the Advanced Audit Policy Configuration dialog.

    2. In Criteri di controllo modificare ognuno dei criteri seguenti e selezionare Configura gli eventi di controllo seguenti per gli eventi Success e Failure.

      Criteri di controllo Sottocategoria ID evento trigger
      Accesso account Controllare la convalida delle credenziali 4776
      Gestione dell'account Controlla gestione account computer * 4741, 4743
      Gestione dell'account Controlla Gestione gruppi di distribuzione 4753, 4763
      Gestione dell'account Controlla la gestione dei gruppi di sicurezza * 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Gestione dell'account Controllo della Gestione account utente 4726
      Accesso DS Controlla Modifiche servizio directory 5136
      Di sistema Controlla estensione del sistema di sicurezza * 7045
      Accesso DS Controlla Accesso al servizio directory 4662 - Per questo evento, è necessario configurare anche il controllo degli oggetti di dominio.

      Nota

      * Le sottocategorie annotate non supportano gli eventi di errore. Tuttavia, è consigliabile aggiungerli a scopo di controllo nel caso in cui vengano implementati in futuro. Per altre informazioni, vedere Audit Computer Account Management, Audit Security Group Management e Audit Security System Extension.For more information, see Audit Computer Account Management, Audit Security Group Management, and Audit Security System Extension.

      Ad esempio, per configurare Audit Security Group Management, in Gestione account fare doppio clic su Controlla gestione gruppo di sicurezza e quindi selezionare Configura gli eventi di controllo seguenti pergli eventi Success e Failure:

      Screenshot of the Audit Security Group Management dialog.

  5. Da un prompt dei comandi con privilegi elevati digitare gpupdate.

  6. Dopo aver applicato il criterio tramite l'oggetto Criteri di gruppo, i nuovi eventi sono visibili nella Visualizzatore eventi, in Log di Windows -> Sicurezza.

Testare i criteri di controllo dalla riga di comando

Per testare i criteri di controllo dalla riga di comando, eseguire il comando seguente:

auditpol.exe /get /category:*

Per altre informazioni, vedere la documentazione di riferimento di auditpol.

Configurare, ottenere e testare i criteri di controllo con PowerShell

Per configurare i criteri di controllo tramite PowerShell, eseguire il comando seguente:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

Dove:

  • Mode specifica se si desidera utilizzare la modalità Domain o LocalMachine . In modalità dominio , le impostazioni vengono raccolte dagli oggetti Criteri di gruppo. In modalità LocalMachine le impostazioni vengono raccolte dal computer locale.

  • La configurazione specifica la configurazione da impostare. Usare All per impostare tutte le configurazioni.

  • CreateGpoDisabled specifica se gli oggetti Criteri di gruppo vengono creati e mantenuti disabilitati.

  • SkipGpoLink specifica che i collegamenti degli oggetti Criteri di gruppo non vengono creati.

  • Force specifica che la configurazione è impostata o che gli oggetti Criteri di gruppo vengono creati senza convalidare lo stato corrente.

Per visualizzare o testare i criteri di controllo usando PowerShell, eseguire i comandi seguenti in base alle esigenze. Usare il comando Get-MDIConfiguration per visualizzare i valori correnti. Usare il comando Test-MDIConfiguration per ottenere una true risposta o false per stabilire se i valori sono configurati correttamente.

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Dove:

  • Mode specifica se si desidera utilizzare la modalità Domain o LocalMachine . In modalità dominio , le impostazioni vengono raccolte dagli oggetti Criteri di gruppo. In modalità LocalMachine le impostazioni vengono raccolte dal computer locale.

  • La configurazione specifica la configurazione da ottenere. Usare All per ottenere tutte le configurazioni.

Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Dove:

  • Mode specifica se si desidera utilizzare la modalità Domain o LocalMachine . In modalità dominio , le impostazioni vengono raccolte dagli oggetti Criteri di gruppo. In modalità LocalMachine le impostazioni vengono raccolte dal computer locale.

  • La configurazione specifica la configurazione da testare. Usare All per testare tutte le configurazioni.

Per altre informazioni, vedere i riferimenti a PowerShell di DefenderForIdentity seguenti:

Configurare il controllo NTLM

Questa sezione descrive i passaggi di configurazione aggiuntivi necessari per controllare l'ID evento 8004.

Nota

  • I criteri di gruppo di dominio per raccogliere l'evento Windows 8004 devono essere applicati solo ai controller di dominio.
  • Quando l'evento di Windows 8004 viene analizzato da Defender for Identity Sensor, le attività di autenticazione NTLM di Defender per identità vengono arricchite con i dati a cui si accede al server.

  1. Seguendo i passaggi iniziali, aprire Gestione Criteri di gruppo e passare alle opzioni di sicurezza Criteri locali>dei>controller di dominio predefiniti.

  2. In Opzioni di sicurezza configurare i criteri di sicurezza specificati come segue:

    Impostazione dei criteri di sicurezza Valore
    Sicurezza di rete: Limitare NTLM: traffico NTLM in uscita verso server remoti Controlla tutto
    Sicurezza di rete: Limita NTLM: controlla l'autenticazione NTLM in questo dominio Abilita tutti
    Sicurezza di rete: Limita NTLM: controlla il traffico NTLM in ingresso Abilitare il controllo per tutti gli account

Ad esempio, per configurare il traffico NTLM in uscita verso server remoti, in Opzioni di sicurezza fare doppio clic su Sicurezza di rete: Limita NTLM: Traffico NTLM in uscita verso server remoti e quindi selezionare Controlla tutto:

Screenshot of the Audit Outgoing NTLM traffic to remote servers configuration.

Configurare il controllo degli oggetti di dominio

Per raccogliere eventi per le modifiche agli oggetti, ad esempio l'evento 4662, è necessario configurare anche il controllo degli oggetti nell'utente, nel gruppo, nel computer e in altri oggetti. Questa procedura descrive come abilitare il controllo nel dominio di Active Directory.

Importante

Assicurarsi di esaminare e verificare i criteri di controllo prima di abilitare la raccolta eventi per assicurarsi che i controller di dominio siano configurati correttamente per registrare gli eventi necessari. Se configurata correttamente, questo controllo deve avere un effetto minimo sulle prestazioni del server.

  1. Passare alla console di Utenti e computer di Active Directory.

  2. Selezionare il dominio da controllare.

  3. Selezionare il menu Visualizza e selezionare Funzionalità avanzate.

  4. Fare clic con il pulsante destro del mouse sul dominio e scegliere Proprietà. Ad esempio:

    Screenshot of the container properties option.

  5. Passare alla scheda Sicurezza e selezionare Avanzate. Ad esempio:

    Screenshot of the advanced security properties dialog.

  6. In Advanced Security Impostazioni selezionare la scheda Controllo e quindi selezionare Aggiungi. Ad esempio:

    Screenshot of the Advanced Security Settings Auditing tab.

  7. Selezionare Seleziona un'entità. Ad esempio:

    Screenshot of the Select a principal option.

  8. In Immettere il nome dell'oggetto da selezionare immettere Tutti e selezionare Controlla nomi>OK. Ad esempio:

    Screenshot of the Select everyone settings.

  9. Si torna quindi a Voce di controllo. Effettuare le selezioni seguenti:

    1. Per Tipo selezionare Operazione riuscita.

    2. Per Si applica a selezionare Oggetti Utente discendente .

    3. In Autorizzazioni scorrere verso il basso e selezionare il pulsante Cancella tutto . Ad esempio:

      Screenshot of selecting Clear all.

    4. Scorrere il backup e selezionare Controllo completo. Vengono selezionate tutte le autorizzazioni.

    5. Deselezionare la selezione per il contenuto dell'elenco, Leggere tutte le proprietà e Autorizzazioni lettura e selezionare OK. In questo modo vengono impostate tutte le impostazioni Proprietà su Write. Ad esempio:

      Screenshot of selecting permissions.

      Ora, quando viene attivato, tutte le modifiche rilevanti ai servizi directory vengono visualizzate come 4662 eventi.

  10. Ripetere i passaggi di questa procedura, ma per Si applica a, selezionare i tipi di oggetto seguenti:

    • Oggetti gruppo discendente
    • Oggetti computer discendenti
    • Descendant msDS-GroupManagedServiceAccount Objects
    • Oggetti msDS-ManagedServiceAccount discendenti

Nota

Anche l'assegnazione delle autorizzazioni di controllo per tutti gli oggetti discendenti funzionerebbe, ma sono necessari solo i tipi di oggetto come descritto nell'ultimo passaggio.

Configurare il controllo in un'istanza di Active Directory Federation Services (AD FS)

  1. Passare alla console Utenti e computer di Active Directory e selezionare il dominio in cui si vuole abilitare i log.

  2. Passare a Dati>programma Microsoft>ADFS. Ad esempio:

    Screenshot of an ADFS container.

  3. Fare clic con il pulsante destro del mouse su ADFS e scegliere Proprietà.

  4. Passare alla scheda Sicurezza e selezionare Sicurezza avanzata>Impostazioni> Audizione scheda >Aggiungi>Selezionare un'entità.

  5. In Immettere il nome dell'oggetto da selezionare immettere Tutti.

  6. Selezionare Controlla nomi>OK.

  7. Si torna quindi a Voce di controllo. Effettuare le selezioni seguenti:

    • Per Tipo selezionare Tutto.
    • Per Si applica per selezionare Questo oggetto e tutti gli oggetti discendenti.
    • In Autorizzazioni scorrere verso il basso e selezionare Cancella tutto. Scorrere verso l'alto e selezionare Leggi tutte le proprietà e Scrivi tutte le proprietà.

    Ad esempio:

    Screenshot of the auditing settings for ADFS.

  8. Seleziona OK.

Configurare il controllo per Servizi certificati Active Directory

Se si usa un server dedicato con Servizi certificati Active Directory (AD CS) configurato, assicurarsi di configurare il controllo come indicato di seguito per visualizzare avvisi dedicati e report di Secure Score:

  1. Creare criteri di gruppo da applicare al server servizi certificati Active Directory. Modificarlo e configurare le impostazioni di controllo seguenti:

    1. Passare a e selezionare Configurazione computer\Criteri\Windows Impostazioni\Sicurezza Impostazioni\Configurazione avanzata criteri di controllo\Criteri di controllo\Criteri di controllo\Accesso oggetto\Audit Certification Services.

    2. Selezionare questa opzione per configurare gli eventi di controllo per Operazione riuscita e Errore. Ad esempio:

      Screenshot of the Group Policy Management Editor.

  2. Configurare il controllo nell'autorità di certificazione (CA) usando uno dei metodi seguenti:

    • Per configurare il controllo ca tramite la riga di comando, eseguire:

      certutil –setreg CA\AuditFilter 127 

net stop certsvc && net start certsvc

    • Per configurare il controllo ca tramite l'interfaccia utente grafica:

      1. Selezionare Start -> Certification Authority (applicazione desktop MMC) . Fare clic con il pulsante destro del mouse sul nome della CA e scegliere Proprietà. Ad esempio:

        Screenshot of the Certification Authority dialog.

      2. Selezionare la scheda Controllo , selezionare tutti gli eventi da controllare e quindi selezionare Applica. Ad esempio:

        Screenshot of the Properties Auditing tab.

Nota

La configurazione del controllo degli eventi di Servizi certificati Active Directory Start e Stop può causare ritardi di riavvio quando si gestiscono un database di Servizi certificati Active Directory di grandi dimensioni. È consigliabile rimuovere voci irrilevanti dal database o, in alternativa, evitare di abilitare questo tipo specifico di evento.

Configurare il controllo nel contenitore di configurazione

  1. Aprire ADSI Edit (Modifica ADSI) selezionando Start Run (Avvia>esecuzione). Immettere ADSIEdit.msc e selezionare OK.

  2. Scegliere Connessione dal menu Azione.

  3. Nella finestra di dialogo Connessione Impostazioni in Selezionare un contesto di denominazione noto selezionare Configurazione>OK.

  4. Espandere il contenitore Configurazione per visualizzare il nodo Configurazione , a partire da "CN=Configuration,DC=..."

  5. Fare clic con il pulsante destro del mouse sul nodo Configurazione e scegliere Proprietà. Ad esempio:

    Screenshot of the Configuration node properties.

  6. Selezionare la scheda >Sicurezza Avanzate.

  7. Nella Impostazioni Sicurezza avanzata selezionare la scheda >Controllo Aggiungi.

  8. Selezionare Seleziona un'entità.

  9. In Immettere il nome dell'oggetto da selezionare immettere Tutti e selezionare Controlla nomi>OK.

  10. Si torna quindi a Voce di controllo. Effettuare le selezioni seguenti:

    • Per Tipo selezionare Tutto.
    • Per Si applica per selezionare Questo oggetto e tutti gli oggetti discendenti.
    • In Autorizzazioni scorrere verso il basso e selezionare Cancella tutto. Scorrere verso l'alto e selezionare Scrivi tutte le proprietà.

    Ad esempio:

    Screenshot of the auditing settings for the Configuration container.

  11. Seleziona OK.

Configurazioni legacy

Importante

Defender per identità non richiede più la registrazione di 1644 eventi. Se questa impostazione del Registro di sistema è abilitata, è possibile rimuoverla.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Contenuto correlato

Per altre informazioni, vedere Controllo della sicurezza di Windows.

Passaggio successivo

Che cosa sono i ruoli e le autorizzazioni di Defender per identità? »