Controlebeleid configureren voor Windows-gebeurtenislogboeken

  • Artikel

Microsoft Defender for Identity-detectie is afhankelijk van specifieke vermeldingen in het Windows-gebeurtenislogboek om detecties te verbeteren en extra informatie te bieden over de gebruikers die specifieke acties hebben uitgevoerd, zoals NTLM-aanmeldingen en wijzigingen in beveiligingsgroepen.

Voor de juiste gebeurtenissen die moeten worden gecontroleerd en opgenomen in het Windows-gebeurtenislogboek, zijn voor uw domeincontrollers specifieke instellingen voor geavanceerd controlebeleid voor Windows-servers vereist. Onjuist geconfigureerde instellingen voor geavanceerd controlebeleid kunnen hiaten veroorzaken in het gebeurtenislogboek en onvolledige Defender for Identity-dekking.

In dit artikel wordt beschreven hoe u de instellingen voor geavanceerd controlebeleid zo nodig configureert voor een Defender for Identity-sensor en andere configuraties voor specifieke gebeurtenistypen.

Zie Wat is Windows-gebeurtenisverzameling voor Defender for Identity en Geavanceerd beveiligingscontrolebeleid in de Windows-documentatie voor meer informatie.

Een rapport genereren met huidige configuraties via PowerShell

Vereisten: Voordat u Defender for Identity PowerShell-opdrachten uitvoert, moet u ervoor zorgen dat u de PowerShell-module Defender for Identity hebt gedownload.

Voordat u begint met het maken van nieuw gebeurtenis- en controlebeleid, raden we u aan de volgende PowerShell-opdracht uit te voeren om een rapport van uw huidige domeinconfiguraties te genereren:

New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]

Hierin:

  • Pad geeft het pad op waarin de rapporten moeten worden opgeslagen
  • De modus geeft aan of u de modus Domain of LocalMachine wilt gebruiken. In de domeinmodus worden de instellingen verzameld van de groepsbeleidsobjecten. In de LocalMachine-modus worden de instellingen verzameld van de lokale computer.
  • OpenHtmlReport opent het HTML-rapport nadat het rapport is gegenereerd

Als u bijvoorbeeld een rapport wilt genereren en openen in uw standaardbrowser, voert u de volgende opdracht uit:

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

Zie de naslaginformatie over DefenderforIdentity PowerShell voor meer informatie.

Tip

Het Domain modusrapport bevat alleen configuraties die zijn ingesteld als groepsbeleid voor het domein. Als u instellingen lokaal hebt gedefinieerd op uw domeincontrollers, raden we u aan ook het script Test-MdiReadiness.ps1 uit te voeren.

Controle configureren voor domeincontrollers

Wanneer u met een domeincontroller werkt, moet u de instellingen voor geavanceerd controlebeleid en extra configuraties bijwerken voor specifieke gebeurtenissen en gebeurtenistypen, zoals gebruikers, groepen, computers en meer. Auditconfiguraties voor domeincontrollers zijn onder andere:

Geavanceerde instellingen voor controlebeleid configureren

In deze procedure wordt beschreven hoe u het geavanceerde controlebeleid van uw domeincontroller indien nodig wijzigt voor Defender for Identity.

  1. Meld u als Domein Beheer istrator aan bij de server.

  2. Open de Editor groepsbeleidsbeheer vanuit Serverbeheer> Tools>Groepsbeleidsbeheer.

  3. Vouw de organisatie-eenheden van domeincontrollers uit, klik met de rechtermuisknop op Standaardbeleid voor domeincontrollers en selecteer Bewerken. Bijvoorbeeld:

    Screenshot of the Edit domain controller policy dialog.

    Notitie

    Gebruik het standaardbeleid voor domeincontrollers of een toegewezen groepsbeleidsobject om dit beleid in te stellen.

  4. Ga in het venster dat wordt geopend naar Computerconfiguratiebeleid>>Windows Instellingen> Security Instellingen en ga op de volgende manieren te werk, afhankelijk van het beleid dat u wilt inschakelen:

    1. Ga naar Het controlebeleid voor geavanceerde controlebeleidsconfiguratie>. Voorbeeld:

      Screenshot of the Advanced Audit Policy Configuration dialog.

    2. Bewerk onder Controlebeleid elk van de volgende beleidsregels en selecteer De volgende controlegebeurtenissen configureren voor zowel geslaagdeals mislukte gebeurtenissen.

      Controlebeleid Subcategorie Gebeurtenis-id's activeren
      Accountaanmelding Validatie van referenties controleren 4776
      Accountbeheer Computeraccountbeheer controleren * 4741, 4743
      Accountbeheer Beheer van distributiegroepen controleren 4753, 4763
      Accountbeheer Beveiligingsgroepsbeheer controleren * 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Accountbeheer Gebruikersaccountbeheer controleren 4726
      DS-toegang Directoryservice-wijzigingen controleren 5136
      Systeem Beveiligingssysteemextensie controleren * 7045
      DS-toegang Directoryservice-toegang controleren 4662 - Voor deze gebeurtenis moet u ook domeinobjectcontrole configureren.

      Notitie

      * Genoteerde subcategorieën bieden geen ondersteuning voor foutevenementen. We raden u echter aan ze toe te voegen voor controledoeleinden voor het geval ze in de toekomst worden geïmplementeerd. Zie Accountbeheer van computer controleren, Beveiligingsgroepsbeheer controleren en Beveiligingssysteemextensie controleren voor meer informatie.

      Als u bijvoorbeeld Controlebeveiligingsgroepbeheer wilt configureren, dubbelklikt u onder Accountbeheer op Controlebeveiligingsgroepbeheer en selecteert u vervolgens De volgende controlegebeurtenissen configureren voor geslaagde en mislukte gebeurtenissen:

      Screenshot of the Audit Security Group Management dialog.

  5. Typ vanaf een opdrachtprompt met gpupdateverhoogde bevoegdheid.

  6. Nadat u het beleid via GPO hebt toegepast, zijn de nieuwe gebeurtenissen zichtbaar in de Logboeken, onder Windows Logs ->Security.

Controlebeleid testen vanaf de opdrachtregel

Voer de volgende opdracht uit om uw controlebeleid vanaf de opdrachtregel te testen:

auditpol.exe /get /category:*

Zie de referentiedocumentatie voor auditpol voor meer informatie.

Controlebeleid configureren, ophalen en testen met behulp van PowerShell

Voer de volgende opdracht uit om controlebeleid te configureren met behulp van PowerShell:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

Hierin:

  • De modus geeft aan of u de modus Domain of LocalMachine wilt gebruiken. In de domeinmodus worden de instellingen verzameld van de groepsbeleidsobjecten. In de LocalMachine-modus worden de instellingen verzameld van de lokale computer.

  • Configuratie geeft aan welke configuratie moet worden ingesteld. Hiermee All kunt u alle configuraties instellen.

  • CreateGpoDisabled geeft aan of de groepsbeleidsobjecten worden gemaakt en als uitgeschakeld worden bewaard.

  • SkipGpoLink geeft aan dat GPO-koppelingen niet worden gemaakt.

  • Force geeft aan dat de configuratie is ingesteld of GPO's worden gemaakt zonder de huidige status te valideren.

Als u uw controlebeleid wilt weergeven of testen met behulp van PowerShell, voert u de volgende opdrachten uit. Gebruik de opdracht Get-MDIConfiguration om de huidige waarden weer te geven. Gebruik de opdracht Test-MDIConfiguration om een true of false antwoord te krijgen over of de waarden correct zijn geconfigureerd.

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Hierin:

  • De modus geeft aan of u de modus Domain of LocalMachine wilt gebruiken. In de domeinmodus worden de instellingen verzameld van de groepsbeleidsobjecten. In de LocalMachine-modus worden de instellingen verzameld van de lokale computer.

  • Configuratie geeft aan welke configuratie moet worden get. Gebruik All dit om alle configuraties op te halen.

Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Hierin:

  • De modus geeft aan of u de modus Domain of LocalMachine wilt gebruiken. In de domeinmodus worden de instellingen verzameld van de groepsbeleidsobjecten. In de LocalMachine-modus worden de instellingen verzameld van de lokale computer.

  • Configuratie geeft aan welke configuratie moet worden getest. Gebruik All dit om alle configuraties te testen.

Zie de volgende DefenderForIdentity PowerShell-verwijzingen voor meer informatie:

NTLM-controle configureren

In deze sectie worden de extra configuratiestappen beschreven die nodig zijn om gebeurtenis-id 8004 te controleren.

Notitie

  • Groepsbeleid voor domeinen voor het verzamelen van Windows Event 8004 mag alleen worden toegepast op domeincontrollers.
  • Wanneer Windows Event 8004 wordt geparseerd door Defender for Identity Sensor, worden activiteiten voor Defender for Identity NTLM-verificatie verrijkt met de servertoegangsgegevens.

  1. Nadat u de eerste stappen hebt uitgevoerd, opent u Groepsbeleidsbeheer en gaat u naar de beveiligingsopties voor lokaal beleid>voor standaarddomeincontrollers.>

  2. Configureer onder Beveiligingsopties het opgegeven beveiligingsbeleid als volgt:

    Beveiligingsbeleidsinstelling Weergegeven als
    Netwerkbeveiliging: NTLM beperken: uitgaand NTLM-verkeer naar externe servers Alles controleren
    Netwerkbeveiliging: NTLM beperken: NTLM-verificatie controleren in dit domein Alles inschakelen
    Netwerkbeveiliging: NTLM beperken: binnenkomend NTLM-verkeer controleren Controle inschakelen voor alle accounts

Als u bijvoorbeeld uitgaand NTLM-verkeer wilt configureren naar externe servers, dubbelklikt u onder Beveiligingsopties op Netwerkbeveiliging: NTLM beperken: Uitgaand NTLM-verkeer naar externe servers en selecteer vervolgens Alles controleren:

Screenshot of the Audit Outgoing NTLM traffic to remote servers configuration.

Domeinobjectcontrole configureren

Als u gebeurtenissen wilt verzamelen voor objectwijzigingen, zoals gebeurtenis 4662, moet u ook objectcontrole configureren voor de gebruiker, groep, computer en andere objecten. In deze procedure wordt beschreven hoe u controle inschakelt in het Active Directory-domein.

Belangrijk

Controleer en controleer uw controlebeleid voordat u gebeurtenisverzameling inschakelt om ervoor te zorgen dat de domeincontrollers correct zijn geconfigureerd om de benodigde gebeurtenissen vast te leggen. Als deze controle juist is geconfigureerd, moet dit minimale effect hebben op de serverprestaties.

  1. Ga naar de Active Directory-console.

  2. Selecteer het domein dat u wilt controleren.

  3. Selecteer het menu Beeld en selecteer Geavanceerde functies.

  4. Klik met de rechtermuisknop op het domein en selecteer Eigenschappen. Voorbeeld:

    Screenshot of the container properties option.

  5. Ga naar het tabblad Beveiliging en selecteer Geavanceerd. Voorbeeld:

    Screenshot of the advanced security properties dialog.

  6. Selecteer in Advanced Security Instellingen het tabblad Controle en selecteer vervolgens Toevoegen. Voorbeeld:

    Screenshot of the Advanced Security Settings Auditing tab.

  7. Selecteer Een principal selecteren. Voorbeeld:

    Screenshot of the Select a principal option.

  8. Voer onder Enter de objectnaam in die u wilt selecteren, voer Iedereen in en selecteer Namen>controleren OK. Voorbeeld:

    Screenshot of the Select everyone settings.

  9. Vervolgens keert u terug naar Controlevermelding. Maak de volgende keuzes:

    1. Selecteer Geslaagd voor Type.

    2. Voor Van toepassing op het selecteren van onderliggende gebruikersobjecten.

    3. Schuif onder Machtigingen omlaag en selecteer de knop Alles wissen. Voorbeeld:

      Screenshot of selecting Clear all.

    4. Schuif terug naar boven en selecteer Volledig beheer. Alle machtigingen zijn geselecteerd.

    5. Wis de selectie voor de inhoud van de lijst, lees alle eigenschappen en machtigingen voor leesmachtigingen en selecteer OK. Hiermee stelt u alle eigenschappeninstellingen in op Schrijven. Voorbeeld:

      Screenshot of selecting permissions.

      Wanneer dit wordt geactiveerd, worden alle relevante wijzigingen in adreslijstservices weergegeven als 4662 gebeurtenissen.

  10. Herhaal de stappen in deze procedure, maar selecteer voor Van toepassing op de volgende objecttypen:

    • Onderliggende groepsobjecten
    • Onderliggende computerobjecten
    • Onderliggende msDS-GroupManagedServiceAccount-objecten
    • Onderliggende msDS-ManagedServiceAccount-objecten

Notitie

Het toewijzen van de controlemachtigingen voor alle onderliggende objecten werkt ook, maar we vereisen alleen de objecttypen zoals beschreven in de laatste stap.

Controle configureren op een Active Directory Federation Services (AD FS)

  1. Ga naar de Active Directory-console en selecteer het domein waarvoor u de logboeken wilt inschakelen.

  2. Ga naar Program Data>Microsoft>ADFS. Voorbeeld:

    Screenshot of an ADFS container.

  3. Klik met de rechtermuisknop op ADFS en selecteer Eigenschappen.

  4. Ga naar het tabblad Beveiliging en selecteer Advanced>Advanced Security Instellingen> Auditing tab >Add>Select a principal.

  5. Voer onder Enter de objectnaam in die u wilt selecteren.

  6. Selecteer Namen controleren>OK.

  7. Vervolgens keert u terug naar Controlevermelding. Maak de volgende keuzes:

    • Selecteer Alles bij Type.
    • Voor Is van toepassing om dit object en alle onderliggende objecten te selecteren.
    • Schuif onder Machtigingen omlaag en selecteer Alles wissen. Schuif omhoog en selecteer Alle eigenschappen lezen en Alle eigenschappen schrijven.

    Voorbeeld:

    Screenshot of the auditing settings for ADFS.

  8. Selecteer OK.

Controle configureren voor Active Directory Certificate Services (AD CS)

Als u werkt met een toegewezen server waarop Active Directory Certificate Services (AD CS) is geconfigureerd, moet u controleren als volgt configureren om toegewezen waarschuwingen en beveiligingsscorerapporten weer te geven:

  1. Maak een groepsbeleid dat moet worden toegepast op uw AD CS-server. Bewerk deze en configureer de volgende controle-instellingen:

    1. Ga naar en dubbel selecteer Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Advanced Audit Policy Configuration\Audit Policies\Object Access\Audit Certification Services.

    2. Selecteer deze optie om controlegebeurtenissen te configureren voor geslaagd en mislukt. Voorbeeld:

      Screenshot of the Group Policy Management Editor.

  2. Configureer controle op de certificeringsinstantie (CA) met behulp van een van de volgende methoden:

    • Als u CA-controle wilt configureren met behulp van de opdrachtregel, voert u het volgende uit:

      certutil –setreg CA\AuditFilter 127 

net stop certsvc && net start certsvc

    • Ca-controle configureren met behulp van de GUI:

      1. Selecteer Start -> Certificeringsinstantie (MMC Desktop-toepassing). Klik met de rechtermuisknop op de naam van uw CA en selecteer Eigenschappen. Voorbeeld:

        Screenshot of the Certification Authority dialog.

      2. Selecteer het tabblad Controle , selecteer alle gebeurtenissen die u wilt controleren en selecteer vervolgens Toepassen. Bijvoorbeeld:

        Screenshot of the Properties Auditing tab.

Notitie

Het configureren van active Directory Certificate Services-gebeurteniscontrole kan vertragingen veroorzaken bij het opnieuw opstarten bij het verwerken van een grote AD CS-database. Overweeg om irrelevante vermeldingen uit de database te verwijderen of u kunt dit specifieke type gebeurtenis niet inschakelen.

Controle configureren voor de configuratiecontainer

  1. Open ADSI Edit door Start Run> te selecteren. Typ ADSIEdit.msc en selecteer OK.

  2. Selecteer Verbinding maken in het menu Actie.

  3. Selecteer In het dialoogvenster Verbinding maken ion Instellingen onder Selecteer een bekende naamgevingscontext de optie Configuratie>OK.

  4. Vouw de configuratiecontainer uit om het configuratieknooppunt weer te geven, te beginnen met 'CN=Configuration,DC=...'

  5. Klik met de rechtermuisknop op het configuratieknooppunt en selecteer Eigenschappen. Voorbeeld:

    Screenshot of the Configuration node properties.

  6. Selecteer het tabblad >Beveiliging geavanceerd.

  7. Selecteer in de advanced security Instellingen het tabblad >Controle toevoegen.

  8. Selecteer Een principal selecteren.

  9. Voer onder Enter de objectnaam in die u wilt selecteren, voer Iedereen in en selecteer Namen>controleren OK.

  10. Vervolgens keert u terug naar Controlevermelding. Maak de volgende keuzes:

    • Selecteer Alles bij Type.
    • Voor Is van toepassing om dit object en alle onderliggende objecten te selecteren.
    • Schuif onder Machtigingen omlaag en selecteer Alles wissen. Schuif omhoog en selecteer Alle eigenschappen schrijven.

    Voorbeeld:

    Screenshot of the auditing settings for the Configuration container.

  11. Selecteer OK.

Verouderde configuraties

Belangrijk

Defender for Identity vereist geen 1644 gebeurtenissen meer. Als u deze registerinstelling hebt ingeschakeld, kunt u deze verwijderen.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Gerelateerde inhoud

Zie Windows-beveiligingscontrole voor meer informatie.

Volgende stap

Wat zijn Defender for Identity-rollen en -machtigingen? »