Controlebeleid configureren voor Windows-gebeurtenislogboeken
Microsoft Defender for Identity-detectie is afhankelijk van specifieke vermeldingen in het Windows-gebeurtenislogboek om detecties te verbeteren en extra informatie te bieden over de gebruikers die specifieke acties hebben uitgevoerd, zoals NTLM-aanmeldingen en wijzigingen in beveiligingsgroepen.
Voor de juiste gebeurtenissen die moeten worden gecontroleerd en opgenomen in het Windows-gebeurtenislogboek, zijn voor uw domeincontrollers specifieke instellingen voor geavanceerd controlebeleid voor Windows-servers vereist. Onjuist geconfigureerde instellingen voor geavanceerd controlebeleid kunnen hiaten veroorzaken in het gebeurtenislogboek en onvolledige Defender for Identity-dekking.
In dit artikel wordt beschreven hoe u de instellingen voor geavanceerd controlebeleid zo nodig configureert voor een Defender for Identity-sensor en andere configuraties voor specifieke gebeurtenistypen.
Zie Wat is Windows-gebeurtenisverzameling voor Defender for Identity en Geavanceerd beveiligingscontrolebeleid in de Windows-documentatie voor meer informatie.
Een rapport genereren met huidige configuraties via PowerShell
Vereisten: Voordat u Defender for Identity PowerShell-opdrachten uitvoert, moet u ervoor zorgen dat u de PowerShell-module Defender for Identity hebt gedownload.
Voordat u begint met het maken van nieuw gebeurtenis- en controlebeleid, raden we u aan de volgende PowerShell-opdracht uit te voeren om een rapport van uw huidige domeinconfiguraties te genereren:
New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]
Hierin:
- Pad geeft het pad op waarin de rapporten moeten worden opgeslagen
- De modus geeft aan of u de modus Domain of LocalMachine wilt gebruiken. In de domeinmodus worden de instellingen verzameld van de groepsbeleidsobjecten. In de LocalMachine-modus worden de instellingen verzameld van de lokale computer.
- OpenHtmlReport opent het HTML-rapport nadat het rapport is gegenereerd
Als u bijvoorbeeld een rapport wilt genereren en openen in uw standaardbrowser, voert u de volgende opdracht uit:
New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport
Zie de naslaginformatie over DefenderforIdentity PowerShell voor meer informatie.
Tip
Het Domain
modusrapport bevat alleen configuraties die zijn ingesteld als groepsbeleid voor het domein. Als u instellingen lokaal hebt gedefinieerd op uw domeincontrollers, raden we u aan ook het script Test-MdiReadiness.ps1 uit te voeren.
Controle configureren voor domeincontrollers
Wanneer u met een domeincontroller werkt, moet u de instellingen voor geavanceerd controlebeleid en extra configuraties bijwerken voor specifieke gebeurtenissen en gebeurtenistypen, zoals gebruikers, groepen, computers en meer. Auditconfiguraties voor domeincontrollers zijn onder andere:
Geavanceerde instellingen voor controlebeleid configureren
In deze procedure wordt beschreven hoe u het geavanceerde controlebeleid van uw domeincontroller indien nodig wijzigt voor Defender for Identity.
Meld u als Domein Beheer istrator aan bij de server.
Open de Editor groepsbeleidsbeheer vanuit Serverbeheer> Tools>Groepsbeleidsbeheer.
Vouw de organisatie-eenheden van domeincontrollers uit, klik met de rechtermuisknop op Standaardbeleid voor domeincontrollers en selecteer Bewerken. Bijvoorbeeld:
Notitie
Gebruik het standaardbeleid voor domeincontrollers of een toegewezen groepsbeleidsobject om dit beleid in te stellen.
Ga in het venster dat wordt geopend naar Computerconfiguratiebeleid>>Windows Instellingen> Security Instellingen en ga op de volgende manieren te werk, afhankelijk van het beleid dat u wilt inschakelen:
Ga naar Het controlebeleid voor geavanceerde controlebeleidsconfiguratie>. Voorbeeld:
Bewerk onder Controlebeleid elk van de volgende beleidsregels en selecteer De volgende controlegebeurtenissen configureren voor zowel geslaagdeals mislukte gebeurtenissen.
Controlebeleid Subcategorie Gebeurtenis-id's activeren Accountaanmelding Validatie van referenties controleren 4776 Accountbeheer Computeraccountbeheer controleren * 4741, 4743 Accountbeheer Beheer van distributiegroepen controleren 4753, 4763 Accountbeheer Beveiligingsgroepsbeheer controleren * 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758 Accountbeheer Gebruikersaccountbeheer controleren 4726 DS-toegang Directoryservice-wijzigingen controleren 5136 Systeem Beveiligingssysteemextensie controleren * 7045 DS-toegang Directoryservice-toegang controleren 4662 - Voor deze gebeurtenis moet u ook domeinobjectcontrole configureren. Notitie
* Genoteerde subcategorieën bieden geen ondersteuning voor foutevenementen. We raden u echter aan ze toe te voegen voor controledoeleinden voor het geval ze in de toekomst worden geïmplementeerd. Zie Accountbeheer van computer controleren, Beveiligingsgroepsbeheer controleren en Beveiligingssysteemextensie controleren voor meer informatie.
Als u bijvoorbeeld Controlebeveiligingsgroepbeheer wilt configureren, dubbelklikt u onder Accountbeheer op Controlebeveiligingsgroepbeheer en selecteert u vervolgens De volgende controlegebeurtenissen configureren voor geslaagde en mislukte gebeurtenissen:
Typ vanaf een opdrachtprompt met
gpupdate
verhoogde bevoegdheid.Nadat u het beleid via GPO hebt toegepast, zijn de nieuwe gebeurtenissen zichtbaar in de Logboeken, onder Windows Logs ->Security.
Controlebeleid testen vanaf de opdrachtregel
Voer de volgende opdracht uit om uw controlebeleid vanaf de opdrachtregel te testen:
auditpol.exe /get /category:*
Zie de referentiedocumentatie voor auditpol voor meer informatie.
Controlebeleid configureren, ophalen en testen met behulp van PowerShell
Voer de volgende opdracht uit om controlebeleid te configureren met behulp van PowerShell:
Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]
Hierin:
De modus geeft aan of u de modus Domain of LocalMachine wilt gebruiken. In de domeinmodus worden de instellingen verzameld van de groepsbeleidsobjecten. In de LocalMachine-modus worden de instellingen verzameld van de lokale computer.
Configuratie geeft aan welke configuratie moet worden ingesteld. Hiermee
All
kunt u alle configuraties instellen.CreateGpoDisabled geeft aan of de groepsbeleidsobjecten worden gemaakt en als uitgeschakeld worden bewaard.
SkipGpoLink geeft aan dat GPO-koppelingen niet worden gemaakt.
Force geeft aan dat de configuratie is ingesteld of GPO's worden gemaakt zonder de huidige status te valideren.
Als u uw controlebeleid wilt weergeven of testen met behulp van PowerShell, voert u de volgende opdrachten uit. Gebruik de opdracht Get-MDIConfiguration om de huidige waarden weer te geven. Gebruik de opdracht Test-MDIConfiguration om een true
of false
antwoord te krijgen over of de waarden correct zijn geconfigureerd.
Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>
Hierin:
De modus geeft aan of u de modus Domain of LocalMachine wilt gebruiken. In de domeinmodus worden de instellingen verzameld van de groepsbeleidsobjecten. In de LocalMachine-modus worden de instellingen verzameld van de lokale computer.
Configuratie geeft aan welke configuratie moet worden get. Gebruik
All
dit om alle configuraties op te halen.
Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>
Hierin:
De modus geeft aan of u de modus Domain of LocalMachine wilt gebruiken. In de domeinmodus worden de instellingen verzameld van de groepsbeleidsobjecten. In de LocalMachine-modus worden de instellingen verzameld van de lokale computer.
Configuratie geeft aan welke configuratie moet worden getest. Gebruik
All
dit om alle configuraties te testen.
Zie de volgende DefenderForIdentity PowerShell-verwijzingen voor meer informatie:
NTLM-controle configureren
In deze sectie worden de extra configuratiestappen beschreven die nodig zijn om gebeurtenis-id 8004 te controleren.
Notitie
- Groepsbeleid voor domeinen voor het verzamelen van Windows Event 8004 mag alleen worden toegepast op domeincontrollers.
- Wanneer Windows Event 8004 wordt geparseerd door Defender for Identity Sensor, worden activiteiten voor Defender for Identity NTLM-verificatie verrijkt met de servertoegangsgegevens.
Nadat u de eerste stappen hebt uitgevoerd, opent u Groepsbeleidsbeheer en gaat u naar de beveiligingsopties voor lokaal beleid>voor standaarddomeincontrollers.>
Configureer onder Beveiligingsopties het opgegeven beveiligingsbeleid als volgt:
Beveiligingsbeleidsinstelling Weergegeven als Netwerkbeveiliging: NTLM beperken: uitgaand NTLM-verkeer naar externe servers Alles controleren Netwerkbeveiliging: NTLM beperken: NTLM-verificatie controleren in dit domein Alles inschakelen Netwerkbeveiliging: NTLM beperken: binnenkomend NTLM-verkeer controleren Controle inschakelen voor alle accounts
Als u bijvoorbeeld uitgaand NTLM-verkeer wilt configureren naar externe servers, dubbelklikt u onder Beveiligingsopties op Netwerkbeveiliging: NTLM beperken: Uitgaand NTLM-verkeer naar externe servers en selecteer vervolgens Alles controleren:
Domeinobjectcontrole configureren
Als u gebeurtenissen wilt verzamelen voor objectwijzigingen, zoals gebeurtenis 4662, moet u ook objectcontrole configureren voor de gebruiker, groep, computer en andere objecten. In deze procedure wordt beschreven hoe u controle inschakelt in het Active Directory-domein.
Belangrijk
Controleer en controleer uw controlebeleid voordat u gebeurtenisverzameling inschakelt om ervoor te zorgen dat de domeincontrollers correct zijn geconfigureerd om de benodigde gebeurtenissen vast te leggen. Als deze controle juist is geconfigureerd, moet dit minimale effect hebben op de serverprestaties.
Ga naar de Active Directory-console.
Selecteer het domein dat u wilt controleren.
Selecteer het menu Beeld en selecteer Geavanceerde functies.
Klik met de rechtermuisknop op het domein en selecteer Eigenschappen. Voorbeeld:
Ga naar het tabblad Beveiliging en selecteer Geavanceerd. Voorbeeld:
Selecteer in Advanced Security Instellingen het tabblad Controle en selecteer vervolgens Toevoegen. Voorbeeld:
Selecteer Een principal selecteren. Voorbeeld:
Voer onder Enter de objectnaam in die u wilt selecteren, voer Iedereen in en selecteer Namen>controleren OK. Voorbeeld:
Vervolgens keert u terug naar Controlevermelding. Maak de volgende keuzes:
Selecteer Geslaagd voor Type.
Voor Van toepassing op het selecteren van onderliggende gebruikersobjecten.
Schuif onder Machtigingen omlaag en selecteer de knop Alles wissen. Voorbeeld:
Schuif terug naar boven en selecteer Volledig beheer. Alle machtigingen zijn geselecteerd.
Wis de selectie voor de inhoud van de lijst, lees alle eigenschappen en machtigingen voor leesmachtigingen en selecteer OK. Hiermee stelt u alle eigenschappeninstellingen in op Schrijven. Voorbeeld:
Wanneer dit wordt geactiveerd, worden alle relevante wijzigingen in adreslijstservices weergegeven als
4662
gebeurtenissen.
Herhaal de stappen in deze procedure, maar selecteer voor Van toepassing op de volgende objecttypen:
- Onderliggende groepsobjecten
- Onderliggende computerobjecten
- Onderliggende msDS-GroupManagedServiceAccount-objecten
- Onderliggende msDS-ManagedServiceAccount-objecten
Notitie
Het toewijzen van de controlemachtigingen voor alle onderliggende objecten werkt ook, maar we vereisen alleen de objecttypen zoals beschreven in de laatste stap.
Controle configureren op een Active Directory Federation Services (AD FS)
Ga naar de Active Directory-console en selecteer het domein waarvoor u de logboeken wilt inschakelen.
Ga naar Program Data>Microsoft>ADFS. Voorbeeld:
Klik met de rechtermuisknop op ADFS en selecteer Eigenschappen.
Ga naar het tabblad Beveiliging en selecteer Advanced>Advanced Security Instellingen> Auditing tab >Add>Select a principal.
Voer onder Enter de objectnaam in die u wilt selecteren.
Selecteer Namen controleren>OK.
Vervolgens keert u terug naar Controlevermelding. Maak de volgende keuzes:
- Selecteer Alles bij Type.
- Voor Is van toepassing om dit object en alle onderliggende objecten te selecteren.
- Schuif onder Machtigingen omlaag en selecteer Alles wissen. Schuif omhoog en selecteer Alle eigenschappen lezen en Alle eigenschappen schrijven.
Voorbeeld:
Selecteer OK.
Controle configureren voor Active Directory Certificate Services (AD CS)
Als u werkt met een toegewezen server waarop Active Directory Certificate Services (AD CS) is geconfigureerd, moet u controleren als volgt configureren om toegewezen waarschuwingen en beveiligingsscorerapporten weer te geven:
Maak een groepsbeleid dat moet worden toegepast op uw AD CS-server. Bewerk deze en configureer de volgende controle-instellingen:
Ga naar en dubbel selecteer Computerconfiguratie\Beleid\Windows Instellingen\Security Instellingen\Advanced Audit Policy Configuration\Audit Policies\Object Access\Audit Certification Services.
Selecteer deze optie om controlegebeurtenissen te configureren voor geslaagd en mislukt. Voorbeeld:
Configureer controle op de certificeringsinstantie (CA) met behulp van een van de volgende methoden:
Als u CA-controle wilt configureren met behulp van de opdrachtregel, voert u het volgende uit:
certutil –setreg CA\AuditFilter 127 net stop certsvc && net start certsvc
Ca-controle configureren met behulp van de GUI:
Selecteer Start -> Certificeringsinstantie (MMC Desktop-toepassing). Klik met de rechtermuisknop op de naam van uw CA en selecteer Eigenschappen. Voorbeeld:
Selecteer het tabblad Controle , selecteer alle gebeurtenissen die u wilt controleren en selecteer vervolgens Toepassen. Bijvoorbeeld:
Notitie
Het configureren van active Directory Certificate Services-gebeurteniscontrole kan vertragingen veroorzaken bij het opnieuw opstarten bij het verwerken van een grote AD CS-database. Overweeg om irrelevante vermeldingen uit de database te verwijderen of u kunt dit specifieke type gebeurtenis niet inschakelen.
Controle configureren voor de configuratiecontainer
Open ADSI Edit door Start Run> te selecteren. Typ
ADSIEdit.msc
en selecteer OK.Selecteer Verbinding maken in het menu Actie.
Selecteer In het dialoogvenster Verbinding maken ion Instellingen onder Selecteer een bekende naamgevingscontext de optie Configuratie>OK.
Vouw de configuratiecontainer uit om het configuratieknooppunt weer te geven, te beginnen met 'CN=Configuration,DC=...'
Klik met de rechtermuisknop op het configuratieknooppunt en selecteer Eigenschappen. Voorbeeld:
Selecteer het tabblad >Beveiliging geavanceerd.
Selecteer in de advanced security Instellingen het tabblad >Controle toevoegen.
Selecteer Een principal selecteren.
Voer onder Enter de objectnaam in die u wilt selecteren, voer Iedereen in en selecteer Namen>controleren OK.
Vervolgens keert u terug naar Controlevermelding. Maak de volgende keuzes:
- Selecteer Alles bij Type.
- Voor Is van toepassing om dit object en alle onderliggende objecten te selecteren.
- Schuif onder Machtigingen omlaag en selecteer Alles wissen. Schuif omhoog en selecteer Alle eigenschappen schrijven.
Voorbeeld:
Selecteer OK.
Verouderde configuraties
Belangrijk
Defender for Identity vereist geen 1644 gebeurtenissen meer. Als u deze registerinstelling hebt ingeschakeld, kunt u deze verwijderen.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001
Gerelateerde inhoud
Zie Windows-beveiligingscontrole voor meer informatie.