Delen via

Windows-gebeurteniscontrole configureren

In dit artikel wordt beschreven hoe u windows-gebeurteniscontrole configureert.

Defender for Identity gebruikt vermeldingen in het Windows-gebeurtenislogboek om specifieke activiteiten te detecteren. Deze gegevens worden gebruikt in verschillende detectiescenario's en kunnen worden gebruikt in geavanceerde opsporingsquery's. Voor optimale beveiliging en bewaking moet u ervoor zorgen dat het verzamelen van Windows-gebeurtenissen correct is geconfigureerd.

Defender for Identity genereert statuswaarschuwingen wanneer onjuiste configuraties voor windows-gebeurteniscontrole worden gedetecteerd. Zie statuswaarschuwingen Microsoft Defender for Identity voor meer informatie.

Als controle correct is geconfigureerd, heeft dit een minimaal effect op de serverprestaties.

Voordat u begint

Voordat u begint met het configureren van windows-gebeurtenisverzameling, raden we u aan een PowerShell-script uit te voeren om uw huidige cofiguratie te controleren en een rapport te genereren van eventuele aanpassingen die u moet aanbrengen:

  1. Download de PowerShell-module Defender for Identity.

  2. Voer de PowerShell-module Defender for Identity New-MDIConfigurationReport uit om

    Gebruik deze indeling om het rapport te genereren:

        New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -Identity "DOMAIN\ServiceAccountName" -OpenHtmlReport

    Waarbij:

    • Path is de map waarin het rapport is opgeslagen.
    • Mode geeft aan waar de instellingen worden verzameld.
      • In Domain de modus worden de instellingen verzameld van de groepsbeleid-objecten (GPO's). Neem bij gebruik -Mode Domainde -Identity parameter op om een interactieve prompt te voorkomen.
      • In LocalMachine de modus worden de instellingen verzameld van de lokale computer.
    • OpenHtmlReport opent het HTML-rapport nadat het rapport is gegenereerd. Als u bijvoorbeeld een rapport wilt genereren en openen in uw standaardbrowser, voert u de volgende opdracht uit:
    New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

    Zie New-MDIConfigurationReport voor meer informatie.

  3. Controleer het rapport en breng de benodigde aanpassingen aan voordat u Windows-gebeurtenisverzameling configureert.

Defender for Identity configureren om Automatisch Windows-gebeurtenissen te verzamelen (preview)

Opmerking

Automatische controle van Windows-gebeurtenissen wordt ondersteund voor domeincontrollers die gebruikmaken van de Defender for Identity-sensor versie 3.x.

Automatische windows-controle voert alle configuratietaken automatisch uit:

  • Controleert de configuratie van de huidige windows-gebeurteniscontrole.
  • Identificeert eventuele hiaten in de configuratie.
  • De sensor past alle benodigde wijzigingen toe, inclusief alle stappen in de handmatige configuratie:
    • Geavanceerde controle van Directory Services: voegt controlevermeldingen toe aan de System Access Control List (SACL) van het domeinhoofdobject om de vereiste directoryservicecontrole in te schakelen.
    • NTLM-controle : maakt gebruik van standaard Windows-register-API's om de vereiste NTLM-controleregisterwaarden te configureren.
    • Domeinobjectcontrole : wijzigt de SACL op de configuratiepartitie om wijzigingen in configuratieobjecten van de directoryservice vast te leggen.
    • ADFS-controle: voegt controlevermeldingen toe aan de SacL (System Access Control List) van het object van de AD FS-configuratiecontainer, om controle van AD FS-gerelateerde mapobjecten in te schakelen.
    • Windows-auditbeleid : configureert het lokale Windows-auditbeleid met behulp van de API's van de Lokale Beveiligingsautoriteit (LSA).
  • Hiermee worden controle-instellingen rechtstreeks toegepast op het lokale systeembeleid van de domeincontroller.
  • Hiermee worden statuswaarschuwingen over de configuratiestatus verzonden.
  • Wordt elke 24 uur uitgevoerd.

Opmerking

  • Als u automatische controle van Windows niet inschakelt, moet u windows-gebeurteniscontrole handmatig of met behulp van PowerShell configureren.
  • GPO-instellingen kunnen conflicteren met lokale instellingen die door de sensor zijn ingesteld.

Automatische windowscontrole inschakelen:

  1. Ga in de Microsoft Defender-portal naar Instellingen en vervolgens naar Identiteiten.
  2. Selecteer in de sectie Algemeende optie Geavanceerde functies.
  3. Schakel automatische windows-controleconfiguratie in.

Windows-gebeurtenisverzameling handmatig configureren

Deze sectie bevat instructies voor het handmatig configureren van Windows-gebeurtenisverzameling in de volgende gevallen:

Controle op domeincontrollers configureren

Als u controle op een domeincontroller wilt configureren, moet u het volgende doen:

Geavanceerde controle van Directory Services configureren

In deze sectie wordt beschreven hoe u de instellingen voor geavanceerd controlebeleid van uw domeincontroller voor Defender for Identity wijzigt.

  1. Meld u als domeinbeheerder aan bij de server.

  2. Open de groepsbeleid Management Editor vanuit Serverbeheer>Tools>groepsbeleid Management.

  3. Vouw Organisatie-eenheden van domeincontrollers uit, klik met de rechtermuisknop op Standaardbeleid voor domeincontrollersen selecteer bewerken.

    Schermopname van het deelvenster voor het bewerken van het standaardbeleid voor domeincontrollers.

    Opmerking

    Gebruik het standaardbeleid voor domeincontrollers of een toegewezen groepsbeleidsobject om dit beleid in te stellen.

  4. Ga in het venster dat wordt geopend naar Computerconfiguratiebeleid>>Windows-instellingen>Beveiligingsinstellingen. Ga als volgt te werk, afhankelijk van het beleid dat u wilt inschakelen:

    1. Ga naar Configuratie van geavanceerd controlebeleid>Controlebeleid.

      Schermopname van selecties voor het openen van controlebeleid.

    2. Bewerk onder Controlebeleid elk van de volgende beleidsregels en selecteer De volgende controlegebeurtenissen configureren voor geslaagde en mislukte gebeurtenissen.

      Controlebeleid Subcategorie Gebeurtenis-id's activeren
      Accountaanmelding Referentievalidatie controleren 4776
      Accountbeheer Computeraccountbeheer controleren* 4741, 4743
      Accountbeheer Beheer van distributiegroepen controleren* 4753, 4763
      Accountbeheer Beveiligingsgroepbeheer controleren* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Accountbeheer Gebruikersaccountbeheer controleren 4726
      DS-toegang Wijzigingen in directoryservice controleren* 5136
      Systeem Beveiligingssysteemextensie controleren* 7045
      DS-toegang Toegang tot adreslijstservice controleren 4662 - Voor deze gebeurtenis moet u ook de controle van domeinobjecten configureren.

      Opmerking

      * Deze subcategorieën bieden geen ondersteuning voor fout gebeurtenissen. We raden u echter aan deze toe te voegen voor controledoeleinden voor het geval ze in de toekomst worden geïmplementeerd. Zie Computeraccountbeheer controleren, Beveiligingsgroepsbeheer controleren en Uitbreiding van beveiligingssysteem controleren voor meer informatie.

      Als u bijvoorbeeld Controlebeveiligingsgroepsbeheer wilt configureren, dubbelklikt u onder Accountbeheer op Beveiligingsgroepsbeheer controleren en selecteert u vervolgens De volgende controlegebeurtenissen configureren voor zowel geslaagde als mislukte gebeurtenissen.

      Schermopname van het dialoogvenster Eigenschappen van beveiligingsgroepsbeheer controleren.

  5. Voer vanaf een opdrachtprompt met verhoogde bevoegdheid in gpupdate.

  6. Nadat u het beleid via GPO hebt toegepast, controleert u of de nieuwe gebeurtenissen worden weergegeven in de Logboeken onderBeveiliging van Windows-logboeken>.

    Voer de volgende opdracht uit om uw controlebeleid te testen vanaf de opdrachtregel:

    auditpol.exe /get /category:*

Zie de referentiedocumentatie voor auditpol voor meer informatie.

NTLM-controle configureren

Wanneer een Defender for Identity-sensor Windows-gebeurtenis 8004 parseert, worden de NTLM-verificatieactiviteiten van Defender for Identity verrijkt met de servertoegangsgegevens. In deze sectie worden de extra configuratiestappen beschreven die u nodig hebt voor het controleren van Windows-gebeurtenis 8004.

Opmerking

Domeingroepsbeleid voor het verzamelen van Windows-gebeurtenis 8004 moet alleen worden toegepast op domeincontrollers.

NTLM-controle configureren:

  1. Open groepsbeleid Beheer en ga naar Standaardbeleid voor>lokaal beleid> voor domeincontrollersBeveiligingsopties.

  2. Configureer het opgegeven beveiligingsbeleid als volgt:

    Instelling voor beveiligingsbeleid Waarde
    Netwerkbeveiliging: NTLM: uitgaand NTLM-verkeer beperken tot externe servers Alles controleren
    Netwerkbeveiliging: NTLM beperken: NTLM-verificatie controleren in dit domein Alles inschakelen
    Netwerkbeveiliging: NTLM beperken: binnenkomend NTLM-verkeer controleren Controle inschakelen voor alle accounts

Als u bijvoorbeeld uitgaand NTLM-verkeer naar externe servers wilt configureren, dubbelklikt u onder Beveiligingsopties op Netwerkbeveiliging: NTLM beperken: uitgaand NTLM-verkeer naar externe servers en selecteert u vervolgens Alles controleren.

Schermopname van de controleconfiguratie voor uitgaand NTLM-verkeer naar externe servers.

Domeinobjectcontrole configureren

Als u gebeurtenissen voor objectwijzigingen wilt verzamelen, zoals voor gebeurtenis 4662, moet u ook objectcontrole configureren op de gebruiker, groep, computer en andere objecten. In de volgende procedure wordt beschreven hoe u controle inschakelt in het Active Directory-domein.

Ga als volgende te werk om de controle van domeinobjecten te configureren:

  1. Ga naar de Active Directory: gebruikers en computers-console.

  2. Selecteer het domein dat u wilt controleren.

  3. Selecteer het menu Beeld en selecteer vervolgens Geavanceerde functies.

  4. Klik met de rechtermuisknop op het domein en selecteer Eigenschappen.

    Schermopname van selecties voor het openen van containereigenschappen.

  5. Ga naar het tabblad Beveiliging en selecteer vervolgens Geavanceerd.

    Schermopname van het dialoogvenster voor het openen van geavanceerde beveiligingseigenschappen.

  6. Selecteer in Geavanceerde beveiligingsinstellingen het tabblad Controle en selecteer vervolgens Toevoegen.

    Schermopname van het tabblad Controle in het dialoogvenster Geavanceerde beveiligingsinstellingen.

  7. Kies Een principal selecteren.

    Schermopname van de knop voor het selecteren van een principal.

  8. Voer onder Voer de objectnaam in die u wilt selecterenen voer Iedereen in. Selecteer vervolgens Namen>controleren OK.

    Schermopname van het invoeren van een objectnaam van Iedereen.

  9. Terug naar Controlevermelding en maak de volgende selecties:

    1. Selecteer bij Typede optie Geslaagd.

    2. Bij Van toepassing op selecteert u Onderliggende gebruikersobjecten.

    3. Schuif onder Machtigingen omlaag en selecteer de knop Alles wissen .

      Schermopname van de knop voor het wissen van alle machtigingen.

    4. Schuif terug naar boven en selecteer Volledig beheer. Alle machtigingen zijn geselecteerd.

    5. Wis de selectie voor de machtigingen Lijstinhoud, Alle eigenschappen lezen en Leesmachtigingenen selecteer ok. In deze stap worden alle instellingen voor Eigenschappen ingesteld op Schrijven.

      Schermopname van het selecteren van machtigingen.

      Nu worden alle relevante wijzigingen in adreslijstservices weergegeven als 4662 gebeurtenissen wanneer ze worden geactiveerd.

  10. Herhaal de stappen in deze procedure, maar selecteer voor Van toepassing op de volgende objecttypen 1

    • Onderliggende groepsobjecten
    • Onderliggende computerobjecten
    • Onderliggende msDS-GroupManagedServiceAccount-objecten
    • Onderliggende msDS-ManagedServiceAccount-objecten
    • Onderliggende msDS-DelegatedManagedServiceAccount-objecten2

Opmerking

  • U kunt controlemachtigingen toewijzen voor Alle onderliggende objecten, met behulp van alleen de objecttypen die in de laatste stap zijn beschreven.
  • De klasse msDS-DelegatedManagedServiceAccount is alleen relevant voor domeinen waarop ten minste één Windows Server 2025-domeincontroller wordt uitgevoerd.

Controle configureren in AD FS

Controle op Active Directory Federation Services (AD FS) configureren:

  1. Ga naar de Active Directory: gebruikers en computers-console en selecteer het domein waarin u de logboeken wilt inschakelen.

  2. Ga naar Programmagegevens>Microsoft>ADFS.

    Schermopname van een container voor Active Directory Federation Services.

  3. Klik met de rechtermuisknop op ADFS en selecteer Eigenschappen.

  4. Ga naar het tabblad Beveiliging en selecteer Geavanceerde>geavanceerde beveiligingsinstellingen. Ga vervolgens naar het tabblad Controle en selecteer Toevoegen>Selecteer een principal.

  5. Voer onder Voer de objectnaam in die u wilt selecterenen voer Iedereen in. Selecteer vervolgens Namen>controleren OK.

  6. Vervolgens gaat u terug naar Controlevermelding. Maak de volgende selecties:

    • Bij Type selecteert u Alle.
    • Selecteer bij Van toepassing opde optie Dit object en alle onderliggende objecten.
    • Schuif onder Machtigingen omlaag en selecteer Alles wissen. Schuif omhoog en selecteer Alle eigenschappen lezen en Alle eigenschappen schrijven.

    Schermopname van de controle-instellingen voor Active Directory Federation Services.

  7. Selecteer OK.

Uitgebreide logboekregistratie configureren voor AD FS-gebeurtenissen

Voor sensoren die worden uitgevoerd op AD FS-servers moet het controleniveau zijn ingesteld op Uitgebreid voor relevante gebeurtenissen.

U kunt de volgende PowerShell-opdracht gebruiken om het controleniveau te configureren op Uitgebreid:

Set-AdfsProperties -AuditLevel Verbose

Controle configureren in AD CS

Als u werkt met een toegewezen server waarop Active Directory Certificate Services (AD CS) is geconfigureerd, configureert u de controle als volgt om toegewezen waarschuwingen en secure score-rapporten weer te geven:

  1. Maak een groepsbeleid dat moet worden toegepast op uw AD CS-server. Bewerk het en configureer de volgende controle-instellingen:

    1. Ga naar Computerconfiguratie\Beleid\Windows-instellingen\Beveiligingsinstellingen\Advanced Audit Policy Configuration\Audit Policies\Object Access\Audit Certification Services.

    2. Schakel de selectievakjes in om controlegebeurtenissen te configureren voor Geslaagd en Mislukt.

    Schermopname van het configureren van controlegebeurtenissen voor Active Directory Certificate Services in de groepsbeleid Management Editor.

  2. Configureer controle op de certificeringsinstantie (CA) met behulp van een van de volgende methoden:

    • Als u CA-controle wilt configureren met behulp van de opdrachtregel, voert u het volgende uit:
     certutil –setreg CA\AuditFilter 127 
 net stop certsvc && net start certsvc

    • CA-controle configureren in de Defender-portal:

      1. SelecteerCertificeringsinstantie (MMC Desktop-toepassing) starten>. Klik met de rechtermuisknop op de naam van uw CA en selecteer Eigenschappen.

        Schermopname van het dialoogvenster Certificeringsinstantie.

      2. Selecteer het tabblad Controle , selecteer alle gebeurtenissen die u wilt controleren en selecteer vervolgens Toepassen.

        Schermopname van het tabblad Controle voor eigenschappen van certificeringsinstantie.

Opmerking

Het configureren van active Directory Certificate Services-gebeurteniscontrole kan leiden tot vertragingen bij het opnieuw opstarten wanneer u te maken hebt met een grote AD CS-database. Overweeg om irrelevante vermeldingen uit de database te verwijderen. U kunt zich ook onthouden van het inschakelen van dit specifieke type gebeurtenis.

Controle configureren op Microsoft Entra Connect

Controle configureren op Microsoft Entra Connect-servers:

  • Maak een groepsbeleid dat moet worden toegepast op uw Microsoft Entra Connect-servers. Bewerk het en configureer de volgende controle-instellingen:

    1. Ga naar Computerconfiguratie\Beleid\Windows-instellingen\Beveiligingsinstellingen\Geavanceerde configuratie van controlebeleid\Auditbeleid\Aanmelding/Afmelding\Aanmelding bij audit.

    2. Schakel de selectievakjes in om controlegebeurtenissen te configureren voor Geslaagd en Mislukt.

Schermopname van de groepsbeleid Management Editor.

Controle configureren voor de configuratiecontainer

De controle van de configuratiecontainer is alleen vereist voor omgevingen die momenteel Microsoft Exchange hebben of eerder hadden, omdat deze omgevingen een Exchange-container hebben die zich in de sectie Configuratie van het domein bevindt.

  1. Open het hulpprogramma ADSI Bewerken. Selecteer Start>Run, voer in ADSIEdit.mscen selecteer vervolgens OK.

  2. Selecteer in het menu Actiede optie Verbinding maken met.

  3. Selecteer in het dialoogvenster Verbindingsinstellingen onder Een bekende naamgevingscontext selecteren de optie Configuratie>OK.

  4. Vouw de configuratiecontainer uit om het configuratieknooppunt weer te geven, dat begint met 'CN=Configuration,DC=...'.

    Schermopname van selecties voor het openen van eigenschappen voor het knooppunt CN-configuratie.

  5. Klik met de rechtermuisknop op het knooppunt Configuratie en selecteer Eigenschappen.

    Schermopname van selecties voor het openen van eigenschappen voor het configuratieknooppunt.

  6. Selecteer het tabblad Beveiliging en selecteer vervolgens Geavanceerd.

  7. Selecteer in Geavanceerde beveiligingsinstellingen het tabblad Controle en selecteer vervolgens Toevoegen.

  8. Kies Een principal selecteren.

  9. Voer onder Voer de objectnaam in die u wilt selecterenen voer Iedereen in. Selecteer vervolgens Namen>controleren OK.

  10. Vervolgens gaat u terug naar Controlevermelding. Maak de volgende selecties:

    • Bij Type selecteert u Alle.
    • Selecteer bij Van toepassing opde optie Dit object en alle onderliggende objecten.
    • Schuif onder Machtigingen omlaag en selecteer Alles wissen. Schuif omhoog en selecteer Alle eigenschappen schrijven.

    Schermopname van de controle-instellingen voor de configuratiecontainer.

  11. Selecteer OK.

Windows-gebeurtenisverzameling configureren met behulp van PowerShell

Zie de PowerShell-naslaginformatie over Defender for Identity voor meer informatie:

In de volgende opdrachten wordt beschreven hoe u de instellingen voor geavanceerd controlebeleid van uw domeincontroller kunt wijzigen als dat nodig is voor Defender for Identity met behulp van PowerShell.

Uw controlebeleid weergeven:

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Waarbij:

  • Mode geeft aan of u wilt gebruiken Domain of LocalMachine modus. In Domain de modus worden de instellingen verzameld van de groepsbeleid-objecten. In LocalMachine de modus worden de instellingen verzameld van de lokale computer.
  • Configuration hiermee geeft u op welke configuratie u wilt ophalen. Gebruik All om alle configuraties op te halen.

Uw instellingen configureren:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

Waarbij:

  • Mode geeft aan of u wilt gebruiken Domain of LocalMachine modus. In Domain de modus worden de instellingen verzameld van de groepsbeleid-objecten. In LocalMachine de modus worden de instellingen verzameld van de lokale computer.
  • Configuration hiermee geeft u op welke configuratie moet worden ingesteld. Gebruik All om alle configuraties in te stellen.
  • CreateGpoDisabled geeft aan of de GPO's worden gemaakt en bewaard als uitgeschakeld.
  • SkipGpoLink geeft aan dat GPO-koppelingen niet worden gemaakt.
  • Force geeft aan dat de configuratie is ingesteld of GPO's worden gemaakt zonder de huidige status te valideren.

Met de volgende opdracht definieert u alle instellingen voor het domein, maakt u groepsbeleidsobjecten en koppelt u deze.

Set-MDIConfiguration -Mode Domain -Configuration All

Verouderde configuraties bijwerken

Defender for Identity vereist geen logboekregistratie van 1644 gebeurtenissen meer. Als u een van de volgende instellingen hebt ingeschakeld, kunt u deze uit het register verwijderen.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Verwante onderwerpen

Zie voor meer informatie:

  • Last updated on