Delen via

Controlebeleid configureren voor Windows-gebeurtenislogboeken

  • Artikel

Om detecties te verbeteren en meer informatie te verzamelen over gebruikersacties zoals NTLM-aanmeldingen en wijzigingen in beveiligingsgroepen, is Microsoft Defender for Identity afhankelijk van specifieke vermeldingen in Windows-gebeurtenislogboeken. De juiste configuratie van geavanceerde controlebeleidsinstellingen op uw domeincontrollers is van cruciaal belang om hiaten in de gebeurtenislogboeken en onvolledige Defender for Identity-dekking te voorkomen.

In dit artikel wordt beschreven hoe u de instellingen voor geavanceerd controlebeleid zo nodig configureert voor een Defender for Identity-sensor. Ook worden andere configuraties voor specifieke gebeurtenistypen beschreven.

Defender for Identity genereert statusproblemen voor elk van deze scenario's als deze worden gedetecteerd. Zie Problemen met de status van Microsoft Defender for Identity voor meer informatie.

Vereisten

  • Voordat u Defender for Identity PowerShell-opdrachten uitvoert, moet u ervoor zorgen dat u de PowerShell-module Defender for Identity hebt gedownload.

Een rapport met huidige configuraties genereren via PowerShell

Voordat u begint met het maken van nieuw gebeurtenis- en controlebeleid, raden we u aan de volgende PowerShell-opdracht uit te voeren om een rapport van uw huidige domeinconfiguraties te genereren:

New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]

In de voorgaande opdracht:

  • Path hiermee geeft u het pad op waarin de rapporten moeten worden opgeslagen.
  • Mode geeft aan of u wilt gebruiken Domain of LocalMachine modus. In Domain de modus worden de instellingen verzameld van de groepsbeleidsobjecten (GPO's). In LocalMachine de modus worden de instellingen verzameld van de lokale computer.
  • OpenHtmlReport opent het HTML-rapport nadat het rapport is gegenereerd.

Als u bijvoorbeeld een rapport wilt genereren en openen in uw standaardbrowser, voert u de volgende opdracht uit:

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

Zie de naslaginformatie over DefenderforIdentity PowerShell voor meer informatie.

Tip

Het Domain modusrapport bevat alleen configuraties die zijn ingesteld als groepsbeleid voor het domein. Als u instellingen lokaal hebt gedefinieerd op uw domeincontrollers, raden we u aan ook het script Test-MdiReadiness.ps1 uit te voeren.

Controle configureren voor domeincontrollers

Werk de instellingen voor geavanceerd controlebeleid en extra configuraties bij voor specifieke gebeurtenissen en gebeurtenistypen, zoals gebruikers, groepen, computers en meer. Auditconfiguraties voor domeincontrollers zijn onder andere:

Zie De veelgestelde vragen over geavanceerde beveiligingscontrole voor meer informatie.

Gebruik de volgende procedures om controle te configureren op de domeincontrollers die u gebruikt met Defender for Identity.

Geavanceerde controlebeleidsinstellingen configureren vanuit de gebruikersinterface

In deze procedure wordt beschreven hoe u de geavanceerde controlebeleidsinstellingen van uw domeincontroller wijzigt, indien nodig voor Defender for Identity via de gebruikersinterface.

Gerelateerd statusprobleem: Geavanceerde controle van Directory Services is niet ingeschakeld zoals vereist

Ga als volgende te werk om de instellingen voor het geavanceerde controlebeleid te configureren:

  1. Meld u als domeinbeheerder aan bij de server.

  2. Open de Editor groepsbeleidsbeheer vanuit Serverbeheer> Tools>Groepsbeleidsbeheer.

  3. Vouw organisatie-eenheden van domeincontrollers uit, klik met de rechtermuisknop op Standaardbeleid voor domeincontrollers en selecteer Bewerken.

    Schermopname van het deelvenster voor het bewerken van het standaardbeleid voor domeincontrollers.

    Notitie

    Gebruik het standaardbeleid voor domeincontrollers of een toegewezen groepsbeleidsobject om dit beleid in te stellen.

  4. Ga in het venster dat wordt geopend naar Beveiligingsinstellingen voor Windows-instellingen> voor computerconfiguratiebeleid.>> Ga als volgt te werk, afhankelijk van het beleid dat u wilt inschakelen:

    1. Ga naar Het controlebeleid voor geavanceerde controlebeleidsconfiguratie>.

      Schermopname van selecties voor het openen van controlebeleid.

    2. Bewerk onder Controlebeleid elk van de volgende beleidsregels en selecteer De volgende controlegebeurtenissen configureren voor zowel geslaagde als mislukte gebeurtenissen.

      Controlebeleid Subcategorie Gebeurtenis-id's activeren
      Accountaanmelding Referentievalidatie controleren 4776
      Accountbeheer Computeraccountbeheer controleren* 4741, 4743
      Accountbeheer Beheer van distributiegroepen controleren* 4753, 4763
      Accountbeheer Beveiligingsgroepsbeheer controleren* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Accountbeheer Gebruikersaccountbeheer controleren 4726
      DS-toegang Wijzigingen in directoryservice controleren* 5136
      Systeem Beveiligingssysteemextensie controleren* 7045
      DS-toegang Toegang tot directoryservice controleren 4662 - Voor deze gebeurtenis moet u ook domeinobjectcontrole configureren.

      Notitie

      * Genoteerde subcategorieën bieden geen ondersteuning voor foutevenementen. We raden u echter aan ze toe te voegen voor controledoeleinden voor het geval ze in de toekomst worden geïmplementeerd. Zie Accountbeheer van computer controleren, Beveiligingsgroepsbeheer controleren en Beveiligingssysteemextensie controleren voor meer informatie.

      Als u bijvoorbeeld Controlebeveiligingsgroepbeheer wilt configureren, dubbelklikt u onder Accountbeheer op Controlebeveiligingsgroepbeheer en selecteert u vervolgens De volgende controlegebeurtenissen configureren voor geslaagde en mislukte gebeurtenissen.

      Schermopname van het dialoogvenster Eigenschappen van beveiligingsgroepsbeheer controleren.

  5. Voer vanaf een opdrachtprompt met verhoogde bevoegdheid het volgende in gpupdate.

  6. Nadat u het beleid via GPO hebt toegepast, moet u voldoen aan de nieuwe gebeurtenissen die worden weergegeven in de Logboeken, onder Beveiliging van Windows-logboeken>.

Voer de volgende opdracht uit om uw controlebeleid vanaf de opdrachtregel te testen:

auditpol.exe /get /category:*

Zie de referentiedocumentatie voor auditpol voor meer informatie.

Geavanceerde controlebeleidsinstellingen configureren met behulp van PowerShell

In de volgende acties wordt beschreven hoe u de instellingen voor geavanceerd controlebeleid van uw domeincontroller indien nodig wijzigt voor Defender for Identity met behulp van PowerShell.

Gerelateerd statusprobleem: Geavanceerde controle van Directory Services is niet ingeschakeld zoals vereist

Voer de volgende opdracht uit om uw instellingen te configureren:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

In de voorgaande opdracht:

  • Mode geeft aan of u wilt gebruiken Domain of LocalMachine modus. In Domain de modus worden de instellingen verzameld van de groepsbeleidsobjecten. In LocalMachine de modus worden de instellingen verzameld van de lokale computer.
  • Configuration geeft aan welke configuratie moet worden ingesteld. Hiermee All kunt u alle configuraties instellen.
  • CreateGpoDisabled geeft aan of de groepsbeleidsobjecten worden gemaakt en als uitgeschakeld worden bewaard.
  • SkipGpoLink geeft aan dat GPO-koppelingen niet worden gemaakt.
  • Force geeft aan dat de configuratie is ingesteld of GPO's worden gemaakt zonder de huidige status te valideren.

Als u uw controlebeleid wilt weergeven, gebruikt u de Get-MDIConfiguration opdracht om de huidige waarden weer te geven:

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

In de voorgaande opdracht:

  • Mode geeft aan of u wilt gebruiken Domain of LocalMachine modus. In Domain de modus worden de instellingen verzameld van de groepsbeleidsobjecten. In LocalMachine de modus worden de instellingen verzameld van de lokale computer.
  • Configuration hiermee geeft u op welke configuratie moet worden get. Gebruik All dit om alle configuraties op te halen.

Als u uw controlebeleid wilt testen, gebruikt u de Test-MDIConfiguration opdracht om een true of false reactie te krijgen of de waarden correct zijn geconfigureerd:

Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

In de voorgaande opdracht:

  • Mode geeft aan of u wilt gebruiken Domain of LocalMachine modus. In Domain de modus worden de instellingen verzameld van de groepsbeleidsobjecten. In LocalMachine de modus worden de instellingen verzameld van de lokale computer.
  • Configuration geeft aan welke configuratie moet worden getest. Gebruik All dit om alle configuraties te testen.

Zie de volgende DefenderForIdentity PowerShell-verwijzingen voor meer informatie:

NTLM-controle configureren

In deze sectie worden de extra configuratiestappen beschreven die u nodig hebt voor het controleren van Windows-gebeurtenis 8004.

Notitie

  • Groepsbeleid voor domein voor het verzamelen van Windows-gebeurtenis 8004 mag alleen worden toegepast op domeincontrollers.
  • Wanneer een Defender for Identity-sensor Windows-gebeurtenis 8004 parseert, worden Defender for Identity NTLM-verificatieactiviteiten verrijkt met de servertoegangsgegevens.

Gerelateerd statusprobleem: NTLM-controle is niet ingeschakeld

NTLM-controle configureren:

  1. Nadat u de eerste instellingen voor geavanceerd controlebeleid (via de gebruikersinterface of PowerShell) hebt geconfigureerd, opent u Groepsbeleidsbeheer. Ga vervolgens naar De beveiligingsopties voor lokaal beleid>voor standaarddomeincontrollers.>

  2. Configureer het opgegeven beveiligingsbeleid als volgt:

    Beveiligingsbeleidsinstelling Weergegeven als
    Netwerkbeveiliging: NTLM beperken: uitgaand NTLM-verkeer naar externe servers Alles controleren
    Netwerkbeveiliging: NTLM beperken: NTLM-verificatie controleren in dit domein Alles inschakelen
    Netwerkbeveiliging: NTLM beperken: binnenkomend NTLM-verkeer controleren Controle inschakelen voor alle accounts

Als u bijvoorbeeld uitgaand NTLM-verkeer wilt configureren naar externe servers, dubbelklikt u onder Beveiligingsopties op Netwerkbeveiliging: NTLM beperken: Uitgaand NTLM-verkeer naar externe servers en selecteer vervolgens Alles controleren.

Schermopname van de controleconfiguratie voor uitgaand NTLM-verkeer naar externe servers.

Domeinobjectcontrole configureren

Als u gebeurtenissen wilt verzamelen voor objectwijzigingen, zoals voor gebeurtenis 4662, moet u ook objectcontrole configureren voor de gebruiker, groep, computer en andere objecten. In de volgende procedure wordt beschreven hoe u controle inschakelt in het Active Directory-domein.

Belangrijk

Controleer en controleer uw beleid (via de gebruikersinterface of PowerShell) voordat u gebeurtenisverzameling inschakelt, om ervoor te zorgen dat de domeincontrollers correct zijn geconfigureerd om de benodigde gebeurtenissen vast te leggen. Als deze controle juist is geconfigureerd, moet dit een minimaal effect hebben op de serverprestaties.

Gerelateerd statusprobleem: Directory Services-objectcontrole is niet ingeschakeld zoals vereist

Domeinobjectcontrole configureren:

  1. Ga naar de Active Directory-console.

  2. Selecteer het domein dat u wilt controleren.

  3. Selecteer het menu Beeld en selecteer vervolgens Geavanceerde functies.

  4. Klik met de rechtermuisknop op het domein en selecteer Eigenschappen.

    Schermopname van selecties voor het openen van containereigenschappen.

  5. Ga naar het tabblad Beveiliging en selecteer Geavanceerd.

    Schermopname van het dialoogvenster voor het openen van geavanceerde beveiligingseigenschappen.

  6. Selecteer in Geavanceerde beveiligingsinstellingen het tabblad Controle en selecteer vervolgens Toevoegen.

    Schermopname van het tabblad Controle in het dialoogvenster Geavanceerde beveiligingsinstellingen.

  7. Kies Een principal selecteren.

    Schermopname van de knop voor het selecteren van een principal.

  8. Voer onder Enter de objectnaam in die u wilt selecteren. Selecteer Vervolgens Namen controleren>OK.

    Schermopname van het invoeren van een objectnaam van Iedereen.

  9. Vervolgens keert u terug naar Controlevermelding. Maak de volgende keuzes:

    1. Selecteer Voor Type de optie Geslaagd.

    2. Voor Van toepassing op selecteert u onderliggende gebruikersobjecten.

    3. Schuif onder Machtigingen omlaag en selecteer de knop Alles wissen.

      Schermopname van de knop voor het wissen van alle machtigingen.

    4. Schuif terug naar boven en selecteer Volledig beheer. Alle machtigingen zijn geselecteerd.

    5. Wis de selectie voor de inhoud van de lijst, lees alle eigenschappen en machtigingen voor leesmachtigingen en selecteer VERVOLGENS OK. Met deze stap stelt u alle eigenschappeninstellingen in op Schrijven.

      Schermopname van het selecteren van machtigingen.

      Nu worden alle relevante wijzigingen in adreslijstservices weergegeven als 4662-gebeurtenissen wanneer ze worden geactiveerd.

  10. Herhaal de stappen in deze procedure, maar selecteer voor Van toepassing op de volgende objecttypen:

    • Onderliggende groepsobjecten
    • Onderliggende computerobjecten
    • Onderliggende msDS-GroupManagedServiceAccount-objecten
    • Onderliggende msDS-ManagedServiceAccount-objecten

Notitie

Het toewijzen van de controlemachtigingen voor alle onderliggende objecten werkt ook, maar u hebt alleen de objecttypen nodig die in de laatste stap worden beschreven.

Controle configureren in AD FS

Gerelateerd statusprobleem: Controle op de AD FS-container is niet ingeschakeld zoals vereist

Controle configureren op Active Directory Federation Services (AD FS):

  1. Ga naar de Active Directory-console en selecteer het domein waarin u de logboeken wilt inschakelen.

  2. Ga naar Program Data>Microsoft>ADFS.

    Schermopname van een container voor Active Directory Federation Services.

  3. Klik met de rechtermuisknop op ADFS en selecteer Eigenschappen.

  4. Ga naar het tabblad Beveiliging en selecteer Geavanceerde>geavanceerde beveiligingsinstellingen. Ga vervolgens naar het tabblad Controle en selecteer Een principal toevoegen>.

  5. Voer onder Enter de objectnaam in die u wilt selecteren. Selecteer Vervolgens Namen controleren>OK.

  6. Vervolgens keert u terug naar Controlevermelding. Maak de volgende keuzes:

    • Selecteer Alles bij Type.
    • Selecteer dit object en alle onderliggende objecten als Van toepassing op.
    • Schuif onder Machtigingen omlaag en selecteer Alles wissen. Schuif omhoog en selecteer Alle eigenschappen lezen en Alle eigenschappen schrijven.

    Schermopname van de controle-instellingen voor Active Directory Federation Services.

  7. Selecteer OK.

Uitgebreide logboekregistratie voor AD FS-gebeurtenissen configureren

Sensoren die worden uitgevoerd op AD FS-servers moeten het controleniveau hebben ingesteld op Uitgebreid voor relevante gebeurtenissen. Gebruik bijvoorbeeld de volgende opdracht om het controleniveau te configureren op Uitgebreid:

Set-AdfsProperties -AuditLevel Verbose

Controle op AD CS configureren

Als u werkt met een toegewezen server waarop Active Directory Certificate Services (AD CS) is geconfigureerd, configureert u de controle als volgt om toegewezen waarschuwingen en beveiligingsscorerapporten weer te geven:

  1. Maak een groepsbeleid dat moet worden toegepast op uw AD CS-server. Bewerk deze en configureer de volgende controle-instellingen:

    1. Ga naar Computerconfiguratie\Beleid\Windows-instellingen\Beveiligingsinstellingen\Advanced Audit Policy Configuration\Audit Policies\Object Access\Audit Certification Services.

    2. Schakel de selectievakjes in om controlegebeurtenissen te configureren voor Geslaagd en Mislukt.

      Schermopname van het configureren van controlegebeurtenissen voor Active Directory Certificate Services in de Editor voor groepsbeleidsbeheer.

  2. Configureer controle op de certificeringsinstantie (CA) met behulp van een van de volgende methoden:

    • Als u CA-controle wilt configureren met behulp van de opdrachtregel, voert u het volgende uit:

      certutil –setreg CA\AuditFilter 127 


net stop certsvc && net start certsvc

    • Ca-controle configureren met behulp van de GUI:

      1. Selecteer De certificeringsinstantie (MMC Desktop-toepassing) starten>. Klik met de rechtermuisknop op de naam van uw CA en selecteer Eigenschappen.

        Schermopname van het dialoogvenster Certificeringsinstantie.

      2. Selecteer het tabblad Controle , selecteer alle gebeurtenissen die u wilt controleren en selecteer vervolgens Toepassen.

        Schermopname van het tabblad Controle voor eigenschappen van de certificeringsinstantie.

Notitie

Als u active Directory Certificate Services-gebeurteniscontrole configureert, kan dit leiden tot vertragingen bij opnieuw opstarten wanneer u te maken hebt met een grote AD CS-database. Overweeg om irrelevante vermeldingen uit de database te verwijderen. U kunt zich ook onthouden van het inschakelen van dit specifieke type gebeurtenis.

Controle configureren in Microsoft Entra Connect

Controle configureren op Microsoft Entra Connect-servers:

  • Maak een groepsbeleid dat moet worden toegepast op uw Microsoft Entra Connect-servers. Bewerk deze en configureer de volgende controle-instellingen:

    1. Ga naar Computerconfiguratie\Beleid\Windows-instellingen\Beveiligingsinstellingen\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Logon.

    2. Schakel de selectievakjes in om controlegebeurtenissen te configureren voor Geslaagd en Mislukt.

Schermopname van de editor voor groepsbeleidsbeheer.

Controle configureren voor de configuratiecontainer

Notitie

De controle van de configuratiecontainer wordt alleen opnieuw uitgevoerd voor omgevingen die momenteel Microsoft Exchange hebben of eerder hadden, omdat deze omgevingen een Exchange-container hebben die zich in de sectie Configuratie van het domein bevindt.

Gerelateerd statusprobleem: Controle op de configuratiecontainer is niet ingeschakeld zoals vereist

  1. Open het hulpprogramma ADSI Bewerken. Selecteer Uitvoeren>starten, voer in ADSIEdit.mscen selecteer VERVOLGENS OK.

  2. Selecteer Verbinding maken in het menu Actie.

  3. Selecteer Configuratie>OK in het dialoogvenster Verbindingsinstellingen onder Een bekende naamgevingscontext selecteren.

  4. Vouw de configuratiecontainer uit om het configuratieknooppunt weer te geven, dat begint met 'CN=Configuration,DC=...'.

  5. Klik met de rechtermuisknop op het configuratieknooppunt en selecteer Eigenschappen.

    Schermopname van selecties voor het openen van eigenschappen voor het configuratieknooppunt.

  6. Selecteer het tabblad Beveiliging en selecteer Vervolgens Geavanceerd.

  7. Selecteer in Geavanceerde beveiligingsinstellingen het tabblad Controle en selecteer vervolgens Toevoegen.

  8. Kies Een principal selecteren.

  9. Voer onder Enter de objectnaam in die u wilt selecteren. Selecteer Vervolgens Namen controleren>OK.

  10. Vervolgens keert u terug naar Controlevermelding. Maak de volgende keuzes:

    • Selecteer Alles bij Type.
    • Selecteer dit object en alle onderliggende objecten als Van toepassing op.
    • Schuif onder Machtigingen omlaag en selecteer Alles wissen. Schuif omhoog en selecteer Alle eigenschappen schrijven.

    Schermopname van de controle-instellingen voor de configuratiecontainer.

  11. Selecteer OK.

Verouderde configuraties bijwerken

Defender for Identity vereist geen 1644 gebeurtenissen meer. Als u deze registerinstelling hebt ingeschakeld, kunt u deze verwijderen.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Gerelateerde inhoud

Zie voor meer informatie:

Volgende stap

Wat zijn Defender for Identity-rollen en -machtigingen?