Udostępnij za pośrednictwem

Konfigurowanie zasad inspekcji dla dzienników zdarzeń systemu Windows

  • Artykuł

Aby ulepszyć wykrywanie i zebrać więcej informacji na temat akcji użytkownika, takich jak logowania NTLM i zmiany grupy zabezpieczeń, usługa Microsoft Defender for Identity opiera się na określonych wpisach w dziennikach zdarzeń systemu Windows. Prawidłowa konfiguracja ustawień zaawansowanych zasad inspekcji na kontrolerach domeny ma kluczowe znaczenie dla uniknięcia luk w dziennikach zdarzeń i niekompletnego pokrycia usługi Defender for Identity.

W tym artykule opisano sposób konfigurowania ustawień zaawansowanych zasad inspekcji zgodnie z potrzebami dla czujnika usługi Defender for Identity. Opisuje również inne konfiguracje dla określonych typów zdarzeń.

Usługa Defender for Identity generuje problemy z kondycją dla każdego z tych scenariuszy, jeśli zostaną wykryte. Aby uzyskać więcej informacji, zobacz Problemy z kondycją usługi Microsoft Defender for Identity.

Wymagania wstępne

  • Przed uruchomieniem poleceń programu PowerShell usługi Defender for Identity upewnij się, że pobrano moduł programu PowerShell usługi Defender for Identity.

Generowanie raportu bieżących konfiguracji za pomocą programu PowerShell

Przed rozpoczęciem tworzenia nowych zasad zdarzeń i inspekcji zalecamy uruchomienie następującego polecenia programu PowerShell w celu wygenerowania raportu bieżących konfiguracji domeny:

New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]

W powyższym poleceniu:

  • Path określa ścieżkę do zapisywania raportów.
  • Mode określa, czy chcesz użyć Domain trybu, czy LocalMachine też. W Domain trybie ustawienia są zbierane z obiektów zasad grupy (GPO). W LocalMachine trybie ustawienia są zbierane z komputera lokalnego.
  • OpenHtmlReport Otwiera raport HTML po wygenerowaniu raportu.

Aby na przykład wygenerować raport i otworzyć go w domyślnej przeglądarce, uruchom następujące polecenie:

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

Aby uzyskać więcej informacji, zobacz artykuł DefenderforIdentity PowerShell reference (Dokumentacja programu PowerShell dla usługi DefenderforIdentity).

Napiwek

Raport Domain trybu zawiera tylko konfiguracje ustawione jako zasady grupy w domenie. Jeśli masz ustawienia zdefiniowane lokalnie na kontrolerach domeny, zalecamy również uruchomienie skryptu Test-MdiReadiness.ps1 .

Konfigurowanie inspekcji dla kontrolerów domeny

Zaktualizuj ustawienia zaawansowanych zasad inspekcji i dodatkowe konfiguracje dla określonych zdarzeń i typów zdarzeń, takich jak użytkownicy, grupy, komputery i inne. Konfiguracje inspekcji dla kontrolerów domeny obejmują:

Aby uzyskać więcej informacji, zobacz Advanced security auditing FAQ (Zaawansowane często zadawane pytania dotyczące inspekcji zabezpieczeń).

Skorzystaj z poniższych procedur, aby skonfigurować inspekcję na kontrolerach domeny, których używasz z usługą Defender for Identity.

Konfigurowanie zaawansowanych ustawień zasad inspekcji z poziomu interfejsu użytkownika

W tej procedurze opisano sposób modyfikowania ustawień zaawansowanych zasad inspekcji kontrolera domeny zgodnie z potrzebami dla usługi Defender for Identity za pośrednictwem interfejsu użytkownika.

Problem z kondycją związaną z usługami katalogowymi — inspekcja zaawansowana nie jest włączona zgodnie z wymaganiami

Aby skonfigurować ustawienia zaawansowanych zasad inspekcji:

  1. Zaloguj się na serwerze jako administrator domeny.

  2. Otwórz Edytor zarządzania zasadami grupy z Menedżer serwera> Za management zasad grupyTools.>

  3. Rozwiń węzeł Jednostki organizacyjne kontrolerów domeny, kliknij prawym przyciskiem myszy domyślne zasady kontrolerów domeny, a następnie wybierz polecenie Edytuj.

    Zrzut ekranu przedstawiający okienko edytowania domyślnych zasad dla kontrolerów domeny.

    Uwaga

    Użyj domyślnych zasad kontrolerów domeny lub dedykowanego obiektu zasad grupy, aby ustawić te zasady.

  4. W wyświetlonym oknie przejdź do pozycji Zasady>konfiguracji>komputera Ustawienia zabezpieczeń systemu>Windows. W zależności od zasad, które chcesz włączyć, wykonaj następujące czynności:

    1. Przejdź do pozycji Zaawansowane zasady inspekcji Zasady inspekcji Zasady inspekcji Zasady inspekcji>.

      Zrzut ekranu przedstawiający opcje otwierania zasad inspekcji.

    2. W obszarze Zasady inspekcji zmodyfikuj każdą z następujących zasad i wybierz pozycję Skonfiguruj następujące zdarzenia inspekcji dla zdarzeń powodzenia i niepowodzenia.

      Zasady inspekcji Podkategoria Wyzwala identyfikatory zdarzeń
      Logowanie do konta Sprawdzanie poprawności poświadczeń inspekcji 4776
      Zarządzanie kontami Inspekcja zarządzania kontami komputerów* 4741, 4743
      Zarządzanie kontami Inspekcja zarządzania grupami dystrybucyjni* 4753, 4763
      Zarządzanie kontami Inspekcja zarządzania grupami zabezpieczeń* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Zarządzanie kontami Inspekcja zarządzania kontami użytkowników 4726
      Dostęp ds Inspekcja zmian usługi katalogowej* 5136
      Zadania systemowe Inspekcja rozszerzenia systemu zabezpieczeń* 7045
      Dostęp ds Inspekcja dostępu do usługi katalogowej 4662 — W przypadku tego zdarzenia należy również skonfigurować inspekcję obiektów domeny.

      Uwaga

      * Zanotowano podkategorie nie obsługują zdarzeń awarii. Zalecamy jednak dodanie ich do celów inspekcji w przypadku ich wdrożenia w przyszłości. Aby uzyskać więcej informacji, zobacz Inspekcja zarządzania kontami komputerów, Inspekcja zarządzania grupami zabezpieczeń i Inspekcja rozszerzenia systemu zabezpieczeń.

      Aby na przykład skonfigurować inspekcję zarządzania grupami zabezpieczeń, w obszarze Zarządzanie kontami kliknij dwukrotnie pozycję Przeprowadź inspekcję zarządzania grupami zabezpieczeń, a następnie wybierz pozycję Skonfiguruj następujące zdarzenia inspekcji dla zdarzeń powodzenia i niepowodzenia.

      Zrzut ekranu przedstawiający okno dialogowe Właściwości zarządzania grupami zabezpieczeń.

  5. W wierszu polecenia z podwyższonym poziomem uprawnień wprowadź .gpupdate

  6. Po zastosowaniu zasad za pośrednictwem obiektu zasad grupy zgodność z nowymi zdarzeniami wyświetlanymi w Podgląd zdarzeń w obszarze Zabezpieczenia dzienników>systemu Windows.

Aby przetestować zasady inspekcji z poziomu wiersza polecenia, uruchom następujące polecenie:

auditpol.exe /get /category:*

Aby uzyskać więcej informacji, zobacz dokumentację referencyjną auditpol.

Konfigurowanie zaawansowanych ustawień zasad inspekcji przy użyciu programu PowerShell

Poniższe akcje opisują sposób modyfikowania ustawień zaawansowanych zasad inspekcji kontrolera domeny zgodnie z potrzebami dla usługi Defender for Identity przy użyciu programu PowerShell.

Problem z kondycją związaną z usługami katalogowymi — inspekcja zaawansowana nie jest włączona zgodnie z wymaganiami

Aby skonfigurować ustawienia, uruchom polecenie:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

W powyższym poleceniu:

  • Mode określa, czy chcesz użyć Domain trybu, czy LocalMachine też. W Domain trybie ustawienia są zbierane z obiektów zasad grupy. W LocalMachine trybie ustawienia są zbierane z komputera lokalnego.
  • Configuration określa, która konfiguracja ma być ustawiona. Użyj All polecenia , aby ustawić wszystkie konfiguracje.
  • CreateGpoDisabled określa, czy obiekty zasad grupy są tworzone i przechowywane jako wyłączone.
  • SkipGpoLink określa, że łącza obiektu zasad grupy nie są tworzone.
  • Force określa, że konfiguracja jest ustawiona lub obiekty zasad grupy są tworzone bez sprawdzania poprawności bieżącego stanu.

Aby wyświetlić zasady inspekcji, użyj Get-MDIConfiguration polecenia , aby wyświetlić bieżące wartości:

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

W powyższym poleceniu:

  • Mode określa, czy chcesz użyć Domain trybu, czy LocalMachine też. W Domain trybie ustawienia są zbierane z obiektów zasad grupy. W LocalMachine trybie ustawienia są zbierane z komputera lokalnego.
  • Configuration określa, która konfiguracja ma być pobierana. Użyj polecenia All , aby pobrać wszystkie konfiguracje.

Aby przetestować zasady inspekcji, użyj Test-MDIConfiguration polecenia , aby uzyskać true odpowiedź lub false , czy wartości są poprawnie skonfigurowane:

Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

W powyższym poleceniu:

  • Mode określa, czy chcesz użyć Domain trybu, czy LocalMachine też. W Domain trybie ustawienia są zbierane z obiektów zasad grupy. W LocalMachine trybie ustawienia są zbierane z komputera lokalnego.
  • Configuration określa, która konfiguracja ma być testowa. Użyj polecenia All , aby przetestować wszystkie konfiguracje.

Aby uzyskać więcej informacji, zobacz następujące odwołania do programu PowerShell defenderForIdentity:

Konfigurowanie inspekcji NTLM

W tej sekcji opisano dodatkowe kroki konfiguracji potrzebne do inspekcji zdarzenia systemu Windows 8004.

Uwaga

  • Zasady grupy domeny do zbierania zdarzeń systemu Windows 8004 powinny być stosowane tylko do kontrolerów domeny.
  • Gdy czujnik usługi Defender for Identity analizuje zdarzenie systemu Windows 8004, działania uwierzytelniania NTLM usługi Defender for Identity są wzbogacone o dane dostępne na serwerze.

Powiązany problem z kondycją: Inspekcja NTLM nie jest włączona

Aby skonfigurować inspekcję NTLM:

  1. Po skonfigurowaniu początkowych ustawień zaawansowanych zasad inspekcji (za pośrednictwem interfejsu użytkownika lub programu PowerShell) otwórz pozycję Zarządzanie zasadami grupy. Następnie przejdź do pozycji Domyślne zasady kontrolerów domeny Opcje zabezpieczeń zasad>>lokalnych.

  2. Skonfiguruj określone zasady zabezpieczeń w następujący sposób:

    Ustawienie zasad zabezpieczeń Wartość
    Zabezpieczenia sieciowe: Ograniczanie ntLM: wychodzący ruch NTLM do serwerów zdalnych Przeprowadź inspekcję wszystkich
    Zabezpieczenia sieci: Ograniczanie protokołu NTLM: Inspekcja uwierzytelniania NTLM w tej domenie Włącz wszystko
    Zabezpieczenia sieciowe: Ogranicz ntLM: przeprowadź inspekcję przychodzącego ruchu NTLM Włączanie inspekcji dla wszystkich kont

Aby na przykład skonfigurować wychodzący ruch NTLM na serwerach zdalnych, w obszarze Opcje zabezpieczeń kliknij dwukrotnie pozycję Zabezpieczenia sieci: Ogranicz ntLM: wychodzący ruch NTLM do serwerów zdalnych, a następnie wybierz pozycję Przeprowadź inspekcję wszystkich.

Zrzut ekranu przedstawiający konfigurację inspekcji wychodzącego ruchu NTLM do serwerów zdalnych.

Konfigurowanie inspekcji obiektów domeny

Aby zbierać zdarzenia dotyczące zmian obiektów, takich jak zdarzenie 4662, należy również skonfigurować inspekcję obiektów dla użytkownika, grupy, komputera i innych obiektów. Poniższa procedura opisuje sposób włączania inspekcji w domenie usługi Active Directory.

Ważne

Przed włączeniem zbierania zdarzeń przejrzyj i przeprowadź inspekcję zasad (za pośrednictwem interfejsu użytkownika lub programu PowerShell), aby upewnić się, że kontrolery domeny są prawidłowo skonfigurowane do rejestrowania niezbędnych zdarzeń. Jeśli ta inspekcja jest prawidłowo skonfigurowana, powinna mieć minimalny wpływ na wydajność serwera.

Powiązany problem z kondycją: Inspekcja obiektów usług katalogowych nie jest włączona zgodnie z wymaganiami

Aby skonfigurować inspekcję obiektów domeny:

  1. Przejdź do konsoli Użytkownicy i komputery usługi Active Directory.

  2. Wybierz domenę, którą chcesz przeprowadzić inspekcję.

  3. Wybierz menu Widok, a następnie wybierz pozycję Funkcje zaawansowane.

  4. Kliknij prawym przyciskiem myszy domenę i wybierz polecenie Właściwości.

    Zrzut ekranu przedstawiający opcje otwierania właściwości kontenera.

  5. Przejdź do karty Zabezpieczenia , a następnie wybierz pozycję Zaawansowane.

    Zrzut ekranu przedstawiający okno dialogowe otwierania zaawansowanych właściwości zabezpieczeń.

  6. W obszarze Ustawienia zabezpieczeń zaawansowanych wybierz kartę Inspekcja , a następnie wybierz pozycję Dodaj.

    Zrzut ekranu przedstawiający kartę Inspekcja w oknie dialogowym Ustawienia zabezpieczeń zaawansowanych.

  7. Wybierz pozycję Wybierz podmiot zabezpieczeń.

    Zrzut ekranu przedstawiający przycisk wybierania podmiotu zabezpieczeń.

  8. W obszarze Wprowadź nazwę obiektu do wybrania wprowadź wartość Wszyscy. Następnie wybierz pozycję Sprawdź nazwy>OK.

    Zrzut ekranu przedstawiający wprowadzanie nazwy obiektu Wszyscy.

  9. Następnie wróć do pozycji Inspekcja wpisu. Wybierz następujące ustawienia:

    1. W polu Typ wybierz pozycję Powodzenie.

    2. W obszarze Dotyczy wybierz pozycję Obiekty użytkownika podrzędnego.

    3. W obszarze Uprawnienia przewiń w dół i wybierz przycisk Wyczyść wszystko .

      Zrzut ekranu przedstawiający przycisk w celu wyczyszczenia wszystkich uprawnień.

    4. Przewiń z powrotem w górę i wybierz pozycję Pełna kontrola. Wszystkie uprawnienia są zaznaczone.

    5. Wyczyść zaznaczenie zawartości listy, Odczytaj wszystkie właściwości i Uprawnienia do odczytu, a następnie wybierz przycisk OK. Ten krok ustawia wszystkie ustawienia właściwości na Zapis.

      Zrzut ekranu przedstawiający wybieranie uprawnień.

      Teraz wszystkie istotne zmiany w usługach katalogowych są wyświetlane jako zdarzenia 4662 po ich wyzwoleniu.

  10. Powtórz kroki opisane w tej procedurze, ale w polu Dotyczy wybierz następujące typy obiektów:

    • Obiekty grupy potomnych
    • Obiekty komputera podrzędnego
    • Obiekty potomne msDS-GroupManagedServiceAccount
    • Obiekty potomne msDS-ManagedServiceAccount

Uwaga

Przypisanie uprawnień inspekcji dla wszystkich obiektów potomnych również działa, ale potrzebne są tylko typy obiektów szczegółowo opisane w ostatnim kroku.

Konfigurowanie inspekcji w usługach AD FS

Powiązany problem z kondycją: Inspekcja kontenera usług AD FS nie jest włączona zgodnie z wymaganiami

Aby skonfigurować inspekcję w usługach Active Directory Federation Services (AD FS):

  1. Przejdź do konsoli Użytkownicy i komputery usługi Active Directory i wybierz domenę, w której chcesz włączyć dzienniki.

  2. Przejdź do pozycji Program Data Microsoft ADFS (Dane>programu Microsoft>ADFS).

    Zrzut ekranu przedstawiający kontener usług Active Directory Federation Services.

  3. Kliknij prawym przyciskiem myszy usługę ADFS i wybierz polecenie Właściwości.

  4. Przejdź do karty Zabezpieczenia i wybierz pozycję Zaawansowane>ustawienia zabezpieczeń. Następnie przejdź do karty Inspekcja i wybierz pozycję Dodaj>wybierz podmiot zabezpieczeń.

  5. W obszarze Wprowadź nazwę obiektu do wybrania wprowadź wartość Wszyscy. Następnie wybierz pozycję Sprawdź nazwy>OK.

  6. Następnie wróć do pozycji Inspekcja wpisu. Wybierz następujące ustawienia:

    • W polu Typ wybierz pozycję Wszystkie.
    • W obszarze Dotyczy wybierz pozycję Ten obiekt i wszystkie obiekty potomne.
    • W obszarze Uprawnienia przewiń w dół i wybierz pozycję Wyczyść wszystko. Przewiń w górę i wybierz pozycję Odczytaj wszystkie właściwości i Zapisz wszystkie właściwości.

    Zrzut ekranu przedstawiający ustawienia inspekcji usług Active Directory Federation Services.

  7. Wybierz przycisk OK.

Konfigurowanie pełnego rejestrowania dla zdarzeń usług AD FS

Czujniki uruchomione na serwerach usług AD FS muszą mieć poziom inspekcji ustawiony na Pełne dla odpowiednich zdarzeń. Na przykład użyj następującego polecenia, aby skonfigurować poziom inspekcji na pełne:

Set-AdfsProperties -AuditLevel Verbose

Konfigurowanie inspekcji w usługach AD CS

Jeśli pracujesz z dedykowanym serwerem z skonfigurowanymi usługami certyfikatów Active Directory (AD CS), skonfiguruj inspekcję w następujący sposób, aby wyświetlić dedykowane alerty i raporty wskaźnika bezpieczeństwa:

  1. Utwórz zasady grupy, które mają zostać zastosowane do serwera usług AD CS. Edytuj go i skonfiguruj następujące ustawienia inspekcji:

    1. Przejdź do pozycji Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Konfiguracja zaawansowanych zasad inspekcji\Zasady inspekcji\Dostęp do obiektu\Inspekcja usług certyfikacji.

    2. Zaznacz pola wyboru, aby skonfigurować zdarzenia inspekcji dla powodzenia i niepowodzenia.

      Zrzut ekranu przedstawiający konfigurowanie zdarzeń inspekcji dla usług certyfikatów Active Directory w Edytorze zarządzania zasadami grupy.

  2. Skonfiguruj inspekcję urzędu certyfikacji przy użyciu jednej z następujących metod:

    • Aby skonfigurować inspekcję urzędu certyfikacji przy użyciu wiersza polecenia, uruchom polecenie:

      certutil –setreg CA\AuditFilter 127 


net stop certsvc && net start certsvc

    • Aby skonfigurować inspekcję urzędu certyfikacji przy użyciu graficznego interfejsu użytkownika:

      1. Wybierz pozycję Uruchom>urząd certyfikacji (aplikacja klasyczna MMC). Kliknij prawym przyciskiem myszy nazwę urzędu certyfikacji i wybierz pozycję Właściwości.

        Zrzut ekranu przedstawiający okno dialogowe Urząd certyfikacji.

      2. Wybierz kartę Inspekcja, wybierz wszystkie zdarzenia, które chcesz przeprowadzić inspekcję, a następnie wybierz pozycję Zastosuj.

        Zrzut ekranu przedstawiający kartę Inspekcja właściwości urzędu certyfikacji.

Uwaga

Skonfigurowanie inspekcji zdarzeń uruchamiania i zatrzymywania usług certyfikatów Active Directory może spowodować opóźnienia ponownego uruchamiania w przypadku dużej bazy danych usług AD CS. Rozważ usunięcie nieistotnych wpisów z bazy danych. Alternatywnie powstrzymaj się od włączenia tego konkretnego typu zdarzenia.

Konfigurowanie inspekcji w programie Microsoft Entra Connect

Aby skonfigurować inspekcję na serwerach Microsoft Entra Connect:

  • Utwórz zasady grupy, które mają być stosowane do serwerów microsoft Entra Connect. Edytuj go i skonfiguruj następujące ustawienia inspekcji:

    1. Przejdź do pozycji Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Konfiguracja zaawansowanych zasad inspekcji\Audit Policies\Logon/Logoff\Audit Logon.

    2. Zaznacz pola wyboru, aby skonfigurować zdarzenia inspekcji dla powodzenia i niepowodzenia.

Zrzut ekranu edytora zarządzania zasadami grupy.

Konfigurowanie inspekcji w kontenerze konfiguracji

Uwaga

Inspekcja kontenera konfiguracji jest ponownie określana tylko dla środowisk, które mają obecnie lub wcześniej miał program Microsoft Exchange, ponieważ te środowiska mają kontener programu Exchange znajdujący się w sekcji Konfiguracja domeny.

Powiązany problem z kondycją: Inspekcja w kontenerze konfiguracji nie jest włączona zgodnie z wymaganiami

  1. Otwórz narzędzie do edycji ADSI. Wybierz pozycję Uruchom,> wprowadź ciąg ADSIEdit.msc, a następnie wybierz przycisk OK.

  2. W menu Akcja wybierz pozycję Połącz z.

  3. W oknie dialogowym Ustawienia połączenia w obszarze Wybierz dobrze znany kontekst nazewnictwa wybierz pozycję Konfiguracja>OK.

  4. Rozwiń kontener Konfiguracji, aby wyświetlić węzeł Konfiguracja, który rozpoczyna się od "CN=Configuration,DC=...".

  5. Kliknij prawym przyciskiem myszy węzeł Konfiguracja i wybierz polecenie Właściwości.

    Zrzut ekranu przedstawiający opcje otwierania właściwości węzła Konfiguracja.

  6. Wybierz kartę Zabezpieczenia , a następnie wybierz pozycję Zaawansowane.

  7. W obszarze Ustawienia zabezpieczeń zaawansowanych wybierz kartę Inspekcja , a następnie wybierz pozycję Dodaj.

  8. Wybierz pozycję Wybierz podmiot zabezpieczeń.

  9. W obszarze Wprowadź nazwę obiektu do wybrania wprowadź wartość Wszyscy. Następnie wybierz pozycję Sprawdź nazwy>OK.

  10. Następnie wróć do pozycji Inspekcja wpisu. Wybierz następujące ustawienia:

    • W polu Typ wybierz pozycję Wszystkie.
    • W obszarze Dotyczy wybierz pozycję Ten obiekt i wszystkie obiekty potomne.
    • W obszarze Uprawnienia przewiń w dół i wybierz pozycję Wyczyść wszystko. Przewiń w górę i wybierz pozycję Zapisz wszystkie właściwości.

    Zrzut ekranu przedstawiający ustawienia inspekcji dla kontenera Konfiguracja.

  11. Wybierz przycisk OK.

Aktualizowanie starszych konfiguracji

Usługa Defender for Identity nie wymaga już rejestrowania zdarzeń 1644. Jeśli to ustawienie rejestru jest włączone, możesz go usunąć.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Powiązana zawartość

Aby uzyskać więcej informacji, zobacz:

Następny krok

Co to są role i uprawnienia usługi Defender for Identity?