Konfigurowanie zasad inspekcji dla dzienników zdarzeń systemu Windows

  • Artykuł

Wykrywanie tożsamości w usłudze Microsoft Defender jest oparte na określonych wpisach dziennika zdarzeń systemu Windows w celu ulepszenia wykrywania i dostarczania dodatkowych informacji o użytkownikach, którzy wykonali określone akcje, takich jak logowania NTLM i modyfikacje grupy zabezpieczeń.

W celu przeprowadzenia inspekcji i włączenia odpowiednich zdarzeń w dzienniku zdarzeń systemu Windows kontrolery domeny wymagają określonych ustawień zaawansowanych zasad inspekcji systemu Windows server. Błędnie skonfigurowane zaawansowane ustawienia zasad inspekcji mogą powodować luki w dzienniku zdarzeń i niekompletne pokrycie usługi Defender for Identity.

W tym artykule opisano sposób konfigurowania ustawień zaawansowanych zasad inspekcji zgodnie z potrzebami dla czujnika usługi Defender for Identity oraz innych konfiguracji dla określonych typów zdarzeń.

Aby uzyskać więcej informacji, zobacz Co to jest zbieranie zdarzeń systemu Windows dla usługi Defender for Identity i zaawansowanych zasad inspekcji zabezpieczeń w dokumentacji systemu Windows.

Generowanie raportu z bieżącymi konfiguracjami za pomocą programu PowerShell

Wymagania wstępne: przed uruchomieniem poleceń programu PowerShell w usłudze Defender for Identity upewnij się, że pobrano moduł Programu PowerShell usługi Defender for Identity.

Przed rozpoczęciem tworzenia nowych zasad zdarzeń i inspekcji zalecamy uruchomienie następującego polecenia programu PowerShell w celu wygenerowania raportu bieżących konfiguracji domeny:

New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]

Gdzie:

  • Ścieżka określa ścieżkę do zapisania raportów w
  • Tryb określa, czy chcesz użyć trybu Domain czy LocalMachine . W trybie domeny ustawienia są zbierane z obiektów zasad grupy. W trybie LocalMachine ustawienia są zbierane z komputera lokalnego.
  • OpenHtmlReport otwiera raport HTML po wygenerowaniu raportu

Aby na przykład wygenerować raport i otworzyć go w domyślnej przeglądarce, uruchom następujące polecenie:

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

Aby uzyskać więcej informacji, zobacz artykuł DefenderforIdentity PowerShell reference (Dokumentacja programu PowerShell dla usługi DefenderforIdentity).

Napiwek

Raport Domain trybu zawiera tylko konfiguracje ustawione jako zasady grupy w domenie. Jeśli masz ustawienia zdefiniowane lokalnie na kontrolerach domeny, zalecamy również uruchomienie skryptu Test-MdiReadiness.ps1 .

Konfigurowanie inspekcji dla kontrolerów domeny

Podczas pracy z kontrolerem domeny należy zaktualizować zaawansowane ustawienia zasad inspekcji i dodatkowe konfiguracje dla określonych zdarzeń i typów zdarzeń, takich jak użytkownicy, grupy, komputery i inne. Konfiguracje inspekcji dla kontrolerów domeny obejmują:

Konfigurowanie zaawansowanych ustawień zasad inspekcji

W tej procedurze opisano sposób modyfikowania zaawansowanych zasad inspekcji kontrolera domeny zgodnie z potrzebami dla usługi Defender for Identity.

  1. Zaloguj się na serwerze jako Administracja istrator domeny.

  2. Otwórz Edytor zarządzania zasadami grupy z Menedżer serwera> Za management zasad grupyTools.>

  3. Rozwiń węzeł Jednostki organizacyjne kontrolerów domeny, kliknij prawym przyciskiem myszy domyślne zasady kontrolerów domeny, a następnie wybierz polecenie Edytuj. Na przykład:

    Screenshot of the Edit domain controller policy dialog.

    Uwaga

    Użyj domyślnych zasad kontrolerów domeny lub dedykowanego obiektu zasad grupy, aby ustawić te zasady.

  4. W wyświetlonym oknie przejdź do pozycji Zasady>konfiguracji>komputera Windows Ustawienia> Zabezpieczenia Ustawienia i w zależności od zasad, które chcesz włączyć, wykonaj następujące czynności:

    1. Przejdź do pozycji Zaawansowane zasady inspekcji Zasady inspekcji Zasady inspekcji Zasady inspekcji>. Na przykład:

      Screenshot of the Advanced Audit Policy Configuration dialog.

    2. W obszarze Zasady inspekcji zmodyfikuj każdą z następujących zasad i wybierz pozycję Skonfiguruj następujące zdarzenia inspekcji dla zdarzeń powodzenia i niepowodzenia.

      Zasady inspekcji Podkategoria Wyzwala identyfikatory zdarzeń
      Logowanie do konta Inspekcja weryfikacji poświadczeń 4776
      Zarządzanie kontami Inspekcja zarządzania kontami komputerów * 4741, 4743
      Zarządzanie kontami Inspekcja zarządzania grupami dystrybucyjnymi 4753, 4763
      Zarządzanie kontami Inspekcja zarządzania grupami zabezpieczeń * 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Zarządzanie kontami Inspekcja zarządzania kontami użytkowników 4726
      Dostęp ds Inspekcja zmian usługi katalogowej 5136
      Zadania systemowe Inspekcja rozszerzenia systemu zabezpieczeń * 7045
      Dostęp ds Przeprowadź inspekcję dostępu do usługi katalogowej 4662 — W przypadku tego zdarzenia należy również skonfigurować inspekcję obiektów domeny.

      Uwaga

      * Zanotowano podkategorie nie obsługują zdarzeń awarii. Zalecamy jednak dodanie ich do celów inspekcji w przypadku ich wdrożenia w przyszłości. Aby uzyskać więcej informacji, zobacz Inspekcja zarządzania kontami komputerów, Inspekcja zarządzania grupami zabezpieczeń i Inspekcja rozszerzenia systemu zabezpieczeń.

      Aby na przykład skonfigurować inspekcję zarządzania grupami zabezpieczeń, w obszarze Zarządzanie kontami kliknij dwukrotnie pozycję Inspekcja zarządzania grupami zabezpieczeń, a następnie wybierz pozycję Skonfiguruj następujące zdarzenia inspekcji dla zdarzeń powodzenia i niepowodzenia:

      Screenshot of the Audit Security Group Management dialog.

  5. W wierszu polecenia z podwyższonym poziomem uprawnień wpisz gpupdate.

  6. Po zastosowaniu zasad za pośrednictwem obiektu zasad grupy nowe zdarzenia są widoczne w Podgląd zdarzeń w obszarze Dzienniki systemu Windows —> Zabezpieczenia.

Testowanie zasad inspekcji z poziomu wiersza polecenia

Aby przetestować zasady inspekcji z poziomu wiersza polecenia, uruchom następujące polecenie:

auditpol.exe /get /category:*

Aby uzyskać więcej informacji, zobacz dokumentację referencyjną auditpol.

Konfigurowanie, pobieranie i testowanie zasad inspekcji przy użyciu programu PowerShell

Aby skonfigurować zasady inspekcji przy użyciu programu PowerShell, uruchom następujące polecenie:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

Gdzie:

  • Tryb określa, czy chcesz użyć trybu Domain czy LocalMachine . W trybie domeny ustawienia są zbierane z obiektów zasad grupy. W trybie LocalMachine ustawienia są zbierane z komputera lokalnego.

  • Konfiguracja określa, która konfiguracja ma być ustawiona. Użyj All polecenia , aby ustawić wszystkie konfiguracje.

  • CreateGpoDisabled określa, czy obiekty zasad grupy są tworzone i przechowywane jako wyłączone.

  • SkipGpoLink określa, że łącza obiektu zasad grupy nie są tworzone.

  • Force określa, że konfiguracja jest ustawiona lub obiekty zasad grupy są tworzone bez sprawdzania poprawności bieżącego stanu.

Aby wyświetlić lub przetestować zasady inspekcji przy użyciu programu PowerShell, uruchom następujące polecenia zgodnie z potrzebami. Użyj polecenia Get-MDIConfiguration, aby wyświetlić bieżące wartości. Użyj polecenia Test-MDIConfiguration, aby uzyskać true odpowiedź lubfalse, czy wartości są poprawnie skonfigurowane.

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Gdzie:

  • Tryb określa, czy chcesz użyć trybu Domain czy LocalMachine . W trybie domeny ustawienia są zbierane z obiektów zasad grupy. W trybie LocalMachine ustawienia są zbierane z komputera lokalnego.

  • Konfiguracja określa konfigurację do pobrania. Użyj polecenia All , aby pobrać wszystkie konfiguracje.

Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Gdzie:

  • Tryb określa, czy chcesz użyć trybu Domain czy LocalMachine . W trybie domeny ustawienia są zbierane z obiektów zasad grupy. W trybie LocalMachine ustawienia są zbierane z komputera lokalnego.

  • Konfiguracja określa konfigurację do przetestowania. Użyj polecenia All , aby przetestować wszystkie konfiguracje.

Aby uzyskać więcej informacji, zobacz następujące odwołania do programu PowerShell defenderForIdentity:

Konfigurowanie inspekcji NTLM

W tej sekcji opisano dodatkowe kroki konfiguracji wymagane do przeprowadzenia inspekcji zdarzenia o identyfikatorze 8004.

Uwaga

  • Zasady grupy domeny do zbierania zdarzeń systemu Windows 8004 powinny być stosowane tylko do kontrolerów domeny.
  • Gdy zdarzenie systemu Windows 8004 jest analizowane przez usługę Defender for Identity Sensor, działania uwierzytelniania NTLM w usłudze Defender for Identity są wzbogacone o dostęp do danych serwera.

  1. Po początkowych krokach otwórz przystawkę Zarządzanie zasadami grupy i przejdź do domyślnych opcji zabezpieczeń zasad>lokalnych>kontrolerów domeny.

  2. W obszarze Opcje zabezpieczeń skonfiguruj określone zasady zabezpieczeń w następujący sposób:

    Ustawienie zasad zabezpieczeń Wartość
    Zabezpieczenia sieciowe: Ograniczanie ntLM: wychodzący ruch NTLM do serwerów zdalnych Przeprowadź inspekcję wszystkich
    Zabezpieczenia sieci: Ograniczanie protokołu NTLM: Inspekcja uwierzytelniania NTLM w tej domenie Włącz wszystko
    Zabezpieczenia sieciowe: Ogranicz ntLM: przeprowadź inspekcję przychodzącego ruchu NTLM Włączanie inspekcji dla wszystkich kont

Aby na przykład skonfigurować wychodzący ruch NTLM do serwerów zdalnych, w obszarze Opcje zabezpieczeń kliknij dwukrotnie pozycję Zabezpieczenia sieci: Ogranicz NTLM: Wychodzący ruch NTLM do serwerów zdalnych, a następnie wybierz pozycję Przeprowadź inspekcję wszystkich:

Screenshot of the Audit Outgoing NTLM traffic to remote servers configuration.

Konfigurowanie inspekcji obiektów domeny

Aby zbierać zdarzenia dotyczące zmian obiektów, takich jak zdarzenie 4662, należy również skonfigurować inspekcję obiektów dla użytkownika, grupy, komputera i innych obiektów. W tej procedurze opisano sposób włączania inspekcji w domenie usługi Active Directory.

Ważne

Przed włączeniem zbierania zdarzeń należy przejrzeć i zweryfikować zasady inspekcji, aby upewnić się, że kontrolery domeny są prawidłowo skonfigurowane do rejestrowania niezbędnych zdarzeń. Jeśli inspekcja jest skonfigurowana prawidłowo, powinna mieć minimalny wpływ na wydajność serwera.

  1. Przejdź do konsoli Użytkownicy i komputery usługi Active Directory.

  2. Wybierz domenę, którą chcesz przeprowadzić inspekcję.

  3. Wybierz menu Widok i wybierz pozycję Funkcje zaawansowane.

  4. Kliknij prawym przyciskiem myszy domenę i wybierz polecenie Właściwości. Na przykład:

    Screenshot of the container properties option.

  5. Przejdź do karty Zabezpieczenia i wybierz pozycję Zaawansowane. Na przykład:

    Screenshot of the advanced security properties dialog.

  6. W obszarze Advanced Security Ustawienia wybierz kartę Inspekcja, a następnie wybierz pozycję Dodaj. Na przykład:

    Screenshot of the Advanced Security Settings Auditing tab.

  7. Wybierz pozycję Wybierz podmiot zabezpieczeń. Na przykład:

    Screenshot of the Select a principal option.

  8. W obszarze Wprowadź nazwę obiektu do wybrania wprowadź wszyscyi wybierz pozycję Sprawdź nazwy>OK. Na przykład:

    Screenshot of the Select everyone settings.

  9. Następnie wróć do pozycji Inspekcja wpisu. Wybierz następujące ustawienia:

    1. W polu Typ wybierz pozycję Powodzenie.

    2. W obszarze Dotyczy wybierz obiekty użytkownika podrzędnego.

    3. W obszarze Uprawnienia przewiń w dół i wybierz przycisk Wyczyść wszystko . Na przykład:

      Screenshot of selecting Clear all.

    4. Przewiń z powrotem w górę i wybierz pozycję Pełna kontrola. Wszystkie uprawnienia są zaznaczone.

    5. Wyczyść zaznaczenie zawartości listy, Odczytaj wszystkie właściwości i Uprawnienia do odczytu, a następnie wybierz przycisk OK. Spowoduje to ustawienie wszystkich ustawień właściwości na wartość Zapis. Na przykład:

      Screenshot of selecting permissions.

      Teraz po wyzwoleniu wszystkie istotne zmiany w usługach katalogowych są wyświetlane jako 4662 zdarzenia.

  10. Powtórz kroki opisane w tej procedurze, ale w polu Dotyczy wybierz następujące typy obiektów:

    • Obiekty grupy potomnych
    • Obiekty komputera podrzędnego
    • Obiekty potomne msDS-GroupManagedServiceAccount
    • Obiekty potomne msDS-ManagedServiceAccount

Uwaga

Przypisanie uprawnień inspekcji dla wszystkich obiektów potomnych działałoby również, ale wymagamy tylko typów obiektów zgodnie z opisem w ostatnim kroku.

Konfigurowanie inspekcji w usługach Active Directory Federation Services (AD FS)

  1. Przejdź do konsoli Użytkownicy i komputery usługi Active Directory i wybierz domenę, w której chcesz włączyć dzienniki.

  2. Przejdź do pozycji Program Data Microsoft ADFS (Dane>programu Microsoft>ADFS). Na przykład:

    Screenshot of an ADFS container.

  3. Kliknij prawym przyciskiem myszy usługę ADFS i wybierz polecenie Właściwości.

  4. Przejdź do karty Zabezpieczenia i wybierz kartę >Advanced Advanced>Security Ustawienia> Auditing Dodaj>podmiot zabezpieczeń.

  5. W obszarze Wprowadź nazwę obiektu do wybrania wprowadź wartość Wszyscy.

  6. Wybierz pozycję Sprawdź nazwy>OK.

  7. Następnie wróć do pozycji Inspekcja wpisu. Wybierz następujące ustawienia:

    • W polu Typ wybierz pozycję Wszystkie.
    • W obszarze Dotyczy zaznaczenietego obiektu i wszystkich obiektów potomnych.
    • W obszarze Uprawnienia przewiń w dół i wybierz pozycję Wyczyść wszystko. Przewiń w górę i wybierz pozycję Odczytaj wszystkie właściwości i Zapisz wszystkie właściwości.

    Na przykład:

    Screenshot of the auditing settings for ADFS.

  8. Wybierz przycisk OK.

Konfigurowanie inspekcji dla usług certyfikatów Active Directory (AD CS)

Jeśli pracujesz z dedykowanym serwerem z skonfigurowanymi usługami certyfikatów Active Directory (AD CS), pamiętaj, aby skonfigurować inspekcję w następujący sposób, aby wyświetlić dedykowane alerty i raporty wskaźnika bezpieczeństwa:

  1. Utwórz zasady grupy, które mają zostać zastosowane do serwera usług AD CS. Edytuj go i skonfiguruj następujące ustawienia inspekcji:

    1. Przejdź do i dwukrotnie wybierz pozycję Konfiguracja komputera\Zasady\Windows Ustawienia\Security Ustawienia\Advanced Audit Policy Configuration\Audit Policy\Audit Policies\Object Access\Audit Certification Services.

    2. Wybierz, aby skonfigurować zdarzenia inspekcji dla powodzenia i niepowodzenia. Na przykład:

      Screenshot of the Group Policy Management Editor.

  2. Skonfiguruj inspekcję urzędu certyfikacji przy użyciu jednej z następujących metod:

    • Aby skonfigurować inspekcję urzędu certyfikacji przy użyciu wiersza polecenia, uruchom polecenie:

      certutil –setreg CA\AuditFilter 127 

net stop certsvc && net start certsvc

    • Aby skonfigurować inspekcję urzędu certyfikacji przy użyciu graficznego interfejsu użytkownika:

      1. Wybierz pozycję Start —> urząd certyfikacji (aplikacja klasyczna MMC). Kliknij prawym przyciskiem myszy nazwę urzędu certyfikacji i wybierz pozycję Właściwości. Na przykład:

        Screenshot of the Certification Authority dialog.

      2. Wybierz kartę Inspekcja, wybierz wszystkie zdarzenia, które chcesz przeprowadzić inspekcję, a następnie wybierz pozycję Zastosuj. Na przykład:

        Screenshot of the Properties Auditing tab.

Uwaga

Skonfigurowanie inspekcji zdarzeń uruchamiania i zatrzymywania usług certyfikatów Active Directory może spowodować opóźnienia ponownego uruchamiania w przypadku dużej bazy danych usług AD CS. Rozważ usunięcie nieistotnych wpisów z bazy danych lub alternatywnie powstrzymać się od włączenia tego konkretnego typu zdarzenia.

Konfigurowanie inspekcji w kontenerze konfiguracji

  1. Otwórz edycję ADSI, wybierając pozycję Uruchom.> Wprowadź ADSIEdit.msc i wybierz przycisk OK.

  2. W menu Akcja wybierz pozycję Połączenie.

  3. W oknie dialogowym Ustawienia Połączenie ion w obszarze Wybierz dobrze znany kontekst nazewnictwa wybierz pozycję Konfiguracja>OK.

  4. Rozwiń kontener Konfiguracji, aby wyświetlić węzeł Konfiguracja, począwszy od "CN=Configuration,DC=..."

  5. Kliknij prawym przyciskiem myszy węzeł Konfiguracja i wybierz polecenie Właściwości. Na przykład:

    Screenshot of the Configuration node properties.

  6. Wybierz kartę >Zabezpieczenia Zaawansowane.

  7. W Ustawienia Advanced Security wybierz kartę> Inspekcja Dodaj.

  8. Wybierz pozycję Wybierz podmiot zabezpieczeń.

  9. W obszarze Wprowadź nazwę obiektu do wybrania wprowadź wszyscyi wybierz pozycję Sprawdź nazwy>OK.

  10. Następnie wróć do pozycji Inspekcja wpisu. Wybierz następujące ustawienia:

    • W polu Typ wybierz pozycję Wszystkie.
    • W obszarze Dotyczy zaznaczenietego obiektu i wszystkich obiektów potomnych.
    • W obszarze Uprawnienia przewiń w dół i wybierz pozycję Wyczyść wszystko. Przewiń w górę i wybierz pozycję Zapisz wszystkie właściwości.

    Na przykład:

    Screenshot of the auditing settings for the Configuration container.

  11. Wybierz przycisk OK.

Starsze konfiguracje

Ważne

Usługa Defender for Identity nie wymaga już rejestrowania zdarzeń 1644. Jeśli to ustawienie rejestru jest włączone, możesz go usunąć.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Powiązana zawartość

Aby uzyskać więcej informacji, zobacz Inspekcja zabezpieczeń systemu Windows.

Następny krok

Co to są role i uprawnienia usługi Defender for Identity? »