Udostępnij przez

Konfigurowanie inspekcji zdarzeń systemu Windows

W tym artykule opisano sposób konfigurowania inspekcji zdarzeń systemu Windows.

Usługa Defender for Identity używa wpisów dziennika zdarzeń systemu Windows do wykrywania określonych działań. Te dane są używane w różnych scenariuszach wykrywania i mogą być używane w zaawansowanych zapytaniach wyszukiwania zagrożeń. Aby zapewnić optymalną ochronę i monitorowanie, upewnij się, że kolekcja zdarzeń systemu Windows jest prawidłowo skonfigurowana.

Usługa Defender for Identity generuje alerty dotyczące kondycji po wykryciu nieprawidłowych konfiguracji inspekcji zdarzeń systemu Windows. Aby uzyskać więcej informacji, zobacz Microsoft Defender for Identity alerty dotyczące kondycji.

Jeśli inspekcja jest prawidłowo skonfigurowana, ma minimalny wpływ na wydajność serwera.

Przed rozpoczęciem

Przed rozpoczęciem konfigurowania kolekcji zdarzeń systemu Windows zalecamy uruchomienie skryptu programu PowerShell w celu sprawdzenia bieżącej konfiguracji i wygenerowania raportu o wszelkich zmianach, które należy wprowadzić:

  1. Pobierz moduł Defender for Identity PowerShell.

  2. Uruchom moduł PowerShell usługi Defender for Identity New-MDIConfigurationReport , aby

    Użyj tego formatu, aby wygenerować raport:

        New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -Identity "DOMAIN\ServiceAccountName" -OpenHtmlReport

    Gdzie:

    • Path to katalog, w którym jest zapisywany raport.
    • Mode wskazuje, skąd są zbierane ustawienia.
      • W Domain trybie ustawienia są zbierane z obiektów zasady grupy (GPO). W przypadku korzystania z -Mode Domainpolecenia dołącz parametr , -Identity aby uniknąć interakcyjnego monitu.
      • W LocalMachine trybie ustawienia są zbierane z komputera lokalnego.
    • OpenHtmlReport powoduje otwarcie raportu HTML po wygenerowaniu raportu. Aby na przykład wygenerować raport i otworzyć go w przeglądarce domyślnej, uruchom następujące polecenie:
    New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

    Aby uzyskać więcej informacji, zobacz: New-MDIConfigurationReport.

  3. Przejrzyj raport i wprowadź wszelkie niezbędne zmiany przed skonfigurowaniem kolekcji zdarzeń systemu Windows.

Konfigurowanie usługi Defender for Identity w celu automatycznego zbierania zdarzeń systemu Windows (wersja zapoznawcza)

Uwaga

Automatyczna inspekcja zdarzeń systemu Windows jest obsługiwana dla kontrolerów domeny korzystających z czujnika Defender for Identity w wersji 3.x.

Automatyczna inspekcja systemu Windows automatycznie wykonuje wszystkie zadania konfiguracji:

  • Sprawdza bieżącą konfigurację inspekcji zdarzeń systemu Windows.
  • Identyfikuje wszelkie luki w konfiguracji.
  • Czujnik stosuje wszelkie niezbędne zmiany, w tym wszystkie kroki w konfiguracji ręcznej:
    • Zaawansowane inspekcje usług katalogowych: dodaje wpisy inspekcji do listy systemowej Access Control (SACL) obiektu głównego domeny, aby umożliwić inspekcję wymaganych usług katalogowych.
    • Inspekcja NTLM — używa standardowych interfejsów API rejestru systemu Windows do konfigurowania wymaganych wartości rejestru inspekcji NTLM.
    • Inspekcja obiektów domeny — modyfikuje listę SACL na partycji Konfiguracja w celu przechwycenia zmian obiektów konfiguracji usługi katalogowej.
    • Inspekcja usług ADFS — dodaje wpisy inspekcji do listy Access Control systemowej (SACL) kontenera konfiguracji usług AD FS, aby umożliwić inspekcję obiektów katalogów związanych z usługami AD FS.
    • Zasady inspekcji systemu Windows — konfiguruje lokalne zasady inspekcji systemu Windows przy użyciu interfejsów API zasad inspekcji urzędu zabezpieczeń lokalnych systemu Windows (LSA).
  • Stosuje ustawienia inspekcji bezpośrednio do lokalnych zasad systemu kontrolera domeny.
  • Wysyła alerty dotyczące kondycji dotyczące stanu konfiguracji.
  • Uruchamiany raz na 24 godziny.

Uwaga

  • Jeśli nie włączysz automatycznego inspekcji systemu Windows, musisz skonfigurować inspekcję zdarzeń systemu Windows ręcznie lub przy użyciu programu PowerShell.
  • Ustawienia obiektu zasad grupy mogą powodować konflikt z ustawieniami lokalnymi ustawionymi przez czujnik.

Włącz automatyczne inspekcje okien:

  1. W portalu Microsoft Defender przejdź do pozycji Ustawienia, a następnie pozycję Tożsamości.
  2. W sekcji Ogólne wybierz pozycję Funkcje zaawansowane.
  3. Włącz automatyczną konfigurację inspekcji systemu Windows.

Ręczne konfigurowanie zbierania zdarzeń systemu Windows

Ta sekcja zawiera instrukcje dotyczące ręcznego konfigurowania zbierania zdarzeń systemu Windows w następujących przypadkach:

Konfigurowanie inspekcji na kontrolerach domeny

Aby skonfigurować inspekcję na kontrolerze domeny, musisz:

Konfigurowanie zaawansowanego inspekcji usług katalogowych

W tej sekcji opisano sposób modyfikowania ustawień zaawansowanych zasad inspekcji kontrolera domeny dla usługi Defender for Identity.

  1. Zaloguj się na serwerze jako administrator domeny.

  2. Otwórz edytor zarządzania zasady grupy z Menedżer serwera>Tools>zasady grupy Management.

  3. Rozwiń węzeł Jednostki organizacyjne kontrolerów domeny, kliknij prawym przyciskiem myszy pozycję Domyślne zasady kontrolerów domeny, a następnie wybierz pozycję Edytuj.

    Zrzut ekranu przedstawiający okienko do edytowania domyślnych zasad dla kontrolerów domeny.

    Uwaga

    Użyj domyślnych zasad kontrolerów domeny lub dedykowanego obiektu zasad grupy, aby ustawić te zasady.

  4. W wyświetlonym oknie przejdź do pozycji Zasady konfiguracji> komputeraUstawienia>zabezpieczeń ustawień>systemu Windows. W zależności od zasad, które chcesz włączyć, wykonaj następujące czynności:

    1. Przejdź do obszaru Zaawansowane zasady inspekcji konfiguracjizasad inspekcji>.

      Zrzut ekranu przedstawiający opcje otwierania zasad inspekcji.

    2. W obszarze Zasady inspekcji edytuj każdą z następujących zasad i wybierz pozycję Skonfiguruj następujące zdarzenia inspekcji dla zdarzeńpowodzenie i niepowodzenie .

      Zasady inspekcji Podkategorii Wyzwalacze identyfikatorów zdarzeń
      Logowanie do konta Sprawdzanie poprawności poświadczeń inspekcji 4776
      Zarządzanie kontami Inspekcja zarządzania kontami komputerów* 4741, 4743
      Zarządzanie kontami Inspekcja zarządzania grupą dystrybucyjną* 4753, 4763
      Zarządzanie kontami Inspekcja zarządzania grupami zabezpieczeń* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Zarządzanie kontami Inspekcja zarządzania kontami użytkowników 4726
      Dostęp DS Inspekcja zmian w usłudze katalogowej* 5136
      System Inspekcja rozszerzenia systemu zabezpieczeń* 7045
      Dostęp DS Inspekcja dostępu do usługi katalogowej 4662 — W przypadku tego zdarzenia należy również skonfigurować inspekcję obiektów domeny.

      Uwaga

      * Te podkategorie nie obsługują zdarzeń awarii. Zalecamy jednak dodanie ich do celów inspekcji na wypadek, gdyby zostały zaimplementowane w przyszłości. Aby uzyskać więcej informacji, zobacz Inspekcja zarządzania kontem komputera, Inspekcja zarządzania grupami zabezpieczeń i Inspekcja rozszerzenia systemu zabezpieczeń.

      Aby na przykład skonfigurować zarządzanie grupami zabezpieczeń inspekcji, w obszarze Zarządzanie kontami kliknij dwukrotnie pozycję Inspekcja zarządzania grupami zabezpieczeń, a następnie wybierz pozycję Skonfiguruj następujące zdarzenia inspekcji dla zdarzeńpowodzenie i niepowodzenie .

      Zrzut ekranu przedstawiający okno dialogowe Inspekcja właściwości zarządzania grupami zabezpieczeń.

  5. W wierszu polecenia z podwyższonym poziomem uprawnień wprowadź wartość gpupdate.

  6. Po zastosowaniu zasad za pośrednictwem obiektu zasad grupy upewnij się, że nowe zdarzenia są wyświetlane w Podgląd zdarzeń w obszarzeZabezpieczeniadzienników> systemu Windows.

    Aby przetestować zasady inspekcji z poziomu wiersza polecenia, uruchom następujące polecenie:

    auditpol.exe /get /category:*

Aby uzyskać więcej informacji, zobacz dokumentację referencyjną auditpol.

Konfigurowanie inspekcji NTLM

Gdy czujnik usługi Defender for Identity analizuje zdarzenie systemu Windows 8004, działania uwierzytelniania NTLM usługi Defender for Identity są wzbogacane o dane dostępne dla serwera. W tej sekcji opisano dodatkowe kroki konfiguracji potrzebne do inspekcji zdarzenia systemu Windows 8004.

Uwaga

Zasady grupy domeny do zbierania zdarzeń systemu Windows 8004 powinny być stosowane tylko do kontrolerów domeny.

Aby skonfigurować inspekcję NTLM:

  1. Otwórz zasady grupy Management i przejdź do pozycjiDomyślne opcje zabezpieczeńzasad domeny Zasad>>lokalnych.

  2. Skonfiguruj określone zasady zabezpieczeń w następujący sposób:

    Ustawienie zasad zabezpieczeń Value
    Zabezpieczenia sieci: ograniczanie ruchu NTLM: wychodzący ruch NTLM do serwerów zdalnych Przeprowadź inspekcję wszystkich
    Zabezpieczenia sieci: ograniczanie NTLM: inspekcja uwierzytelniania NTLM w tej domenie Włącz wszystkie
    Zabezpieczenia sieci: ograniczanie NTLM: inspekcja przychodzącego ruchu NTLM Włączanie inspekcji dla wszystkich kont

Aby na przykład skonfigurować wychodzący ruch NTLM do serwerów zdalnych, w obszarze Opcje zabezpieczeń kliknij dwukrotnie pozycję Zabezpieczenia sieci: Ogranicz NTLM: wychodzący ruch NTLM do serwerów zdalnych, a następnie wybierz pozycję Przeprowadź inspekcję wszystkich.

Zrzut ekranu przedstawiający konfigurację inspekcji wychodzącego ruchu NTLM do serwerów zdalnych.

Konfigurowanie inspekcji obiektów domeny

Aby zbierać zdarzenia dotyczące zmian obiektów, takich jak zdarzenie 4662, należy również skonfigurować inspekcję obiektów dla użytkownika, grupy, komputera i innych obiektów. W poniższej procedurze opisano sposób włączania inspekcji w domenie usługi Active Directory.

Aby skonfigurować inspekcję obiektów domeny:

  1. Przejdź do konsoli Użytkownicy i komputery usługi Active Directory.

  2. Wybierz domenę, którą chcesz poddać inspekcji.

  3. Wybierz menu Widok , a następnie wybierz pozycję Funkcje zaawansowane.

  4. Kliknij prawym przyciskiem myszy domenę i wybierz pozycję Właściwości.

    Zrzut ekranu przedstawiający opcje otwierania właściwości kontenera.

  5. Przejdź do karty Zabezpieczenia , a następnie wybierz pozycję Zaawansowane.

    Zrzut ekranu przedstawiający okno dialogowe otwierania zaawansowanych właściwości zabezpieczeń.

  6. W obszarze Zaawansowane ustawienia zabezpieczeń wybierz kartę Inspekcja , a następnie wybierz pozycję Dodaj.

    Zrzut ekranu przedstawiający kartę Inspekcja w oknie dialogowym Zaawansowane ustawienia zabezpieczeń.

  7. Wybierz pozycję Wybierz podmiot zabezpieczeń.

    Zrzut ekranu przedstawiający przycisk wybierania podmiotu zabezpieczeń.

  8. W obszarze Wprowadź nazwę obiektu do wybrania wprowadź wartość Wszyscy. Następnie wybierz pozycję Sprawdź nazwy>OK.

    Zrzut ekranu przedstawiający wprowadzanie nazwy obiektu Wszyscy.

  9. Wstecz do pozycji Inspekcja i dokonaj następujących wyborów:

    1. W polu Typ wybierz pozycję Powodzenie.

    2. W polu Dotyczy wybierz pozycję Obiekty użytkownika potomnego.

    3. W obszarze Uprawnienia przewiń w dół i wybierz przycisk Wyczyść wszystko.

      Zrzut ekranu przedstawiający przycisk umożliwiający wyczyszczenie wszystkich uprawnień.

    4. Przewiń ponownie w górę i wybierz pozycję Pełna kontrola. Wszystkie uprawnienia są zaznaczone.

    5. Wyczyść zaznaczenie pozycji Zawartość listy, Odczyt wszystkich właściwości i Uprawnienia do odczytu , a następnie wybierz przycisk OK. Ten krok powoduje ustawienie wszystkich ustawień właściwości na wartość Zapis.

      Zrzut ekranu przedstawiający wybieranie uprawnień.

      Teraz wszystkie istotne zmiany w usługach katalogowych są wyświetlane jako zdarzenia 4662 po ich wyzwoleniu.

  10. Powtórz kroki opisane w tej procedurze, ale w polu Dotyczy wybierz następujące typy obiektów 1

    • Obiekty grupy elementów potomnych
    • Obiekty komputera potomnego
    • Obiekty podrzędne msDS-GroupManagedServiceAccount
    • Obiekty podrzędne msDS-ManagedServiceAccount
    • Obiekty podrzędne msDS-DelegatedManagedServiceAccount Objects2

Uwaga

  • Uprawnienia inspekcji można przypisać do wszystkich obiektów potomnych, używając tylko typów obiektów opisanych w ostatnim kroku.
  • Klasa msDS-DelegatedManagedServiceAccount jest odpowiednia tylko dla domen z co najmniej jednym kontrolerem domeny Windows Server 2025 r.

Konfigurowanie inspekcji w usługach AD FS

Aby skonfigurować inspekcję na Active Directory Federation Services (AD FS):

  1. Przejdź do konsoli Użytkownicy i komputery usługi Active Directory i wybierz domenę, w której chcesz włączyć dzienniki.

  2. Przejdź do obszaru Dane> programuMicrosoft>ADFS.

    Zrzut ekranu przedstawiający kontener dla Active Directory Federation Services.

  3. Kliknij prawym przyciskiem myszy usługę ADFS i wybierz pozycję Właściwości.

  4. Przejdź do karty Zabezpieczenia i wybierz pozycję Zaawansowane>ustawienia zabezpieczeń. Następnie przejdź do karty Inspekcja i wybierz pozycję Dodaj>Wybierz jednostkę.

  5. W obszarze Wprowadź nazwę obiektu do wybrania wprowadź wartość Wszyscy. Następnie wybierz pozycję Sprawdź nazwy>OK.

  6. Następnie wrócisz do pozycji Inspekcja. Wybierz następujące opcje:

    • W polu Typ wybierz pozycję Wszystkie.
    • W polu Dotyczy wybierz pozycję Ten obiekt i wszystkie obiekty podrzędne.
    • W obszarze Uprawnienia przewiń w dół i wybierz pozycję Wyczyść wszystko. Przewiń w górę i wybierz pozycję Odczyt wszystkich właściwości i Zapisz wszystkie właściwości.

    Zrzut ekranu przedstawiający ustawienia inspekcji dla Active Directory Federation Services.

  7. Wybierz przycisk OK.

Konfigurowanie pełnego rejestrowania zdarzeń usług AD FS

Czujniki działające na serwerach usług AD FS muszą mieć poziom inspekcji ustawiony na Pełne dla odpowiednich zdarzeń.

Aby skonfigurować poziom inspekcji na pełne, możesz użyć następującego polecenia programu PowerShell:

Set-AdfsProperties -AuditLevel Verbose

Konfigurowanie inspekcji w usłudze AD CS

Jeśli pracujesz z dedykowanym serwerem z skonfigurowanymi usługami certyfikatów Active Directory (AD CS), skonfiguruj inspekcję w następujący sposób, aby wyświetlać dedykowane alerty i raporty bezpiecznego wyniku:

  1. Utwórz zasady grupy do zastosowania na serwerze usługi AD CS. Edytuj go i skonfiguruj następujące ustawienia inspekcji:

    1. Przejdź do pozycji Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Konfiguracja zaawansowanych zasad inspekcji\Zasady inspekcji\Dostęp do obiektów\Inspekcja usług certyfikacji.

    2. Zaznacz pola wyboru, aby skonfigurować zdarzenia inspekcji pod kątem powodzenia i niepowodzenia.

    Zrzut ekranu przedstawiający konfigurowanie zdarzeń inspekcji dla usług certyfikatów Active Directory w Edytorze zarządzania zasady grupy.

  2. Skonfiguruj inspekcję urzędu certyfikacji przy użyciu jednej z następujących metod:

    • Aby skonfigurować inspekcję urzędu certyfikacji przy użyciu wiersza polecenia, uruchom polecenie:
     certutil –setreg CA\AuditFilter 127 
 net stop certsvc && net start certsvc

    • Aby skonfigurować inspekcję urzędu certyfikacji w portalu usługi Defender:

      1. Wybierz pozycję Uruchom>urząd certyfikacji (aplikacja klasyczna MMC). Kliknij prawym przyciskiem myszy nazwę urzędu certyfikacji i wybierz pozycję Właściwości.

        Zrzut ekranu przedstawiający okno dialogowe Urząd certyfikacji.

      2. Wybierz kartę Inspekcja , wybierz wszystkie zdarzenia do inspekcji, a następnie wybierz pozycję Zastosuj.

        Zrzut ekranu przedstawiający kartę Inspekcja właściwości urzędu certyfikacji.

Uwaga

Konfigurowanie uruchamiania i zatrzymywania inspekcji zdarzeń usług certyfikatów Active Directory może powodować opóźnienia ponownego uruchamiania, gdy masz do czynienia z dużą bazą danych usługi AD CS. Rozważ usunięcie nieistotnych wpisów z bazy danych. Możesz też powstrzymać się od włączania tego konkretnego typu zdarzenia.

Konfigurowanie inspekcji w programie Microsoft Entra Connect

Aby skonfigurować inspekcję na serwerach programu Microsoft Entra Connect:

  • Utwórz zasady grupy do zastosowania do serwerów Microsoft Entra Connect. Edytuj go i skonfiguruj następujące ustawienia inspekcji:

    1. Przejdź do pozycji Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Konfiguracja zaawansowanych zasad inspekcji\Zasady inspekcji\Logowanie/Logowanie\Inspekcja logowania.

    2. Zaznacz pola wyboru, aby skonfigurować zdarzenia inspekcji pod kątem powodzenia i niepowodzenia.

Zrzut ekranu przedstawiający edytor zarządzania zasady grupy.

Konfigurowanie inspekcji w kontenerze konfiguracji

Inspekcja kontenera konfiguracji jest wymagana tylko w środowiskach, w których obecnie lub wcześniej był używany program Microsoft Exchange, ponieważ te środowiska mają kontener programu Exchange znajdujący się w sekcji Konfiguracja domeny.

  1. Otwórz narzędzie DO EDYCJI ADSI. Wybierz pozycję Uruchom,> wprowadźADSIEdit.msc , a następnie wybierz przycisk OK.

  2. W menu Akcja wybierz pozycję Połącz z.

  3. W oknie dialogowym Ustawienia połączenia w obszarze Wybierz dobrze znany kontekst nazewnictwa wybierz pozycję Konfiguracja>OK.

  4. Rozwiń kontener Konfiguracja , aby wyświetlić węzeł Konfiguracja , który zaczyna się od "CN=Configuration,DC=...".

    Zrzut ekranu przedstawiający opcje otwierania właściwości węzła konfiguracji cn.

  5. Kliknij prawym przyciskiem myszy węzeł Konfiguracja i wybierz pozycję Właściwości.

    Zrzut ekranu przedstawiający opcje otwierania właściwości węzła Konfiguracja.

  6. Wybierz kartę Zabezpieczenia , a następnie wybierz pozycję Zaawansowane.

  7. W obszarze Zaawansowane ustawienia zabezpieczeń wybierz kartę Inspekcja , a następnie wybierz pozycję Dodaj.

  8. Wybierz pozycję Wybierz podmiot zabezpieczeń.

  9. W obszarze Wprowadź nazwę obiektu do wybrania wprowadź wartość Wszyscy. Następnie wybierz pozycję Sprawdź nazwy>OK.

  10. Następnie wrócisz do pozycji Inspekcja. Wybierz następujące opcje:

    • W polu Typ wybierz pozycję Wszystkie.
    • W polu Dotyczy wybierz pozycję Ten obiekt i wszystkie obiekty podrzędne.
    • W obszarze Uprawnienia przewiń w dół i wybierz pozycję Wyczyść wszystko. Przewiń w górę i wybierz pozycję Zapisz wszystkie właściwości.

    Zrzut ekranu przedstawiający ustawienia inspekcji dla kontenera konfiguracji.

  11. Wybierz przycisk OK.

Konfigurowanie kolekcji zdarzeń systemu Windows przy użyciu programu PowerShell

Aby uzyskać więcej informacji, zobacz dokumentację programu PowerShell usługi Defender for Identity:

Poniższe polecenia opisują sposób modyfikowania ustawień zaawansowanych zasad inspekcji kontrolera domeny zgodnie z potrzebami usługi Defender for Identity przy użyciu programu PowerShell.

Aby wyświetlić zasady inspekcji:

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Gdzie:

  • Mode Określa, czy chcesz użyć Domain lub LocalMachine tryb. W Domain trybie ustawienia są zbierane z obiektów zasady grupy. W LocalMachine trybie ustawienia są zbierane z komputera lokalnego.
  • Configuration Określa, która konfiguracja ma zostać pobrana. Użyj polecenia All , aby uzyskać wszystkie konfiguracje.

Aby skonfigurować ustawienia:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

Gdzie:

  • Mode Określa, czy chcesz użyć Domain lub LocalMachine tryb. W Domain trybie ustawienia są zbierane z obiektów zasady grupy. W LocalMachine trybie ustawienia są zbierane z komputera lokalnego.
  • Configuration określa, którą konfigurację ustawić. Użyj polecenia All , aby ustawić wszystkie konfiguracje.
  • CreateGpoDisabled Określa, czy obiekty zasad grupy są tworzone i przechowywane jako wyłączone.
  • SkipGpoLink określa, że łącza obiektu zasad grupy nie są tworzone.
  • Force Określa, że konfiguracja jest ustawiona lub obiekty zasad grupy są tworzone bez weryfikowania bieżącego stanu.

Następujące polecenie definiuje wszystkie ustawienia domeny, tworzy obiekty zasad grupy i łączy je.

Set-MDIConfiguration -Mode Domain -Configuration All

Aktualizowanie starszych konfiguracji

Usługa Defender for Identity nie wymaga już rejestrowania 1644 zdarzeń. Jeśli masz włączone jedno z następujących ustawień, możesz je usunąć z rejestru.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Zawartość pokrewna

Więcej informacji można znaleźć w następujących artykułach:

  • Last updated on