Configurar políticas de auditoria para logs de eventos do Windows

  • Artigo

A detecção do Microsoft Defender para Identidade depende de entradas específicas do log de eventos do Windows para aprimorar as detecções e fornecer informações extras sobre os usuários que executaram ações específicas, como logons NTLM e modificações em grupo de segurança.

Para que os eventos corretos sejam auditados e incluídos no log de eventos do Windows, seus controladores de domínio exigem configurações específicas de Política de Auditoria Avançada do Windows Server. Configurações de Política de Auditoria Avançada definidas incorretamente podem causar lacunas no Log de Eventos e uma cobertura incompleta do Defender para Identidade.

Este artigo descreve como definir as configurações de Política de Auditoria Avançada conforme necessário para um sensor do Defender para Identidade, além de outras configurações para tipos de eventos específicos.

Para obter mais informações, consulte O que é a coleta de eventos do Windows para o Defender para Identidade e Políticas de auditoria de segurança avançada na documentação do Windows.

Gerar um relatório com as configurações atuais via PowerShell

Pré-requisitos: antes de executar os comandos do PowerShell do Defender para Identidade, verifique se você baixou o módulo do PowerShell do Defender para Identidade.

Antes de começar a criar novas políticas de evento e auditoria, recomendamos que você execute o seguinte comando do PowerShell para gerar um relatório de suas configurações de domínio atuais:

New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]

Onde:

  • Path especifica o caminho para salvar os relatórios
  • Mode especifica se você deseja usar o modo Domain ou LocalMachine. No modo Domain, as configurações são coletadas dos objetos de Política de Grupo. No modo LocalMachine, as configurações são coletadas do computador local.
  • OpenHtmlReport abre o relatório HTML depois que o relatório é gerado

Por exemplo, para gerar um relatório e abri-lo no navegador padrão, execute o seguinte comando:

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

Para saber mais, consulte a referência do PowerShell do Defender para Identidade.

Dica

O Domain relatório de modo inclui apenas configurações definidas como políticas de grupo no domínio. Se você tiver configurações definidas localmente em seus controladores de domínio, recomendamos que você também execute o script Test-MdiReadiness.ps1.

Configurar auditoria para controladores de domínio

Ao trabalhar com um controlador de domínio, você precisa atualizar suas configurações de Política de Auditoria Avançada e configurações extras para eventos e tipos de eventos específicos, como usuários, grupos, computadores e muito mais. As configurações de auditoria para controladores de domínio incluem:

Definir as configurações de Política de Auditoria Avançada

Este procedimento descreve como modificar as Políticas de Auditoria Avançada do controlador de domínio, conforme necessário, para o Defender para Identidade.

  1. Faça logon no servidor como Administrador de Domínio.

  2. Abra o Editor de Gerenciamento de Política de Grupo em Gerenciador de Servidores>Ferramentas>Gerenciamento de Política de Grupo.

  3. Expanda as Unidades Organizacionais de Controladores de Domínio, clique com botão direito do mouse em Política de Controladores de Domínio Padrão e escolha Editar. Por exemplo:

    Screenshot of the Edit domain controller policy dialog.

    Observação

    Use a Política de Controladores de Domínio Padrão ou um GPO dedicado para definir essas políticas.

  4. Na janela aberta, vá para Configuração do Computador>Políticas>Configurações do Windows>Configurações de Segurança e, dependendo da política que você deseja habilitar, faça o seguinte:

    1. Vá para Configuração de Política de Auditoria Avançada>Políticas de Auditoria. Por exemplo:

      Screenshot of the Advanced Audit Policy Configuration dialog.

    2. Em Políticas de Auditoria, edite cada uma das políticas a seguir e selecione Configurar estes eventos de auditoria para eventos no caso de Êxito e Falha.

      Política de auditoria Subcategoria Dispara IDs de evento
      Logon da conta Auditoria da validação de credenciais 4776
      Gerenciamento de Contas Auditoria de Gerenciamento da Conta de Computador * 4741, 4743
      Gerenciamento de Contas Auditoria do Gerenciamento do Grupo de Distribuição 4753, 4763
      Gerenciamento de Contas Auditoria de Gerenciamento de Grupo de Segurança * 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Gerenciamento de Contas Auditoria do Gerenciamento de Contas de Usuário 4726
      Acesso DS Auditoria de Alterações no Serviço de Diretório 5136
      Sistema Auditoria de Extensão de Sistema de Segurança * 7045
      Acesso DS Auditoria do Acesso ao Serviço de Diretório 4662 (para este evento, você também precisa configurar a auditoria de objetos de domínio)

      Observação

      * As subcategorias observadas não oferecem suporte a eventos de falha. No entanto, recomendamos adicioná-los para fins de auditoria caso sejam implementados no futuro. Para obter mais informações, consulte Auditoria do Gerenciamento da Conta de Computador, Auditoria de Gerenciamento de Grupo de Segurança e Auditoria de Extensão de Sistema de Segurança.

      Por exemplo, para configurar o Gerenciamento de Grupo de Segurança de Auditoria, em Gerenciamento de Conta, clique duas vezes em Gerenciamento de Grupo de Segurança de Auditoria e selecione Configurar estes eventos de auditoria para eventos no caso de Êxito e Falha:

      Screenshot of the Audit Security Group Management dialog.

  5. Em um prompt de comandos com privilégios elevados, digite gpupdate.

  6. Depois de aplicar a política via GPO, os novos eventos ficam visíveis no Visualizador de Eventos, em Logs do Windows ->Segurança.

Testar políticas de auditoria da linha de comando

Para testar suas políticas de auditoria da linha de comando, execute o seguinte comando:

auditpol.exe /get /category:*

Para obter mais informações, consulte a documentação de referência de auditpol.

Configurar, obter e testar políticas de auditoria usando o PowerShell

Para configurar políticas de auditoria usando o PowerShell, execute o seguinte comando:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

Onde:

  • Mode especifica se você deseja usar o modo Domain ou LocalMachine. No modo Domain, as configurações são coletadas dos objetos de Política de Grupo. No modo LocalMachine, as configurações são coletadas do computador local.

  • Configuration especifica qual configuração definir. Use All para definir todas as configurações.

  • CreateGpoDisabled especifica se os GPOs são criados e mantidos como desabilitados.

  • SkipGpoLink especifica que os links de GPO não são criados.

  • Force especifica que a configuração está definida ou que os GPOs são criados sem validar o estado atual.

Para exibir ou testar suas políticas de auditoria usando o PowerShell, execute os comandos a seguir conforme necessário. Use o comando Get-MDIConfiguration para mostrar os valores atuais. Use o comando Test-MDIConfiguration para obter uma resposta true ou false para saber se os valores estão configurados corretamente.

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Onde:

  • Mode especifica se você deseja usar o modo Domain ou LocalMachine. No modo Domain, as configurações são coletadas dos objetos de Política de Grupo. No modo LocalMachine, as configurações são coletadas do computador local.

  • Configuration especifica qual configuração obter. Use All para obter todas as configurações.

Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Onde:

  • Mode especifica se você deseja usar o modo Domain ou LocalMachine. No modo Domain, as configurações são coletadas dos objetos de Política de Grupo. No modo LocalMachine, as configurações são coletadas do computador local.

  • Configuration especifica qual configuração testar. Use All para testar todas as configurações.

Para saber mais, consulte as seguintes referências do Defender para Identidade do PowerShell:

Configurar auditoria NTLM

Esta seção descreve as etapas extras de configuração necessárias para auditar o ID de Evento 8004.

Observação

  • As políticas de grupo de domínio para coletar o Evento 8004 do Windows devem ser aplicadas somente a controladores de domínio.
  • Quando o Evento 8004 do Windows é analisado pelo sensor do Defender para Identidade, as atividades de autenticações NTLM do Defender para Identidade são enriquecidas com os dados acessados pelo servidor.

  1. Seguindo as etapas iniciais, abra o Gerenciamento de Política de Grupo e vá para Política de Controladores de Domínio Padrão>Políticas Locais>Opções de Segurança.

  2. Em Opções de Segurança, configure as políticas de segurança especificadas da seguinte maneira:

    Configuração de política de segurança Valor
    Segurança de rede: Restringir NTLM: Tráfego NTLM de saída para servidores remotos Auditar tudo
    Segurança de rede: Restringir NTLM: Auditar autenticação NTLM neste domínio Habilitar tudo
    Segurança de rede: Restringir NTLM: Auditar o tráfego NTLM de entrada Habilitar auditoria para todas as contas

Por exemplo, para configurar o Tráfego NTLM de saída para servidores remotos, em Opções de Segurança, clique duas vezes em Segurança de rede: Restringir NTLM: Tráfego NTLM de saída para servidores remotos e selecione Auditar tudo:

Screenshot of the Audit Outgoing NTLM traffic to remote servers configuration.

Configurar auditoria de objetos de domínio

Para coletar eventos de alterações de objeto, como o evento 4662, você também deve configurar a auditoria de objeto no usuário, grupo, computador e outros objetos. Este procedimento descreve como habilitar a auditoria no domínio do Active Directory.

Importante

Certifique-se de revisar e verificar suas políticas de auditoria antes de habilitar a coleta de eventos para garantir que os controladores de domínio estejam configurados corretamente de modo a registrar os eventos necessários. Se estiverem configurados corretamente, essa auditoria terá um impacto mínimo no desempenho do servidor.

  1. Vá para o console Usuários e Computadores do Active Directory.

  2. Escolha o domínio a auditar.

  3. Selecione o menu Exibir e selecione Recursos Avançados.

  4. Clique com o botão direito do mouse no domínio e selecione Propriedades. Por exemplo:

    Screenshot of the container properties option.

  5. Vá para a guia Segurança e selecione Avançado. Por exemplo:

    Screenshot of the advanced security properties dialog.

  6. Em Configurações de Segurança Avançadas, escolha a guia Auditoria e, em seguida, escolha Adicionar. Por exemplo:

    Screenshot of the Advanced Security Settings Auditing tab.

  7. Selecione Selecionar uma entidade de segurança. Por exemplo:

    Screenshot of the Select a principal option.

  8. Em Inserir o nome do objeto para selecionar, insira Todos e selecione Verificar Nomes>OK. Por exemplo:

    Screenshot of the Select everyone settings.

  9. Em seguida, você retorna à Entrada de Auditoria. Faça as seguintes seleções:

    1. Em Tipo, selecione Êxito.

    2. Em Aplica-se a, escolha Objetos de Usuários Descendentes.

    3. Em Permissões, role para baixo e selecione o botão Limpar tudo. Por exemplo:

      Screenshot of selecting Clear all.

    4. Role de volta para cima e selecione Controle Total. Todas as permissões são selecionadas.

    5. Desmarque a seleção das permissões Listar conteúdo, Ler todas as propriedades e Permissões de leitura e selecione OK. Isso define todas as configurações de Propriedades como Gravação. Por exemplo:

      Screenshot of selecting permissions.

      Agora, quando disparadas, todas as alterações relevantes nos serviços de diretório aparecem como eventos 4662.

  10. Repita as etapas neste procedimento, mas para Aplica-se a, selecione os seguintes tipos de objeto:

    • Objetos de Grupos Descendentes
    • Objetos de Computadores Descendentes
    • Objetos msDS-GroupManagedServiceAccount descendentes
    • Objetos msDS-ManagedServiceAccount descendentes

Observação

A atribuição das permissões de auditoria em Todos os objetos descendentes também funcionaria, mas exigimos apenas os tipos de objeto, conforme detalhado na última etapa.

Configurar auditoria nos Serviços de Federação do Active Directory (AD FS)

  1. Acesse o console de Usuários e Computadores do Active Directory e escolha o domínio para habilitar os logons.

  2. Vá para Dados do Programa>Microsoft>ADFS. Por exemplo:

    Screenshot of an ADFS container.

  3. Clique com o botão direito do mouse em ADFS e selecione Propriedades.

  4. Vá para a guia Segurança e selecione Avançado>Configurações de Segurança Avançadas> a guia Auditoria>Adicionar>Selecionar uma entidade de segurança.

  5. Em Inserir o nome do objeto para selecionar, insira Todos.

  6. Selecione Verificar Nomes>OK.

  7. Em seguida, você retorna à Entrada de Auditoria. Faça as seguintes seleções:

    • Em Tipo, selecione Todos.
    • Em Aplica-se a, selecione Este objeto e todos os objetos descendentes.
    • Em Permissões, role para baixo e selecione Limpar tudo. Role para cima e selecione Ler todas as propriedades e Gravar todas as propriedades.

    Por exemplo:

    Screenshot of the auditing settings for ADFS.

  8. Selecione OK.

Configurar auditoria para os Serviços de Certificados do Active Directory (AD CS)

Se você estiver trabalhando com um servidor dedicado com os Serviços de Certificados do Active Directory (AD CS) configurados, configure a auditoria da seguinte forma para exibir alertas dedicados e relatórios de pontuação segura:

  1. Crie uma política de grupo para aplicar ao servidor do AD CS. Edite-a e defina as seguintes configurações de auditoria:

    1. Vá para Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração de Política de Auditoria Avançada\Políticas de Auditoria\Acesso a Objetos\Auditoria de Serviços de Certificados e escolha as duas opções.

    2. Selecione para configurar eventos de auditoria no caso de Êxito e Falha. Por exemplo:

      Screenshot of the Group Policy Management Editor.

  2. Configure a auditoria na AC (autoridade de certificação) usando um dos seguintes métodos:

    • Para configurar a auditoria da AC usando a linha de comando, execute:

      certutil –setreg CA\AuditFilter 127 

net stop certsvc && net start certsvc

    • Para configurar a auditoria da AC usando a GUI:

      1. Selecione Iniciar -> Autoridade de Certificação (aplicativo da área de trabalho MMC Desktop). Clique com o botão direito do mouse no nome da Autoridade de Certificação e escolha Propriedades. Por exemplo:

        Screenshot of the Certification Authority dialog.

      2. Escolha a guia Auditoria, depois todos os eventos a auditar, e escolha Aplicar. Por exemplo:

        Screenshot of the Properties Auditing tab.

Observação

Configurar a auditoria de eventos Iniciar e Parar os Serviços de Certificados do Active Directory pode causar atrasos de reinicialização ao lidar com um grande banco de dados do AD CS. Considere remover entradas irrelevantes do banco de dados ou, como alternativa, abster-se de habilitar esse tipo específico de evento.

Configurar auditoria no contêiner de configuração

  1. Abra o Editor ADSI selecionando Iniciar>Executar. Insira ADSIEdit.msc e selecione OK.

  2. No menu Ação, escolha Conectar a.

  3. Na caixa de diálogo Configurações de Conexão, em Selecionar um Contexto de Nomenclatura conhecido, selecione Configuração>OK.

  4. Expanda o contêiner Configuração para mostrar o nó Configuração, que começa com "CN=Configuration,DC=..."

  5. Clique com o botão direito do mouse no nó Configuração e escolha Propriedades. Por exemplo:

    Screenshot of the Configuration node properties.

  6. Selecione a guia Segurança tab >Avançado.

  7. Em Configurações de Segurança Avançadas, escolha a guia Auditoria>Adicionar.

  8. Selecione Selecionar uma entidade de segurança.

  9. Em Inserir o nome do objeto para selecionar, insira Todos e selecione Verificar Nomes>OK.

  10. Em seguida, você retorna à Entrada de Auditoria. Faça as seguintes seleções:

    • Em Tipo, selecione Todos.
    • Em Aplica-se a, selecione Este objeto e todos os objetos descendentes.
    • Em Permissões, role para baixo e selecione Limpar tudo. Role para cima e selecione Gravar todas as propriedades.

    Por exemplo:

    Screenshot of the auditing settings for the Configuration container.

  11. Selecione OK.

Configurações herdadas

Importante

O Defender para Identidade não requer mais o registro em log de 1644 eventos. Se você tiver essa configuração do Registro habilitada, poderá removê-la.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Conteúdo relacionado

Para obter mais informações, confira Auditoria de segurança do Windows.

Próxima etapa

O que são funções e permissões do Defender para Identidade? »