Поделиться через

Настройка политик аудита для журналов событий Windows

  • Статья

Чтобы улучшить обнаружение и собрать дополнительные сведения о действиях пользователей, таких как входы в систему NTLM и изменения группы безопасности, Microsoft Defender для удостоверений зависит от определенных записей в журналах событий Windows. Правильная настройка параметров расширенной политики аудита на контроллерах домена имеет решающее значение, чтобы избежать пробелов в журналах событий и неполном охвате Defender для удостоверений.

В этой статье описывается настройка параметров расширенной политики аудита при необходимости для датчика Defender для удостоверений. Он также описывает другие конфигурации для определенных типов событий.

Defender for Identity создает проблемы со работоспособностью для каждого из этих сценариев, если они обнаружены. Дополнительные сведения см. в разделе Microsoft Defender для удостоверений проблемы со работоспособностью.

Необходимые компоненты

  • Перед выполнением команд Defender для удостоверений PowerShell убедитесь, что вы скачали модуль Defender для удостоверений PowerShell.

Создание отчета о текущих конфигурациях с помощью PowerShell

Прежде чем приступить к созданию новых политик событий и аудита, рекомендуется выполнить следующую команду PowerShell, чтобы создать отчет о текущих конфигурациях домена:

New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]

В предыдущей команде используются следующие параметры:

  • Path указывает путь для сохранения отчетов.
  • Mode указывает, следует ли использовать Domain или LocalMachine режим. В Domain режиме параметры собираются из объектов групповой политики (ГОП). В LocalMachine режиме параметры собираются с локального компьютера.
  • OpenHtmlReport открывает HTML-отчет после создания отчета.

Например, чтобы создать отчет и открыть его в браузере по умолчанию, выполните следующую команду:

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

Дополнительные сведения см. в справочнике по DefenderforIdentity PowerShell.

Совет

Отчет в режиме Domain включает только конфигурации, заданные как групповые политики в домене. Если у вас есть параметры, определенные локально на контроллерах домена, рекомендуется также запустить скрипт Test-MdiReadiness.ps1 .

Настройка аудита для контроллеров домена

Обновите параметры расширенной политики аудита и дополнительные конфигурации для определенных событий и типов событий, таких как пользователи, группы, компьютеры и многое другое. Ниже указаны конфигурации аудита для контроллеров домена:

Дополнительные сведения см. в разделе "Расширенный аудит безопасности". Часто задаваемые вопросы.

Используйте следующие процедуры, чтобы настроить аудит на контроллерах домена, которые вы используете с Defender для удостоверений.

Настройка параметров расширенной политики аудита из пользовательского интерфейса

В этой процедуре описывается изменение параметров расширенной политики аудита контроллера домена при необходимости для Defender для удостоверений через пользовательский интерфейс.

Связанная проблема со работоспособностью: расширенный аудит служб каталогов не включен по мере необходимости

Чтобы настроить параметры расширенной политики аудита, выполните следующие действия.

  1. Войдите на сервер от имени администратора домена.

  2. Откройте редактор управления групповыми политиками из диспетчер сервера> Tools>Group Policy Management.

  3. Разверните подразделения контроллеров домена, щелкните правой кнопкой мыши политику контроллеров домена по умолчанию и выберите пункт "Изменить".

    Снимок экрана: панель редактирования политики по умолчанию для контроллеров домена.

    Примечание.

    Используйте политику контроллеров домена по умолчанию или выделенный объект групповой политики, чтобы задать эти политики.

  4. В открывавшемся окне перейдите к параметрам>безопасности параметров windows параметров конфигурации>>компьютера. В зависимости от политики, которую вы хотите включить, сделайте следующее:

    1. Перейдите к политикам аудита конфигурации расширенной>политики аудита.

      Снимок экрана: выбор для открытия политик аудита.

    2. В разделе "Политики аудита" измените каждую из следующих политик и выберите "Настроить следующие события аудита" для событий успешного и сбоя.

      Политика аудита Подкатегории Идентификаторы событий триггеров
      Вход в учетную запись Аудит проверки учетных данных 4776
      управление учетными записями; Аудит управления учетными записями компьютера* 4741, 4743
      управление учетными записями; Аудит управления группами рассылки* 4753, 4763
      управление учетными записями; Аудит управления группами безопасности* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      управление учетными записями; Аудит управления учетными записями пользователей 4726
      DS Access Изменения службы каталогов аудита* 5136
      Системные Расширение системы безопасности аудита* 7045
      DS Access Аудит доступа к службе каталогов 4662 — для этого события необходимо также настроить аудит объектов домена.

      Примечание.

      * Отмеченные подкатегории не поддерживают события сбоя. Однако мы рекомендуем добавить их в целях аудита в случае их реализации в будущем. Дополнительные сведения см. в разделе "Управление учетными записями компьютера", "Аудит управления группами безопасности" и "Расширение системы безопасности аудита".

      Например, чтобы настроить управление группами безопасности аудита, в разделе "Управление учетными записями" дважды щелкните "Аудит управления группами безопасности", а затем выберите "Настроить следующие события аудита" для событий успешности и сбоя.

      Снимок экрана: диалоговое окно

  5. В командной строке с повышенными привилегиями введите gpupdate.

  6. После применения политики с помощью групповой политики убедитесь, что новые события отображаются в Просмотр событий в разделе "Безопасность журналов>Windows".

Чтобы проверить политики аудита из командной строки, выполните следующую команду:

auditpol.exe /get /category:*

Дополнительные сведения см. в справочной документации auditpol.

Настройка параметров расширенной политики аудита с помощью PowerShell

Следующие действия описывают изменение параметров расширенной политики аудита контроллера домена при необходимости для Defender для удостоверений с помощью PowerShell.

Связанная проблема со работоспособностью: расширенный аудит служб каталогов не включен по мере необходимости

Чтобы настроить параметры, выполните следующую команду:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

В предыдущей команде используются следующие параметры:

  • Mode указывает, следует ли использовать Domain или LocalMachine режим. В Domain режиме параметры собираются из объектов групповой политики. В LocalMachine режиме параметры собираются с локального компьютера.
  • Configuration указывает, какую конфигурацию следует задать. Используется All для задания всех конфигураций.
  • CreateGpoDisabled указывает, создаются ли объекты групповой политики и хранятся как отключенные.
  • SkipGpoLink указывает, что ссылки групповой политики не создаются.
  • Force указывает, что конфигурация настроена или объекты групповой политики создаются без проверки текущего состояния.

Чтобы просмотреть политики аудита, используйте Get-MDIConfiguration команду для отображения текущих значений:

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

В предыдущей команде используются следующие параметры:

  • Mode указывает, следует ли использовать Domain или LocalMachine режим. В Domain режиме параметры собираются из объектов групповой политики. В LocalMachine режиме параметры собираются с локального компьютера.
  • Configuration указывает, какая конфигурация требуется получить. Используется All для получения всех конфигураций.

Чтобы проверить политики аудита, используйте Test-MDIConfiguration команду для получения true или false ответа о том, правильно ли настроены значения:

Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

В предыдущей команде используются следующие параметры:

  • Mode указывает, следует ли использовать Domain или LocalMachine режим. В Domain режиме параметры собираются из объектов групповой политики. В LocalMachine режиме параметры собираются с локального компьютера.
  • Configuration указывает, какая конфигурация требуется протестировать. Используется All для тестирования всех конфигураций.

Дополнительные сведения см. в следующих ссылках на DefenderForIdentity PowerShell:

Настройка аудита NTLM

В этом разделе описаны дополнительные действия по настройке, необходимые для аудита события Windows 8004.

Примечание.

  • Политики группы домена для сбора события Windows 8004 должны применяться только к контроллерам домена.
  • Когда датчик Defender для удостоверений анализирует событие Windows 8004, действия проверки подлинности Defender для удостоверений NTLM обогащены данными, к которым обращается сервер.

Связанная проблема со работоспособностью: аудит NTLM не включен

Чтобы настроить аудит NTLM, выполните приведенные выше действия.

  1. После настройки начальных параметров политики расширенного аудита (с помощью пользовательского интерфейса или PowerShell) откройте групповую политику управления. Затем перейдите к параметрам безопасности локальных политик>политики контроллеров>домена по умолчанию.

  2. Настройте указанные политики безопасности следующим образом:

    Параметр политики безопасности Значение
    Безопасность сети: ограничение NTLM: исходящий трафик NTLM на удаленные серверы Аудит всех
    Безопасность сети: ограничение NTLM: аудит проверки подлинности NTLM в этом домене Включить все
    Безопасность сети: ограничение NTLM: аудит входящего трафика NTLM Включение аудита для всех учетных записей

Например, чтобы настроить исходящий трафик NTLM на удаленные серверы, в разделе "Параметры безопасности" дважды щелкните " Безопасность сети": ограничить ntLM: исходящий трафик NTLM на удаленные серверы, а затем выберите "Аудит всех".

Снимок экрана: конфигурация аудита для исходящего трафика NTLM на удаленные серверы.

Настройка аудита объектов домена

Для сбора событий для изменений объектов, таких как событие 4662, необходимо также настроить аудит объектов для пользователя, группы, компьютера и других объектов. В следующей процедуре описывается включение аудита в домене Active Directory.

Внимание

Просмотрите и проверьте политики (с помощью пользовательского интерфейса или PowerShell) перед включением сбора событий, чтобы убедиться, что контроллеры домена правильно настроены для записи необходимых событий. Если этот аудит настроен правильно, он должен иметь минимальное влияние на производительность сервера.

Связанная проблема со работоспособностью: аудит объектов служб каталогов не включен по мере необходимости

Чтобы настроить аудит объектов домена, выполните приведенные действия.

  1. Перейдите в консоль Пользователи и компьютеры Active Directory.

  2. Выберите домен, который требуется выполнить аудит.

  3. Выберите меню "Вид" и выберите пункт "Дополнительные функции".

  4. Щелкните правой кнопкой мыши домен и выберите "Свойства".

    Снимок экрана: выбор для открытия свойств контейнера.

  5. Перейдите на вкладку "Безопасность " и нажмите кнопку "Дополнительно".

    Снимок экрана: диалоговое окно для открытия расширенных свойств безопасности.

  6. В разделе "Дополнительные параметры безопасности" выберите вкладку "Аудит " и нажмите кнопку "Добавить".

    Снимок экрана: вкладка

  7. Выберите субъект.

    Снимок экрана: кнопка выбора субъекта.

  8. В разделе "Введите имя объекта", чтобы выбрать, введите "Все". Затем нажмите кнопку "Проверить имена>" ОК.

    Снимок экрана: ввод имени объекта

  9. Затем вы вернеесь к записи аудита. Выберите указанные ниже параметры.

    1. Для типа выберите "Успех".

    2. Для параметра "Область применения" выберите объекты "Потомок пользователя".

    3. В разделе "Разрешения" прокрутите вниз и нажмите кнопку "Очистить все ".

      Снимок экрана: кнопка очистки всех разрешений.

    4. Прокрутите резервную копию и выберите полный доступ. Выбраны все разрешения.

    5. Снимите флажок для содержимого списка, чтение всех свойств и разрешения на чтение, а затем нажмите кнопку "ОК". На этом шаге задаются все параметры свойств для записи.

      Снимок экрана: выбор разрешений.

      Теперь все соответствующие изменения в службах каталогов отображаются как 4662 события при их активации.

  10. Повторите действия, описанные в этой процедуре, но для применения выберите следующие типы объектов:

    • Объекты группы потомков
    • Объекты потомков компьютеров
    • Объекты Потомка msDS-GroupManagedServiceAccount
    • Объекты Descendant msDS-ManagedServiceAccount

Примечание.

Назначение разрешений аудита для всех потомков также будет работать, но вам нужны только типы объектов, описанные на последнем шаге.

Настройка аудита в AD FS

Связанная проблема со работоспособностью. Аудит контейнера AD FS не включен по мере необходимости

Чтобы настроить аудит на службы федерации Active Directory (AD FS) (AD FS):

  1. Перейдите в консоль Пользователи и компьютеры Active Directory и выберите домен, в котором нужно включить журналы.

  2. Перейдите к программным данным>Microsoft>ADFS.

    Снимок экрана: контейнер для службы федерации Active Directory (AD FS).

  3. Щелкните ADFS правой кнопкой мыши и выберите "Свойства".

  4. Перейдите на вкладку "Безопасность" и выберите "Дополнительные>параметры безопасности". Затем перейдите на вкладку "Аудит" и выберите "Добавить>субъект".

  5. В разделе "Введите имя объекта", чтобы выбрать, введите "Все". Затем нажмите кнопку "Проверить имена>" ОК.

  6. Затем вы вернеесь к записи аудита. Выберите указанные ниже параметры.

    • Для параметра Type (Тип) выберите значение All (Все).
    • Для параметра "Область применения" выберите этот объект и все объекты-потомки.
    • В разделе "Разрешения" прокрутите вниз и нажмите кнопку "Очистить все". Прокрутите страницу вверх и выберите "Чтение всех свойств " и "Запись всех свойств".

    Снимок экрана: параметры аудита для службы федерации Active Directory (AD FS).

  7. Нажмите ОК.

Настройка подробного ведения журнала для событий AD FS

Датчики, работающие на серверах AD FS, должны иметь уровень аудита для подробных событий. Например, используйте следующую команду, чтобы настроить уровень аудита на подробный.

Set-AdfsProperties -AuditLevel Verbose

Настройка аудита в AD CS

Если вы работаете с выделенным сервером с настроенными службами сертификатов Active Directory (AD CS), настройте аудит следующим образом, чтобы просмотреть выделенные оповещения и отчеты о оценке безопасности:

  1. Создайте групповую политику для применения к серверу AD CS. Измените его и настройте следующие параметры аудита:

    1. Перейдите в раздел "Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Расширенная конфигурация политики аудита\Политики аудита\Политики аудита\Доступ к объектам\Аудит служб сертификации".

    2. Установите флажки, чтобы настроить события аудита для успешного выполнения и сбоя.

      Снимок экрана: настройка событий аудита для служб сертификатов Active Directory в редакторе управления групповыми политиками.

  2. Настройте аудит центра сертификации (ЦС) с помощью одного из следующих методов:

    • Чтобы настроить аудит ЦС с помощью командной строки, выполните следующую команду:

      certutil –setreg CA\AuditFilter 127 


net stop certsvc && net start certsvc

    • Чтобы настроить аудит ЦС с помощью графического интерфейса, выполните следующие действия.

      1. Выберите "Пуск>центра сертификации" (классическое приложение MMC). Щелкните правой кнопкой мыши имя ЦС и выберите пункт "Свойства".

        Снимок экрана: диалоговое окно центра сертификации.

      2. Перейдите на вкладку "Аудит ", выберите все события, которые требуется выполнить аудит, и нажмите кнопку "Применить".

        Снимок экрана: вкладка

Примечание.

Настройка аудита событий "Запуск и остановка служб сертификатов Active Directory" может привести к задержкам перезапуска при работе с большой базой данных AD CS. Рассмотрите возможность удаления неуместных записей из базы данных. Кроме того, воздерживайтесь от включения этого конкретного типа события.

Настройка аудита в Microsoft Entra Connect

Чтобы настроить аудит на серверах Microsoft Entra Connect, выполните следующие действия.

  • Создайте групповую политику для применения к серверам Microsoft Entra Connect. Измените его и настройте следующие параметры аудита:

    1. Перейдите в раздел "Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Конфигурация расширенного аудита\Политики аудита\Политики аудита\Вход в систему\Журнал\Вход в систему".

    2. Установите флажки, чтобы настроить события аудита для успешного выполнения и сбоя.

Снимок экрана

Настройка аудита в контейнере конфигурации

Примечание.

Аудит контейнера конфигурации повторно используется только для сред, которые в настоящее время имеют или ранее имели Microsoft Exchange, так как в этих средах есть контейнер Exchange, расположенный в разделе конфигурации домена.

Связанная проблема со работоспособностью. Аудит контейнера конфигурации не включен по мере необходимости

  1. Откройте средство редактирования ADSI. Нажмите кнопку "Запустить>", введите ADSIEdit.mscи нажмите кнопку "ОК".

  2. В меню "Действие" выберите "Подключиться".

  3. В диалоговом окне "Параметры подключения" в разделе "Выбор известного контекста именования" нажмите кнопку "Конфигурация>ОК".

  4. Разверните контейнер конфигурации, чтобы отобразить узел конфигурации, который начинается с "CN=Configuration,DC=...".

  5. Щелкните правой кнопкой мыши узел конфигурации и выберите "Свойства".

    Снимок экрана: выбор для открытия свойств узла конфигурации.

  6. Перейдите на вкладку "Безопасность " и нажмите кнопку "Дополнительно".

  7. В разделе "Дополнительные параметры безопасности" выберите вкладку "Аудит " и нажмите кнопку "Добавить".

  8. Выберите субъект.

  9. В разделе "Введите имя объекта", чтобы выбрать, введите "Все". Затем нажмите кнопку "Проверить имена>" ОК.

  10. Затем вы вернеесь к записи аудита. Выберите указанные ниже параметры.

    • Для параметра Type (Тип) выберите значение All (Все).
    • Для параметра "Область применения" выберите этот объект и все объекты-потомки.
    • В разделе "Разрешения" прокрутите вниз и нажмите кнопку "Очистить все". Прокрутите страницу вверх и выберите " Записать все свойства".

    Снимок экрана: параметры аудита для контейнера конфигурации.

  11. Нажмите ОК.

Обновление устаревших конфигураций

Defender для удостоверений больше не требует ведения журнала 1644 событий. Если этот параметр реестра включен, его можно удалить.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Связанный контент

Дополнительные сведения см. в разделе:

Следующий шаг

Что такое роли и разрешения Defender для удостоверений?