Настройка политик аудита для журналов событий Windows
Чтобы улучшить обнаружение и собрать дополнительные сведения о действиях пользователей, таких как входы в систему NTLM и изменения группы безопасности, Microsoft Defender для удостоверений зависит от определенных записей журнала событий Windows. Правильная настройка параметров расширенной политики аудита на контроллерах домена имеет решающее значение, чтобы избежать пробелов в журнале событий и неполном защитнике для удостоверений.
В этой статье описывается настройка параметров расширенной политики аудита при необходимости для датчика Defender для удостоверений и других конфигураций для определенных типов событий.
Defender for Identity создает проблемы со работоспособностью для каждого из этих сценариев, если они обнаружены. Дополнительные сведения см. в разделе Microsoft Defender для удостоверений проблемы со работоспособностью.
Необходимые компоненты
- Перед выполнением команд Defender для удостоверений PowerShell убедитесь, что вы скачали модуль Defender для удостоверений PowerShell.
Создание отчета с текущими конфигурациями с помощью PowerShell
Прежде чем приступить к созданию новых политик событий и аудита, рекомендуется выполнить следующую команду PowerShell, чтобы создать отчет о текущих конфигурациях домена:
New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]
Где:
- Путь указывает путь для сохранения отчетов в
- Режим указывает, следует ли использовать режим Domain или LocalMachine . В режиме домена параметры собираются из объектов групповой политики. В режиме LocalMachine параметры собираются с локального компьютера.
- OpenHtmlReport открывает HTML-отчет после создания отчета
Например, чтобы создать отчет и открыть его в браузере по умолчанию, выполните следующую команду:
New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport
Дополнительные сведения см. в справочнике по DefenderforIdentity PowerShell.
Совет
Отчет в режиме Domain
включает только конфигурации, заданные как групповые политики в домене. Если у вас есть параметры, определенные локально на контроллерах домена, рекомендуется также запустить скрипт Test-MdiReadiness.ps1 .
Настройка аудита для контроллеров домена
Обновите параметры расширенной политики аудита и дополнительные конфигурации для определенных событий и типов событий, таких как пользователи, группы, компьютеры и многое другое. Ниже указаны конфигурации аудита для контроллеров домена:
- Дополнительные параметры политики аудита
- Аудит NTLM
- Аудит объектов домена
Используйте следующие процедуры, чтобы настроить аудит на контроллерах домена, которые вы используете с Defender для удостоверений:
Настройка параметров расширенной политики аудита из пользовательского интерфейса
В этой процедуре описывается изменение расширенных политик аудита контроллера домена по мере необходимости для Defender для удостоверений через пользовательский интерфейс.
Связанная проблема со работоспособностью: расширенный аудит служб каталогов не включен по мере необходимости
Чтобы настроить параметры расширенной политики аудита, выполните следующие действия.
Войдите на сервер от имени администратора домена.
Откройте редактор управления групповыми политиками из диспетчер сервера> Tools>Group Policy Management.
Разверните организационные подразделения контроллеров домена, щелкните правой кнопкой мыши политику контроллеров домена по умолчанию и выберите пункт "Изменить". Например:
Примечание.
Используйте политику контроллеров домена по умолчанию или выделенный объект групповой политики, чтобы задать эти политики.
В открывающемся окне перейдите к параметрам безопасности параметров> Windows политик конфигурации>>компьютера и в зависимости от политики, которую вы хотите включить, выполните следующие действия.
Перейдите к политикам аудита конфигурации расширенной>политики аудита. Например:
В разделе "Политики аудита" измените каждую из следующих политик и выберите "Настроить следующие события аудита" для событий успешного и сбоя.
Политика аудита Подкатегории Идентификаторы событий триггеров Вход в учетную запись Аудит проверки учетных данных 4776 управление учетными записями; Аудит управления учетными записями компьютера * 4741, 4743 управление учетными записями; Аудит управления группами распространения 4753, 4763 управление учетными записями; Аудит управления группами безопасности * 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758 управление учетными записями; Аудит управления учетными записями пользователей 4726 DS Access Аудит изменения службы каталогов 5136 Системные Расширение системы безопасности аудита * 7045 DS Access Аудит доступа к службе каталогов 4662 — для этого события необходимо также настроить аудит объектов домена. Примечание.
* Отмеченные подкатегории не поддерживают события сбоя. Однако мы рекомендуем добавить их в целях аудита в случае их реализации в будущем. Дополнительные сведения см. в разделе "Управление учетными записями компьютера", "Аудит управления группами безопасности" и "Расширение системы безопасности аудита".
Например, чтобы настроить управление группами безопасности аудита, в разделе "Управление учетными записями" дважды щелкните "Аудит управления группами безопасности", а затем выберите "Настроить следующие события аудита" для событий успешности и сбоя:
В командной строке с повышенными привилегиями введите
gpupdate
.После применения политики с помощью групповой политики новые события отображаются в Просмотр событий в разделе журналов Windows ->Security.
Чтобы проверить политики аудита из командной строки, выполните следующую команду:
auditpol.exe /get /category:*
Дополнительные сведения см . в справочной документации auditpol.
Настройка параметров расширенной политики аудита с помощью PowerShell
В этой процедуре описывается, как изменить расширенные политики аудита контроллера домена при необходимости для Defender для удостоверений с помощью PowerShell.
Связанная проблема со работоспособностью: расширенный аудит служб каталогов не включен по мере необходимости
Чтобы настроить параметры, выполните следующую команду:
Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]
Где:
Режим указывает, следует ли использовать режим Domain или LocalMachine . В режиме домена параметры собираются из объектов групповой политики. В режиме LocalMachine параметры собираются с локального компьютера.
Конфигурация указывает, какую конфигурацию следует задать. Используется
All
для задания всех конфигураций.CreateGpoDisabled указывает, создаются ли объекты групповой политики и хранятся как отключенные.
SkipGpoLink указывает, что ссылки групповой политики не создаются.
Force указывает, что конфигурация настроена или объекты групповой политики создаются без проверки текущего состояния.
Чтобы просмотреть политики аудита, используйте команду Get-MDIConfiguration для отображения текущих значений:
Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>
Где:
Режим указывает, следует ли использовать режим Domain или LocalMachine . В режиме домена параметры собираются из объектов групповой политики. В режиме LocalMachine параметры собираются с локального компьютера.
Конфигурация указывает, какая конфигурация требуется получить. Используется
All
для получения всех конфигураций.
Чтобы проверить полицию аудита, используйте команду Test-MDIConfiguration , чтобы получить true
или false
ответ на вопрос о том, правильно ли настроены значения:
Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>
Где:
Режим указывает, следует ли использовать режим Domain или LocalMachine . В режиме домена параметры собираются из объектов групповой политики. В режиме LocalMachine параметры собираются с локального компьютера.
Конфигурация указывает, какая конфигурация требуется протестировать. Используется
All
для тестирования всех конфигураций.
Дополнительные сведения см. в следующих ссылках на DefenderForIdentity PowerShell:
Настройка аудита NTLM
В этом разделе описаны дополнительные действия по настройке, необходимые для аудита идентификатора события 8004.
Примечание.
- Политики группы домена для сбора событий Windows 8004 должны применяться только к контроллерам домена.
- Когда событие Windows 8004 анализируется датчиком удостоверений Defender для удостоверений, действия проверки подлинности Defender для удостоверений NTLM обогащены доступом к серверу.
Связанная проблема со работоспособностью:: аудит NTLM не включен
Чтобы настроить аудит NTLM, выполните приведенные выше действия.
После настройки начальных параметров политики расширенного аудита (UI / PowerShell) откройте групповую политику и перейдите к параметрам безопасности локальных политик>политики>контроллеров домена по умолчанию.
В разделе "Параметры безопасности" настройте указанные политики безопасности следующим образом:
Параметр политики безопасности Значение Безопасность сети: ограничение NTLM: исходящий трафик NTLM на удаленные серверы Аудит всех Безопасность сети: ограничение NTLM: аудит проверки подлинности NTLM в этом домене Включить все Безопасность сети: ограничение NTLM: аудит входящего трафика NTLM Включение аудита для всех учетных записей
Например, чтобы настроить исходящий трафик NTLM на удаленные серверы, в разделе "Параметры безопасности" дважды щелкните " Сетевая безопасность": ограничить NTLM: Исходящий трафик NTLM на удаленные серверы, а затем выберите "Аудит всех".
Настройка аудита объектов домена
Чтобы собирать события для изменений объектов, таких как событие 4662, необходимо также настроить аудит объектов для пользователя, группы, компьютера и других объектов. В этой процедуре описывается, как включить аудит в домене Active Directory.
Внимание
Перед включением коллекции событий убедитесь, что контроллеры домена правильно настроены для записи необходимых событий и аудита политик (UI / PowerShell). При правильной настройке этот аудит должен иметь минимальное влияние на производительность сервера.
Связанная проблема со работоспособностью: аудит объектов служб каталогов не включен по мере необходимости
Чтобы настроить аудит объектов домена, выполните приведенные действия.
Перейдите в консоль Пользователи и компьютеры Active Directory.
Выберите домен, который требуется выполнить аудит.
Выберите меню "Вид" и выберите пункт "Дополнительные функции".
Щелкните правой кнопкой мыши домен и выберите "Свойства". Например:
Перейдите на вкладку "Безопасность " и выберите " Дополнительно". Например:
В разделе "Дополнительные параметры безопасности" выберите вкладку "Аудит " и нажмите кнопку "Добавить". Например:
Выберите субъект. Например:
В разделе "Введите имя объекта", чтобы выбрать, введите **Все и нажмите кнопку "Проверить имена".> Например:
Затем вы вернеесь к записи аудита. Выберите указанные ниже параметры.
Для параметра "Тип " выберите "Успех".
Для параметра "Область применения" выберите объекты "Пользователь-потомок".
В разделе "Разрешения" прокрутите вниз и нажмите кнопку "Очистить все ". Например:
Прокрутите резервную копию и выберите полный доступ. Выбраны все разрешения.
Снимите флажок для содержимого списка, чтение всех свойств и разрешений на чтение и нажмите кнопку "ОК". Это задает все параметры свойств для записи. Например:
Теперь при активации все соответствующие изменения в службах каталогов отображаются как
4662
события.
Повторите действия, описанные в этой процедуре, но для применения выберите следующие типы объектов:
- Объекты группы потомков
- Объекты потомков компьютеров
- Объекты Потомка msDS-GroupManagedServiceAccount
- Объекты Descendant msDS-ManagedServiceAccount
Примечание.
Назначение разрешений аудита для всех потомков также будет работать, но нам требуются только типы объектов, как описано на последнем шаге.
Настройка аудита в службы федерации Active Directory (AD FS) (AD FS)
Связанная проблема со работоспособностью. Аудит контейнера ADFS не включен по мере необходимости
Чтобы настроить аудит на службы федерации Active Directory (AD FS) (AD FS):
Перейдите в консоль Пользователи и компьютеры Active Directory и выберите домен, в который нужно включить вход.
Перейдите к программным данным>Microsoft>ADFS. Например:
Щелкните ADFS правой кнопкой мыши и выберите "Свойства".
Перейдите на вкладку "Безопасность" и перейдите на вкладку "Дополнительные>параметры>безопасности", чтобы >добавить>участника.
В разделе "Введите имя объекта", чтобы выбрать, введите "Все".
Нажмите Проверить имена>ОК.
Затем вы вернеесь к записи аудита. Выберите указанные ниже параметры.
- Для параметра "Тип " выберите "Все".
- Чтобы выбрать этот объект и все объекты-потомки, применяется.
- В разделе "Разрешения" прокрутите вниз и нажмите кнопку "Очистить все". Прокрутите страницу вверх и выберите "Чтение всех свойств " и "Запись всех свойств".
Например:
Нажмите ОК.
Настройка аудита для служб сертификатов Active Directory (AD CS)
Если вы работаете с выделенным сервером с настроенными службами сертификатов Active Directory (AD CS), обязательно настройте аудит, как показано ниже, чтобы просмотреть выделенные оповещения и отчеты о оценке безопасности.
Создайте групповую политику для применения к серверу AD CS. Измените его и настройте следующие параметры аудита:
Перейдите и дважды выберите "Конфигурация компьютера"\Политики\Параметры Windows\Параметры безопасности\Advanced Audit Policy Configuration\Audit Policies\Audit Policies\Object Access\Audit Certification Services.
Выберите, чтобы настроить события аудита для успешного выполнения и сбоя. Например:
Настройте аудит центра сертификации (ЦС) с помощью одного из следующих методов:
Чтобы настроить аудит ЦС с помощью командной строки, выполните следующую команду:
certutil –setreg CA\AuditFilter 127 net stop certsvc && net start certsvc
Чтобы настроить аудит ЦС с помощью графического интерфейса, выполните следующие действия.
Выберите "Пуск —> центр сертификации" (классическое приложение MMC). Щелкните правой кнопкой мыши имя ЦС и выберите пункт "Свойства". Например:
Перейдите на вкладку "Аудит ", выберите все события, которые требуется выполнить аудит, а затем нажмите кнопку "Применить". Например:
Примечание.
Настройка аудита событий "Запуск и остановка служб сертификатов Active Directory" может привести к задержкам перезапуска при работе с большой базой данных AD CS. Рассмотрите возможность удаления неуместных записей из базы данных или, кроме того, воздержаться от включения этого конкретного типа события.
Настройка аудита в контейнере конфигурации
Связанная проблема со работоспособностью. Аудит контейнера конфигурации не включен по мере необходимости
Откройте команду ADSI Edit, нажав кнопку "Запустить".> Введите
ADSIEdit.msc
и нажмите кнопку "ОК".В меню "Действие" выберите "Подключиться".
В диалоговом окне "Параметры подключения" в разделе "Выбор известного контекста именования" нажмите кнопку "Конфигурация>ОК".
Разверните контейнер конфигурации, чтобы отобразить узел конфигурации, начиная с "CN=Configuration,DC=..."
Щелкните правой кнопкой мыши узел конфигурации и выберите "Свойства". Например:
Выберите вкладку >"Безопасность" дополнительно.
В разделе "Дополнительные параметры безопасности" выберите вкладку >"Аудит".
Выберите субъект.
В разделе "Введите имя объекта", чтобы выбрать, введите **Все и нажмите кнопку "Проверить имена".>
Затем вы вернеесь к записи аудита. Выберите указанные ниже параметры.
- Для параметра "Тип " выберите "Все".
- Чтобы выбрать этот объект и все объекты-потомки, применяется.
- В разделе "Разрешения" прокрутите вниз и нажмите кнопку "Очистить все". Прокрутите страницу вверх и выберите " Записать все свойства".
Например:
Нажмите ОК.
Устаревшие конфигурации
Внимание
Defender для удостоверений больше не требует ведения журнала 1644 событий. Если этот параметр реестра включен, его можно удалить.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001
Связанный контент
Дополнительные сведения см. в разделе:
- Что такое коллекция событий Windows для Defender для удостоверений
- Аудит безопасности Windows
- Расширенные политики аудита безопасности