Defender for Identity 偵測依賴特定的 Windows 事件日誌條目來增強偵測能力,並提供使用者執行特定動作(如 NTLM 登入及安全群組修改)的額外資訊。 本文說明如何配置進階稽核政策設定,以避免事件日誌出現缺口及不完整的 Defender for Identity 覆蓋範圍。
Defender for Identity 在偵測到 Windows 事件稽核設定錯誤時會產生健康警示。 欲了解更多資訊,請參閱 Microsoft Defender for Identity 適用於身分識別的 Microsoft Defender 健康警示。
必要條件
如果你使用 Active Directory PowerShell 模組來設定網域控制器,務必下載 Defender for Identity PowerShell 模組。
注意事項
Active Directory PowerShell 模組僅在設定網域控制器上的 Defender for Identity 時才需要。 在執行認證授權機構角色服務(Certification Authority Role Service)的 AD CS 伺服器上,這並非必須的。
使用 PowerShell 產生目前設定的報告
在開始建立新的事件與稽核政策之前,我們建議您執行以下 PowerShell 指令,以產生您目前網域設定的報告:
New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -Identity "DOMAIN\ServiceAccountName" -OpenHtmlReport
其中:
Path指定儲存報告的路徑。Mode指定你要使用Domain或LocalMachine模式。 在模式中Domain,設定是從 GPO) (群組原則物件中收集。 在LocalMachine模式下,設定會從本地機器收集。Domain模式報告僅包含該網域上設定為群組政策的設定。 如果你的網域控制器在本地有設定,我們建議你也執行 Test-MdiReadiness.ps1 腳本。OpenHtmlReport在報告產生後開啟 HTML 報告。
注意事項
使用 -Mode Domain時,請加入 -Identity 參數以避免互動式提示。
更多資訊請參見: New-MDIConfigurationReport。
例如,要產生報告並在預設瀏覽器中開啟,請執行以下指令:
New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport
欲了解更多資訊,請參閱 Defender for Identity PowerShell 參考資料。
設定 Windows 事件稽核用於網域控制站
更新您的進階稽核政策設定,以及針對特定事件和事件類型的額外設定,例如使用者、群組、電腦等。 域控制器的稽核設定包括:
欲了解更多資訊,請參閱 進階安全稽核常見問題。
你可以在入口網站或使用 PowerShell 設定網域控制器的稽核。
在 Defender 入口網站中設定進階稽核政策設定
此程序說明如何透過使用者介面修改網域控制器的進階稽核政策設定,以符合Defender for Identity的需求。
以 網域管理員身份登入伺服器。
從伺服器管理員>工具>的群組原則管理開啟群組原則管理編輯器。
展開 網域控制中心組織單位,右鍵點擊 預設網域控制商政策,然後選擇 編輯。
注意事項
請使用預設網域控制器政策或專用的 GPO 來設定這些政策。
在打開的視窗中,請前往 電腦設定>政策、>Windows 設定>、安全設定。 根據你想啟用的保單,請採取以下步驟:
請前往進階稽核政策>配置稽核政策。
在 稽核政策中,編輯以下每一項政策,並選擇 「配置以下稽核事件 」以涵蓋 成功 與 失敗 事件。
稽核原則 子類別 觸發事件識別碼 帳號登入 審核憑證驗證 4776 帳戶管理 審計電腦帳戶管理* 4741, 4743 帳戶管理 審計分發組管理* 4753, 4763 帳戶管理 審計安全團隊管理* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758 帳戶管理 審核使用者帳戶管理 4726 DS 存取權 審計目錄服務變更* 5136 System 稽核安全系統擴充* 7045 DS 存取權 審計目錄服務存取 4662 - 針對此事件,你還必須 設定網域物件稽核。 例如,要設定 審計安全群組管理,在 帳戶管理中雙擊審計 安全群組管理,然後選擇「 配置以下審計事件 」以涵蓋 成功 與 失敗 事件。
從升高的命令提示字元輸入
gpupdate。在你透過 GPO 套用政策後,確認新事件是否會出現在事件檢視器中,在 Windows 日誌>安全下。
要從命令列測試你的稽核政策,請執行以下指令:
auditpol.exe /get /category:*
欲了解更多資訊,請參閱 Audipol參考文件。
使用 PowerShell 配置進階稽核政策設定
以下操作說明如何依照 PowerShell 修改網域控制站的進階稽核政策設定,以符合 Defender for Identity 的需求。
以下指令定義所有網域的設定,建立群組政策物件,並將它們連結。
Set-MDIConfiguration -Mode Domain -Configuration All
要設定你的設定,請執行:
Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]
其中:
-
Mode指定你要使用Domain或LocalMachine模式。 在Domain模式下,設定是從群組原則物件中收集的。 在LocalMachine模式下,設定會從本地機器收集。 -
Configuration指定要設定哪種配置。 用All來設定所有設定。 -
CreateGpoDisabled指定是否建立並維持 GPO 為停用狀態。 -
SkipGpoLink規定不會建立 GPO 連結。 -
Force指定設定或建立 GPO 時未驗證當前狀態。
要查看您的稽核政策,請使用 Get-MDIConfiguration 命令顯示目前的值:
Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>
其中:
-
Mode指定你要使用Domain或LocalMachine模式。 在Domain模式下,設定是從群組原則物件中收集的。 在LocalMachine模式下,設定會從本地機器收集。 -
Configuration指定要取得哪種配置。 用All來取得所有設定。
要測試你的稽核政策,請使用指令 Test-MDIConfiguration 來取得 true or false 回應,判斷值是否正確配置:
Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>
其中:
-
Mode指定你要使用Domain或LocalMachine模式。 在Domain模式下,設定是從群組原則物件中收集的。 在LocalMachine模式下,設定會從本地機器收集。 -
Configuration指定要測試哪種配置。 用All來測試所有設定。
欲了解更多資訊,請參閱以下 DefenderForIdentity PowerShell 參考資料:
設定 NTLM 稽核
當 Defender for Identity 感測器解析 Windows 事件 8004 時,Defender for Identity NTLM 的認證活動會因伺服器存取的資料而豐富。 本節說明您審核 Windows 事件 8004 所需的額外設定步驟。
注意事項
- 收集 Windows 事件 8004 的網域群組政策應 僅 套用於網域控制器。
要設定 NTLM 稽核:
在 Defender 入口網站或使用 PowerShell 設定好初始的進階稽核政策設定後,打開群組原則管理。 接著進入 預設網域控制器的政策>、本地政策、>安全性選項。
請配置指定的安全政策如下:
安全政策設定 值 網路安全:限制 NTLM:將 NTLM 流量傳送至遠端伺服器 全部審核 網路安全:限制 NTLM:審計 此域的 NTLM 認證 啟用所有 網路安全:限制 NTLM:稽核 NTLM 進來流量 啟用所有帳戶的稽核功能
例如,若要設定 NTLM 輸出流量至遠端伺服器,在 安全選項中,雙擊「 網路安全」:限制 NTLM: 向遠端伺服器發送的 NTLM 流量,然後選擇 「全部審核」。
配置領域物件稽核
要收集物件變更事件,例如事件 4662,你還必須設定使用者、群組、電腦及其他物件的物件稽核。 以下程序說明如何在 Active Directory 領域啟用稽核。
為了確保網域控制站正確設定以記錄必要的事件,請在啟用事件收集前,先在 Defender 入口網站 或 使用 PowerShell 檢視並稽核你的政策。 如果稽核設定得當,對伺服器效能的影響很小。
要設定網域物件稽核:
前往 Active Directory 使用者和電腦主控台。
選擇你想審核的網域。
選擇 「檢視 」選單,然後選擇 進階功能。
右鍵點擊網域並選擇 屬性。
到 安全 標籤,然後選擇 進階。
在 進階安全設定中,選擇 「稽核 」標籤,然後選擇 「新增」。
選擇 選擇一位負責人。
在 選擇物件名稱輸入時,輸入 Everyone。 然後選擇「 確認名稱>確定」。
返回審核記錄,並做出以下選擇:
對於 類型,請選擇 成功。
對於 「應用對象」,選擇後 裔使用者物件。
在 權限選項中,往下滑並選擇 「全部清除 」按鈕。
往上捲,選擇 「完全控制」。 所有權限都已選中。
清除 清單內容、 閱讀所有屬性和 讀取權限 的選項,然後選擇 確定。 此步驟將所有 屬性 設定設為 寫入。
現在,所有與目錄服務相關的變更在觸發時都顯示為 4,662 事件。
重複此程序中的步驟,但對 應用於(Apply to)時,選擇以下物件類型 1
- 後裔群物件
- 後代電腦物件
- Descendant msDS-GroupManagedServiceAccount Objects
- Descendant msDS-ManagedServiceAccount Objects
- Descendant msDS-DelegatedManagedServiceAccount Objects2
注意事項
- 你也可以只使用最後一步中提到的物件類型,對 所有後繼物件指派審計權限。
- msDS-DelegatedManagedServiceAccount 類別僅適用於至少運行一個 Windows Server 2025 網域控制器的網域。
在 AD FS 上設定稽核
要在 Active Directory 同盟服務 (AD FS) 設定稽核:
前往 Active Directory 使用者和電腦主控台,選擇你想啟用日誌的網域。
請前往Microsoft>ADFS 的程式資料>。
右鍵點選 ADFS ,選擇 屬性。
到 安全性 標籤,選擇 進階>安全設定。 然後到 稽核 標籤,選擇 新增>選擇一位原則。
在 選擇物件名稱輸入時,輸入 Everyone。 然後選擇「 確認名稱>確定」。
接著你回到審核記錄。 請做出以下選擇:
- 在類型中,選擇全部。
- 對於 「套用物件」,選擇 「此物件及所有後代物件」。
- 在 權限選項中,往下滑並選擇 全部清除。 往上捲動,選擇 「閱讀所有屬性 」和 「寫入所有屬性」。
選取 [確定]。
為 AD FS 事件設定 Verbose 日誌
在 AD FS 伺服器上運行的感測器,對於相關事件,必須將稽核等級設為 Verbose 。 例如,請使用以下指令將稽核層級設定為 Verbose:
Set-AdfsProperties -AuditLevel Verbose
在 AD CS 上設定稽核功能
如果你使用的是一台已設定 Active Directory 憑證服務 (AD CS) 的專用伺服器,請依照以下方式設定稽核以查看專屬警示和安全分數報告:
建立一個群組政策套用到你的 AD CS 伺服器。 編輯並設定以下稽核設定:
請前往 電腦設定\政策\Windows 設定\安全設定\進階稽核政策設定\稽核政策\物件存取\稽核認證服務。
選擇核取方塊以設定 成功 與 失敗的稽核事件。
透過以下方法之一配置憑證授權機構 (CA) 的稽核:
要透過命令列設定 CA 稽核,請執行:
certutil –setreg CA\AuditFilter 127 net stop certsvc && net start certsvc
- To configure CA auditing in the Defender portal: 1. Select **Start** > **Certification Authority (MMC Desktop application)**. Right-click your CA's name and select **Properties**. :::image type="content" source="../media/configure-windows-event-collection/certification-authority.png" alt-text="Screenshot of the Certification Authority dialog."::: 1. Select the **Auditing** tab, select all the events that you want to audit, and then select **Apply**. :::image type="content" source="../media/configure-windows-event-collection/auditing.png" alt-text="Screenshot of the Auditing tab for certificate authority properties.":::
注意事項
設定 啟動與停止 Active Directory 憑證服務 事件稽核,當你處理大型 AD CS 資料庫時,可能會導致重啟延遲。 考慮從資料庫中移除無關的條目。 或者,避免促成這種特定類型的事件。
在 Microsoft Entra Connect 上設定稽核
要設定 Microsoft Entra Connect 伺服器的稽核:
建立一個群組政策,套用到你的 Microsoft Entra Connect 伺服器。 編輯並設定以下稽核設定:
請前往 電腦設定\政策\Windows 設定\安全設定\進階稽核政策設定\稽核政策\登入/登出\稽核登入。
選擇核取方塊以設定 成功 與 失敗的稽核事件。
在設定容器上設定稽核功能
僅對目前或過去使用 Microsoft Exchange 的環境需要進行組態容器稽核,因為這些環境在網域的組態區塊中都有 Exchange 容器。
打開 ADSI 編輯工具。 選擇 開始>執行,輸入
ADSIEdit.msc,然後選擇 確定。在動作選單中,選擇連接。
在 連線設定 對話框中,選擇已知 命名上下文,選擇 設定>確定。
展開 設定 容器以顯示 設定 節點,該節點以 「CN=Configuration,DC=...」開頭。
右鍵點 選設定 節點,選擇 屬性。
選擇 「安全」 標籤,然後選擇 進階。
在 進階安全設定中,選擇 「稽核 」標籤,然後選擇 「新增」。
選擇 選擇一位負責人。
在 選擇物件名稱輸入時,輸入 Everyone。 然後選擇「 確認名稱>確定」。
接著你回到審核記錄。 請做出以下選擇:
- 在類型中,選擇全部。
- 對於 「套用物件」,選擇 「此物件及所有後代物件」。
- 在 權限選項中,往下滑並選擇 全部清除。 往上捲動並選擇 「寫入所有屬性」。
選取 [確定]。
更新舊有設定
Defender for Identity 不再需要記錄 1,644 個事件。 如果你啟用以下任一設定,就可以將它們從登錄檔中移除。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001
相關內容
如需詳細資訊,請參閱: