Sdílet prostřednictvím

Konfigurace zásad auditu pro protokoly událostí Windows

  • Článek

Pokud chcete zlepšit zjišťování a shromáždit další informace o akcích uživatelů, jako jsou přihlášení pomocí protokolu NTLM a změny skupin zabezpečení, Microsoft Defender for Identity spoléhá na konkrétní položky v protokolech událostí systému Windows. Správná konfigurace nastavení rozšířených zásad auditu na řadičích domény je zásadní, abyste se vyhnuli mezerám v protokolech událostí a neúplnému pokrytí defenderu for Identity.

Tento článek popisuje, jak nakonfigurovat nastavení rozšířených zásad auditu podle potřeby pro senzor Defenderu for Identity. Popisuje také další konfigurace pro konkrétní typy událostí.

Defender for Identity generuje problémy se stavem pro každý z těchto scénářů, pokud jsou zjištěny. Další informace najdete v tématu Microsoft Defender for Identity problémy se stavem.

Požadavky

Generování sestavy aktuálních konfigurací pomocí PowerShellu

Než začnete vytvářet nové zásady událostí a auditu, doporučujeme spuštěním následujícího příkazu PowerShellu vygenerovat sestavu aktuálních konfigurací domény:

New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]

V předchozím příkazu:

  • Path určuje cestu, do které chcete sestavy uložit.
  • Mode určuje, zda chcete použít Domain nebo LocalMachine režim. V Domain režimu se nastavení shromažďují z objektů Zásady skupiny (GPO). V LocalMachine režimu se nastavení shromažďují z místního počítače.
  • OpenHtmlReport po vygenerování sestavy otevře sestavu HTML.

Pokud například chcete vygenerovat sestavu a otevřít ji ve výchozím prohlížeči, spusťte následující příkaz:

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

Další informace najdete v referenčních informacích k PowerShellu DefenderforIdentity.

Tip

Sestava Domain režimu obsahuje pouze konfigurace nastavené jako zásady skupiny v doméně. Pokud máte nastavení definovaná místně na řadičích domény, doporučujeme spustit také skriptTest-MdiReadiness.ps1 .

Konfigurace auditování pro řadiče domény

Aktualizujte nastavení rozšířených zásad auditu a další konfigurace pro konkrétní události a typy událostí, jako jsou uživatelé, skupiny, počítače a další. Konfigurace auditu pro řadiče domény zahrnují:

Další informace najdete v nejčastějších dotazech k rozšířenému auditování zabezpečení.

Pomocí následujících postupů nakonfigurujte auditování řadičů domény, které používáte s Defenderem for Identity.

Konfigurace nastavení rozšířených zásad auditu z uživatelského rozhraní

Tento postup popisuje, jak upravit nastavení rozšířených zásad auditu řadiče domény podle potřeby pro Defender for Identity prostřednictvím uživatelského rozhraní.

Související problém se stavem:Rozšířené auditování adresářových služeb není povolené podle potřeby

Konfigurace nastavení rozšířených zásad auditu:

  1. Přihlaste se k serveru jako správce domény.

  2. Otevřete Editor Zásady skupiny Management z Správce serveru>Tools>Zásady skupiny Management.

  3. Rozbalte položku Řadiče domény Organizační jednotky, klikněte pravým tlačítkem na Výchozí zásady řadičů domény a pak vyberte Upravit.

    Snímek obrazovky s podoknem pro úpravu výchozích zásad pro řadiče domény

    Poznámka

    K nastavení těchto zásad použijte zásadu Výchozí řadiče domény nebo vyhrazený objekt zásad skupiny.

  4. V okně, které se otevře, přejděte naZásady>konfigurace> počítačeNastavení>systému Windows Nastavení zabezpečení. V závislosti na zásadách, které chcete povolit, postupujte takto:

    1. Přejděte do části Zásady rozšířeného auditu Konfigurace>Zásad auditu.

      Snímek obrazovky s výběry pro otevření zásad auditu

    2. V části Zásady auditu upravte každou z následujících zásad a vyberte Konfigurovat následující události auditu pro události úspěch i selhání .

      Zásady auditu Podkategorie ID událostí triggerů
      Přihlášení k účtu Auditovat ověřování přihlašovacích údajů 4776
      Správa účtů Auditovat správu účtů počítače* 4741, 4743
      Správa účtů Auditovat správu distribuční skupiny* 4753, 4763
      Správa účtů Auditovat správu skupin zabezpečení* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Správa účtů Auditovat správu uživatelských účtů 4726
      DS Access Auditovat změny adresářové služby* 5136
      Systém Rozšíření auditování systému zabezpečení* 7045
      DS Access Auditovat přístup k adresářové službě 4662 – Pro tuto událost musíte také nakonfigurovat auditování objektů domény.

      Poznámka

      * Uvedené podkategorie nepodporují události selhání. Doporučujeme je ale přidat pro účely auditování, pokud budou v budoucnu implementované. Další informace najdete v tématech Audit správy účtů počítače, Auditovat správu skupin zabezpečení a Auditovat rozšíření systému zabezpečení.

      Pokud například chcete nakonfigurovat auditování správy skupin zabezpečení, v části Správa účtů poklikejte na Auditovat správu skupin zabezpečení a pak vyberte Konfigurovat následující události auditu pro události úspěch i selhání .

      Snímek obrazovky s dialogovým oknem Auditovat vlastnosti správy skupin zabezpečení

  5. Na příkazovém řádku se zvýšenými oprávněními zadejte gpupdate.

  6. Jakmile použijete zásadu prostřednictvím objektu zásad skupiny, zkontrolujte, že se nové události zobrazí v Prohlížeč událostí v částiZabezpečeníprotokolů> systému Windows.

Pokud chcete otestovat zásady auditu z příkazového řádku, spusťte následující příkaz:

auditpol.exe /get /category:*

Další informace najdete v referenční dokumentaci k auditpolu.

Konfigurace rozšířených nastavení zásad auditu pomocí PowerShellu

Následující akce popisují, jak upravit nastavení rozšířených zásad auditu řadiče domény podle potřeby pro Defender for Identity pomocí PowerShellu.

Související problém se stavem:Rozšířené auditování adresářových služeb není povolené podle potřeby

Pokud chcete nakonfigurovat nastavení, spusťte následující příkaz:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

V předchozím příkazu:

  • Mode určuje, zda chcete použít Domain nebo LocalMachine režim. V Domain režimu se nastavení shromažďují z objektů Zásady skupiny. V LocalMachine režimu se nastavení shromažďují z místního počítače.
  • Configuration určuje, kterou konfiguraci se má nastavit. Slouží All k nastavení všech konfigurací.
  • CreateGpoDisabled určuje, jestli se objekty zásad skupiny vytvoří a uchovávají jako zakázané.
  • SkipGpoLink určuje, že se nevytvořila propojení objektů zásad zásad sítě.
  • Force Určuje, že konfigurace je nastavena nebo že se objekty zásad skupiny vytvoří bez ověření aktuálního stavu.

Pokud chcete zobrazit zásady auditu, použijte Get-MDIConfiguration příkaz k zobrazení aktuálních hodnot:

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

V předchozím příkazu:

  • Mode určuje, zda chcete použít Domain nebo LocalMachine režim. V Domain režimu se nastavení shromažďují z objektů Zásady skupiny. V LocalMachine režimu se nastavení shromažďují z místního počítače.
  • Configuration určuje, kterou konfiguraci chcete získat. Použijte All k získání všech konfigurací.

Pokud chcete otestovat zásady auditu, pomocí Test-MDIConfiguration příkazu získejte true odpověď nebo false na to, jestli jsou hodnoty správně nakonfigurované:

Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

V předchozím příkazu:

  • Mode určuje, zda chcete použít Domain nebo LocalMachine režim. V Domain režimu se nastavení shromažďují z objektů Zásady skupiny. V LocalMachine režimu se nastavení shromažďují z místního počítače.
  • Configuration určuje, kterou konfiguraci chcete otestovat. Slouží All k testování všech konfigurací.

Další informace najdete v následujících odkazech k Prostředí PowerShell DefenderForIdentity:

Konfigurace auditování NTLM

Tato část popisuje další kroky konfigurace, které potřebujete pro auditování události Windows 8004.

Poznámka

  • Zásady skupiny domény pro shromažďování události 8004 systému Windows by se měly použít jenom na řadiče domény.
  • Když senzor Defenderu for Identity analyzuje událost 8004 systému Windows, aktivity ověřování protokolu NTLM služby Defender for Identity jsou obohaceny o data přístupná serverem.

Související problém se stavem:Auditování NTLM není povolené

Konfigurace auditování NTLM:

  1. Po konfiguraci počátečního nastavení rozšířených zásad auditu (prostřednictvím uživatelského rozhraní nebo PowerShellu) otevřete Zásady skupiny Management. Pak přejděte na Výchozí řadiče domény Zásady>Místní zásady>Možnosti zabezpečení.

  2. Nakonfigurujte zadané zásady zabezpečení následujícím způsobem:

    Nastavení zásad zabezpečení Hodnota
    Zabezpečení sítě: Omezení protokolu NTLM: Odchozí přenosy PROTOKOLU NTLM na vzdálené servery Auditovat vše
    Zabezpečení sítě: Omezit protokol NTLM: Auditovat ověřování NTLM v této doméně Povolit vše
    Zabezpečení sítě: Omezení protokolu NTLM: Audit příchozího provozu PROTOKOLU NTLM Povolení auditování pro všechny účty

Chcete-li například nakonfigurovat odchozí provoz NTLM na vzdálené servery, v části Možnosti zabezpečení poklikejte na položku Zabezpečení sítě: Omezit protokol NTLM: Odchozí přenosy PROTOKOLU NTLM na vzdálené servery a pak vyberte Auditovat vše.

Snímek obrazovky s konfigurací auditu odchozího provozu NTLM na vzdálené servery

Konfigurace auditování objektů domény

Pokud chcete shromažďovat události pro změny objektů, například pro událost 4662, musíte také nakonfigurovat auditování objektů pro uživatele, skupinu, počítač a další objekty. Následující postup popisuje, jak povolit auditování v doméně služby Active Directory.

Důležité

Před povolením shromažďování událostí zkontrolujte a auditujte zásady (prostřednictvím uživatelského rozhraní nebo PowerShellu) a ujistěte se, že řadiče domény jsou správně nakonfigurované tak, aby zaznamenávaly potřebné události. Pokud je toto auditování správně nakonfigurované, mělo by mít minimální vliv na výkon serveru.

Související problém se stavem:Auditování objektů adresářových služeb není povolené podle potřeby

Konfigurace auditování objektů domény:

  1. Přejděte do konzoly Uživatelé a počítače služby Active Directory.

  2. Vyberte doménu, kterou chcete auditovat.

  3. Vyberte nabídku Zobrazení a pak vyberte Rozšířené funkce.

  4. Klikněte pravým tlačítkem na doménu a vyberte Vlastnosti.

    Snímek obrazovky s výběry pro otevření vlastností kontejneru

  5. Přejděte na kartu Zabezpečení a pak vyberte Upřesnit.

    Snímek obrazovky s dialogovým oknem pro otevření rozšířených vlastností zabezpečení

  6. V části Upřesnit nastavení zabezpečení vyberte kartu Auditování a pak vyberte Přidat.

    Snímek obrazovky s kartou Auditování v dialogovém okně Upřesnit nastavení zabezpečení

  7. Zvolte Vybrat objekt zabezpečení.

    Snímek obrazovky s tlačítkem pro výběr objektu zabezpečení

  8. V části Zadejte název objektu, který chcete vybrat zadejte Všichni. Pak vyberte Zkontrolovat jména>OK.

    Snímek obrazovky se zadáváním názvu objektu Všichni

  9. Pak se vrátíte k položce auditování. Proveďte následující výběry:

    1. Jako Typ vyberte Úspěch.

    2. V části Platí pro vyberte Objekty potomků uživatelů.

    3. V části Oprávnění se posuňte dolů a vyberte tlačítko Vymazat vše .

      Snímek obrazovky s tlačítkem pro vymazání všech oprávnění

    4. Posuňte se zpět nahoru a vyberte Úplné řízení. Jsou vybrána všechna oprávnění.

    5. Zrušte výběr oprávnění Obsah seznamu, Číst všechny vlastnosti a Oprávnění ke čtení a pak vyberte OK. Tento krok nastaví všechna nastavení Vlastnosti na Zapisovat.

      Snímek obrazovky s výběrem oprávnění

      Všechny relevantní změny adresářových služeb se teď při aktivaci zobrazí jako události 4662.

  10. Opakujte kroky v tomto postupu, ale v části Platí pro vyberte následující typy objektů:

    • Objekty následné skupiny
    • Objekty potomků počítačů
    • Potomek msDS-GroupManagedServiceAccount – objekty
    • Následné objekty msDS-ManagedServiceAccount

Poznámka

Přiřazení oprávnění auditování u všech potomků objektů by také fungovalo , ale potřebujete pouze typy objektů podrobně popsané v posledním kroku.

Konfigurace auditování ve službě AD FS

Související problém se stavem:Auditování kontejneru služby AD FS není povolené podle potřeby

Konfigurace auditování ve službě Active Directory Federation Services (AD FS) (AD FS):

  1. Přejděte do konzoly Uživatelé a počítače služby Active Directory a vyberte doménu, ve které chcete protokoly povolit.

  2. Přejděte na Programová data>Microsoft>ADFS.

    Snímek obrazovky s kontejnerem pro Active Directory Federation Services (AD FS)

  3. Klikněte pravým tlačítkem na ADFS a vyberte Vlastnosti.

  4. Přejděte na kartu Zabezpečení a vyberte Upřesnit>upřesňující nastavení zabezpečení. Pak přejděte na kartu Auditování a vyberte Přidat>vybrat objekt zabezpečení.

  5. V části Zadejte název objektu, který chcete vybrat zadejte Všichni. Pak vyberte Zkontrolovat jména>OK.

  6. Pak se vrátíte k položce auditování. Proveďte následující výběry:

    • Jako Typ vyberte Vše.
    • V části Platí pro vyberte Tento objekt a všechny následné objekty.
    • V části Oprávnění se posuňte dolů a vyberte Vymazat vše. Posuňte se nahoru a vyberte Číst všechny vlastnosti a Zapsat všechny vlastnosti.

    Snímek obrazovky s nastavením auditování pro Active Directory Federation Services (AD FS)

  7. Vyberte OK.

Konfigurace podrobného protokolování pro události služby AD FS

Senzory spuštěné na serverech SLUŽBY AD FS musí mít úroveň auditování nastavenou na podrobnou úroveň pro relevantní události. Například pomocí následujícího příkazu nakonfigurujte úroveň auditování na podrobnou:

Set-AdfsProperties -AuditLevel Verbose

Konfigurace auditování ve službě AD CS

Pokud pracujete s vyhrazeným serverem, který má nakonfigurovanou službu Active Directory Certificate Services (AD CS), nakonfigurujte auditování následujícím způsobem, aby se zobrazila vyhrazená upozornění a sestavy skóre zabezpečení:

  1. Vytvořte zásadu skupiny, která se použije pro server SLUŽBY AD CS. Upravte ho a nakonfigurujte následující nastavení auditování:

    1. Přejděte na Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Přístup k objektům\Certifikační služba auditu.

    2. Zaškrtnutím políček nakonfigurujte události auditu pro úspěch a selhání.

      Snímek obrazovky s konfigurací událostí auditu pro službu Active Directory Certificate Services v Editor Zásady skupiny Management

  2. Nakonfigurujte auditování certifikační autority pomocí jedné z následujících metod:

    • Pokud chcete nakonfigurovat auditování certifikační autority pomocí příkazového řádku, spusťte příkaz:

      certutil –setreg CA\AuditFilter 127 


net stop certsvc && net start certsvc

    • Konfigurace auditování certifikační autority pomocí grafického uživatelského rozhraní:

      1. Vyberte Spustit>certifikační autoritu (desktopová aplikace MMC). Klikněte pravým tlačítkem myši na název vaší certifikační autority a vyberte Vlastnosti.

        Snímek obrazovky s dialogovým oknem Certifikační autorita

      2. Vyberte kartu Auditování , vyberte všechny události, které chcete auditovat, a pak vyberte Použít.

        Snímek obrazovky s kartou Auditování pro vlastnosti certifikační autority

Poznámka

Konfigurace auditování událostí služby Active Directory Certificate Services spuštění a zastavení může způsobit zpoždění restartování, když pracujete s velkou databází AD CS. Zvažte odebrání irelevantních položek z databáze. Případně tento konkrétní typ události nepoužívat.

Konfigurace auditování na Microsoft Entra Connect

Konfigurace auditování na serverech Microsoft Entra Connect:

  • Vytvořte zásadu skupiny, která se použije na servery Microsoft Entra Connect. Upravte ho a nakonfigurujte následující nastavení auditování:

    1. Přejděte na Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Konfigurace rozšířených zásad auditu\Zásady auditu\Přihlášení/Odhlášení\Přihlášení k auditu.

    2. Zaškrtnutím políček nakonfigurujte události auditu pro úspěch a selhání.

Snímek obrazovky Editor správy Zásady skupiny

Konfigurace auditování pro kontejner konfigurace

Poznámka

Audit kontejneru konfigurace se requried pouze pro prostředí, která aktuálně nebo dříve měla Microsoft Exchange, protože tato prostředí mají kontejner Exchange umístěný v části Konfigurace domény.

Související problém se stavem:Auditování kontejneru konfigurace není povolené podle potřeby

  1. Otevřete nástroj ADSI Edit. Vyberte Spustit>spuštění, zadejte ADSIEdit.msca pak vyberte OK.

  2. V nabídce Akce vyberte Připojit k.

  3. V dialogovém okně Nastavení připojení vyberte v části Vybrat dobře známý názvový kontextmožnost Konfigurace>OK.

  4. Rozbalte kontejner Konfigurace a zobrazte uzel Konfigurace , který začíná na CN=Configuration,DC=...".

  5. Klikněte pravým tlačítkem na uzel Konfigurace a vyberte Vlastnosti.

    Snímek obrazovky s výběry pro otevření vlastností uzlu Konfigurace

  6. Vyberte kartu Zabezpečení a pak vyberte Upřesnit.

  7. V části Upřesnit nastavení zabezpečení vyberte kartu Auditování a pak vyberte Přidat.

  8. Zvolte Vybrat objekt zabezpečení.

  9. V části Zadejte název objektu, který chcete vybrat zadejte Všichni. Pak vyberte Zkontrolovat jména>OK.

  10. Pak se vrátíte k položce auditování. Proveďte následující výběry:

    • Jako Typ vyberte Vše.
    • V části Platí pro vyberte Tento objekt a všechny následné objekty.
    • V části Oprávnění se posuňte dolů a vyberte Vymazat vše. Posuňte se nahoru a vyberte Zapisovat všechny vlastnosti.

    Snímek obrazovky s nastavením auditování pro kontejner Konfigurace

  11. Vyberte OK.

Aktualizace starších konfigurací

Defender for Identity už nevyžaduje protokolování událostí 1644. Pokud máte povolené některé z následujících nastavení, můžete je z registru odebrat.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Související obsah

Další informace najdete tady:

Další krok

Co jsou role a oprávnění Defenderu for Identity?