Freigeben über

Konfigurieren von Überwachungsrichtlinien für Windows-Ereignisprotokolle

  • Artikel

Um die Erkennungen zu verbessern und weitere Informationen zu Benutzeraktionen wie NTLM-Anmeldungen und Änderungen an Sicherheitsgruppen zu sammeln, basiert Microsoft Defender for Identity auf bestimmten Einträgen in Windows-Ereignisprotokollen. Die richtige Konfiguration der Erweiterten Überwachungsrichtlinieneinstellungen auf Ihren Domänencontrollern ist entscheidend, um Lücken in den Ereignisprotokollen und eine unvollständige Defender for Identity-Abdeckung zu vermeiden.

In diesem Artikel wird beschrieben, wie Sie Die Einstellungen für erweiterte Überwachungsrichtlinien nach Bedarf für einen Defender for Identity-Sensor konfigurieren. Außerdem werden andere Konfigurationen für bestimmte Ereignistypen beschrieben.

Defender for Identity generiert Integritätsprobleme für jedes dieser Szenarien, wenn diese erkannt werden. Weitere Informationen finden Sie unter Microsoft Defender for Identity Integritätsprobleme.

Voraussetzungen

Generieren eines Berichts mit aktuellen Konfigurationen über PowerShell

Bevor Sie mit dem Erstellen neuer Ereignis- und Überwachungsrichtlinien beginnen, sollten Sie den folgenden PowerShell-Befehl ausführen, um einen Bericht über Ihre aktuellen Domänenkonfigurationen zu generieren:

New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]

Im vorherigen Befehl:

  • Path gibt den Pfad an, in dem die Berichte gespeichert werden sollen.
  • Modegibt an, ob Sie den Modus oder LocalMachine verwenden Domain möchten. Im Domain Modus werden die Einstellungen aus den Gruppenrichtlinie-Objekten (GPOs) gesammelt. Im LocalMachine Modus werden die Einstellungen vom lokalen Computer erfasst.
  • OpenHtmlReport öffnet den HTML-Bericht, nachdem der Bericht generiert wurde.

Um beispielsweise einen Bericht zu generieren und in Ihrem Standardbrowser zu öffnen, führen Sie den folgenden Befehl aus:

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

Weitere Informationen finden Sie in der PowerShell-Referenz zu DefenderforIdentity.

Tipp

Der Domain Modusbericht enthält nur Konfigurationen, die als Gruppenrichtlinien für die Domäne festgelegt sind. Wenn Einstellungen lokal auf Ihren Domänencontrollern definiert sind, empfiehlt es sich, auch das skriptTest-MdiReadiness.ps1 auszuführen.

Konfigurieren der Überwachung für Domänencontroller

Aktualisieren Sie die Einstellungen für erweiterte Überwachungsrichtlinien und zusätzliche Konfigurationen für bestimmte Ereignisse und Ereignistypen, z. B. Benutzer, Gruppen, Computer und mehr. Zu den Überwachungskonfigurationen für Domänencontroller gehören:

Weitere Informationen finden Sie unter Häufig gestellte Fragen zur erweiterten Sicherheitsüberwachung.

Verwenden Sie die folgenden Verfahren, um die Überwachung auf den Domänencontrollern zu konfigurieren, die Sie mit Defender for Identity verwenden.

Konfigurieren der Einstellungen für erweiterte Überwachungsrichtlinien über die Benutzeroberfläche

In diesem Verfahren wird beschrieben, wie Sie die Erweiterten Überwachungsrichtlinieneinstellungen Ihres Domänencontrollers nach Bedarf für Defender for Identity über die Benutzeroberfläche ändern.

Verwandtes Integritätsproblem:Die erweiterte Überwachung von Verzeichnisdiensten ist nicht bei Bedarf aktiviert.

So konfigurieren Sie die Einstellungen für erweiterte Überwachungsrichtlinien:

  1. Melden Sie sich beim Server als Domänenadministrator an.

  2. Öffnen Sie unter Server-Manager Tools>Gruppenrichtlinie Management den Gruppenrichtlinie Management-Editor>.

  3. Erweitern Sie Domänencontroller Organisationseinheiten, klicken Sie mit der rechten Maustaste auf Standarddomänencontrollerrichtlinie, und wählen Sie dann Bearbeiten aus.

    Screenshot des Bereichs zum Bearbeiten der Standardrichtlinie für Domänencontroller.

    Hinweis

    Verwenden Sie die Standarddomänencontrollerrichtlinie oder ein dediziertes GPO, um diese Richtlinien festzulegen.

  4. Wechseln Sie im daraufhin geöffneten Fenster zu Computerkonfigurationsrichtlinien>>Windows-Einstellungen>Sicherheitseinstellungen. Gehen Sie abhängig von der Richtlinie, die Sie aktivieren möchten, wie folgt vor:

    1. Wechseln Sie zu Erweiterte Überwachungsrichtlinienkonfiguration>Überwachungsrichtlinien.

      Screenshot der Auswahl zum Öffnen von Überwachungsrichtlinien.

    2. Bearbeiten Sie unter Überwachungsrichtlinien jede der folgenden Richtlinien, und wählen Sie Die folgenden Überwachungsereignisse für Erfolgs - und Fehlerereignisse konfigurieren aus.

      Überwachungsrichtlinie Unterkategorie Triggerereignis-IDs
      Kontoanmeldung Überprüfung von Anmeldeinformationen überwachen 4776
      Kontoführung Computerkontoverwaltung überwachen* 4741, 4743
      Kontoführung Überwachen der Verteilergruppenverwaltung* 4753, 4763
      Kontoführung Sicherheitsgruppenverwaltung überwachen* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Kontoführung Überwachen der Benutzerkontenverwaltung 4726
      DS-Zugriff Verzeichnisdienständerungen überwachen* 5136
      System Sicherheitssystemerweiterung überwachen* 7045
      DS-Zugriff Überwachen des Verzeichnisdienstzugriffs 4662 – Für dieses Ereignis müssen Sie auch die Domänenobjektüberwachung konfigurieren.

      Hinweis

      * Notierte Unterkategorien unterstützen keine Fehlerereignisse. Es wird jedoch empfohlen, sie zu Überwachungszwecken hinzuzufügen, falls sie in Zukunft implementiert werden. Weitere Informationen finden Sie unter Überwachen der Computerkontoverwaltung, Sicherheitsgruppenverwaltung überwachen und Sicherheitssystemerweiterung überwachen.

      Wenn Sie z. B. die Überwachung der Sicherheitsgruppenverwaltung konfigurieren möchten, doppelklicken Sie unter Kontoverwaltung auf Sicherheitsgruppenverwaltung überwachen, und wählen Sie dann Die folgenden Überwachungsereignisse für Erfolgs - und Fehlerereignisse konfigurieren aus.

      Screenshot des Dialogfelds

  5. Geben Sie an einer Eingabeaufforderung mit erhöhten Rechten ein gpupdate.

  6. Nachdem Sie die Richtlinie über das Gruppenrichtlinienobjekt angewendet haben, geben Sie an, dass die neuen Ereignisse im Ereignisanzeige unter Windows-Protokollsicherheit> angezeigt werden.

Führen Sie den folgenden Befehl aus, um Ihre Überwachungsrichtlinien über die Befehlszeile zu testen:

auditpol.exe /get /category:*

Weitere Informationen finden Sie in der auditpol-Referenzdokumentation.

Konfigurieren von Einstellungen für erweiterte Überwachungsrichtlinien mithilfe von PowerShell

Die folgenden Aktionen beschreiben, wie Sie die Erweiterten Überwachungsrichtlinieneinstellungen Ihres Domänencontrollers nach Bedarf für Defender for Identity mithilfe von PowerShell ändern.

Verwandtes Integritätsproblem:Die erweiterte Überwachung von Verzeichnisdiensten ist nicht bei Bedarf aktiviert.

Führen Sie Folgendes aus, um Ihre Einstellungen zu konfigurieren:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

Im vorherigen Befehl:

  • Modegibt an, ob Sie den Modus oder LocalMachine verwenden Domain möchten. Im Domain Modus werden die Einstellungen aus den Gruppenrichtlinie -Objekten gesammelt. Im LocalMachine Modus werden die Einstellungen vom lokalen Computer erfasst.
  • Configuration gibt an, welche Konfiguration festgelegt werden soll. Verwenden Sie All , um alle Konfigurationen festzulegen.
  • CreateGpoDisabled gibt an, ob die Gruppenrichtlinienobjekte erstellt und als deaktiviert beibehalten werden.
  • SkipGpoLink gibt an, dass GPO-Links nicht erstellt werden.
  • Force gibt an, dass die Konfiguration festgelegt oder Gruppenrichtlinienobjekte erstellt werden, ohne den aktuellen Zustand zu überprüfen.

Um Ihre Überwachungsrichtlinien anzuzeigen, verwenden Sie den Get-MDIConfiguration Befehl, um aktuelle Werte anzuzeigen:

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Im vorherigen Befehl:

  • Modegibt an, ob Sie den Modus oder LocalMachine verwenden Domain möchten. Im Domain Modus werden die Einstellungen aus den Gruppenrichtlinie -Objekten gesammelt. Im LocalMachine Modus werden die Einstellungen vom lokalen Computer erfasst.
  • Configuration gibt an, welche Konfiguration abgerufen werden soll. Verwenden Sie All , um alle Konfigurationen abzurufen.

Verwenden Sie zum Testen Ihrer Überwachungsrichtlinien den Test-MDIConfiguration Befehl , um eine - oder false -trueAntwort zu erhalten, ob die Werte richtig konfiguriert sind:

Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Im vorherigen Befehl:

  • Modegibt an, ob Sie den Modus oder LocalMachine verwenden Domain möchten. Im Domain Modus werden die Einstellungen aus den Gruppenrichtlinie -Objekten gesammelt. Im LocalMachine Modus werden die Einstellungen vom lokalen Computer erfasst.
  • Configuration gibt an, welche Konfiguration getestet werden soll. Verwenden Sie All , um alle Konfigurationen zu testen.

Weitere Informationen finden Sie in den folgenden DefenderForIdentity PowerShell-Verweisen:

Konfigurieren der NTLM-Überwachung

In diesem Abschnitt werden die zusätzlichen Konfigurationsschritte beschrieben, die Sie zum Überwachen des Windows-Ereignisses 8004 benötigen.

Hinweis

  • Domänengruppenrichtlinien zum Erfassen des Windows-Ereignisses 8004 sollten nur auf Domänencontroller angewendet werden.
  • Wenn ein Defender for Identity-Sensor das Windows-Ereignis 8004 analysiert, werden die NTLM-Authentifizierungsaktivitäten von Defender for Identity mit den Daten angereichert, auf die vom Server zugegriffen wird.

Verwandtes Integritätsproblem:DIE NTLM-Überwachung ist nicht aktiviert

So konfigurieren Sie die NTLM-Überwachung:

  1. Nachdem Sie Ihre anfänglichen Einstellungen für erweiterte Überwachungsrichtlinien (über die Benutzeroberfläche oder PowerShell) konfiguriert haben, öffnen Sie Gruppenrichtlinie Verwaltung. Wechseln Sie dann zu StandarddomänencontrollerRichtlinie>Lokale Richtlinien>Sicherheitsoptionen.

  2. Konfigurieren Sie die angegebenen Sicherheitsrichtlinien wie folgt:

    Sicherheitsrichtlinieneinstellung Wert
    Netzwerksicherheit: Einschränken von NTLM: Ausgehender NTLM-Datenverkehr an Remoteserver Alle überwachen
    Netzwerksicherheit: NTLM einschränken: NTLM-Authentifizierung in dieser Domäne überwachen Alle aktivieren
    Netzwerksicherheit: NTLM einschränken: Eingehenden NTLM-Datenverkehr überwachen Aktivieren der Überwachung für alle Konten

Wenn Sie beispielsweise ausgehenden NTLM-Datenverkehr zu Remoteservern konfigurieren möchten, doppelklicken Sie unter Sicherheitsoptionen auf Netzwerksicherheit: NTLM einschränken: Ausgehender NTLM-Datenverkehr auf Remoteserver, und wählen Sie dann Alle überwachen aus.

Screenshot der Überwachungskonfiguration für ausgehenden NTLM-Datenverkehr zu Remoteservern.

Konfigurieren der Domänenobjektüberwachung

Zum Sammeln von Ereignissen für Objektänderungen, z. B. für Ereignis 4662, müssen Sie auch die Objektüberwachung für den Benutzer, die Gruppe, den Computer und andere Objekte konfigurieren. Im folgenden Verfahren wird beschrieben, wie Sie die Überwachung in der Active Directory-Domäne aktivieren.

Wichtig

Überprüfen und überwachen Sie Ihre Richtlinien (über die Benutzeroberfläche oder PowerShell), bevor Sie die Ereignissammlung aktivieren, um sicherzustellen, dass die Domänencontroller ordnungsgemäß für die Aufzeichnung der erforderlichen Ereignisse konfiguriert sind. Wenn diese Überwachung ordnungsgemäß konfiguriert ist, sollte dies nur minimale Auswirkungen auf die Serverleistung haben.

Verwandtes Integritätsproblem:Die Objektüberwachung für Verzeichnisdienste ist nicht bei Bedarf aktiviert.

So konfigurieren Sie die Überwachung von Domänenobjekten:

  1. Wechseln Sie zur Active Directory-Benutzer und -Computer-Konsole.

  2. Wählen Sie die Domäne aus, die Sie überwachen möchten.

  3. Wählen Sie das Menü Ansicht und dann Erweiterte Features aus.

  4. Klicken Sie mit der rechten Maustaste auf die Domäne, und wählen Sie Eigenschaften aus.

    Screenshot der Auswahl zum Öffnen von Containereigenschaften.

  5. Wechseln Sie zur Registerkarte Sicherheit , und wählen Sie dann Erweitert aus.

    Screenshot des Dialogfelds zum Öffnen erweiterter Sicherheitseigenschaften.

  6. Wählen Sie unter Erweiterte Sicherheitseinstellungen die Registerkarte Überwachung und dann Hinzufügen aus.

    Screenshot der Registerkarte

  7. Wählen Sie Prinzipal auswählen aus.

    Screenshot der Schaltfläche zum Auswählen eines Prinzipals.

  8. Geben Sie unter Geben Sie den auszuwählenden Objektnamen ein die Zeichenfolge Jeder ein. Wählen Sie dann Namen>überprüfen OK aus.

    Screenshot der Eingabe des Objektnamens

  9. Anschließend kehren Sie zu Überwachungseintrag zurück. Treffen Sie die folgende Auswahl:

    1. Wählen Sie unter Typ die Option Erfolg aus.

    2. Wählen Sie für Gilt für die Option Nachfolgerbenutzerobjekte aus.

    3. Scrollen Sie unter Berechtigungen nach unten, und wählen Sie die Schaltfläche Alle löschen aus.

      Screenshot der Schaltfläche zum Löschen aller Berechtigungen.

    4. Scrollen Sie nach oben, und wählen Sie Vollzugriff aus. Alle Berechtigungen sind ausgewählt.

    5. Deaktivieren Sie die Auswahl für die Berechtigungen Inhalt auflisten, Alle Eigenschaften lesen und Leseberechtigungen , und wählen Sie dann OK aus. In diesem Schritt werden alle Eigenschafteneinstellungen auf Schreiben festgelegt.

      Screenshot: Auswählen von Berechtigungen

      Jetzt werden alle relevanten Änderungen an Verzeichnisdiensten als 4662-Ereignisse angezeigt, wenn sie ausgelöst werden.

  10. Wiederholen Sie die Schritte in diesem Verfahren, aber wählen Sie für Gilt für die folgenden Objekttypen aus:

    • Nachfolgergruppenobjekte
    • Nachfolgercomputerobjekte
    • Nachfolger msDS-GroupManagedServiceAccount-Objekte
    • Nachfolger msDS-ManagedServiceAccount-Objekte

Hinweis

Das Zuweisen der Überwachungsberechtigungen für Alle nachfolgerfähigen Objekte würde ebenfalls funktionieren, aber Sie benötigen nur die im letzten Schritt beschriebenen Objekttypen.

Konfigurieren der Überwachung in AD FS

Verwandtes Integritätsproblem:Die Überwachung für den AD FS-Container ist nicht bei Bedarf aktiviert.

So konfigurieren Sie die Überwachung auf Active Directory-Verbunddienste (AD FS) (AD FS):

  1. Wechseln Sie zur Active Directory-Benutzer und -Computer-Konsole, und wählen Sie die Domäne aus, in der Sie die Protokolle aktivieren möchten.

  2. Wechseln Sie zu Programmdaten>Microsoft>AD FS.

    Screenshot: Container für Active Directory-Verbunddienste (AD FS)

  3. Klicken Sie mit der rechten Maustaste auf AD FS , und wählen Sie Eigenschaften aus.

  4. Wechseln Sie zur Registerkarte Sicherheit , und wählen Sie Erweiterte>Sicherheitseinstellungen aus. Wechseln Sie dann zur Registerkarte Überwachung, und wählen Sie Hinzufügen>Prinzipal auswählen aus.

  5. Geben Sie unter Geben Sie den auszuwählenden Objektnamen ein die Zeichenfolge Jeder ein. Wählen Sie dann Namen>überprüfen OK aus.

  6. Anschließend kehren Sie zu Überwachungseintrag zurück. Treffen Sie die folgende Auswahl:

    • Wählen Sie unter Typ die Option Alle aus.
    • Wählen Sie unter Gilt für die Option Dieses Objekt und alle nachfolgerfähigen Objekte aus.
    • Scrollen Sie unter Berechtigungen nach unten, und wählen Sie Alle löschen aus. Scrollen Sie nach oben, und wählen Sie Alle Eigenschaften lesen und Alle Eigenschaften schreiben aus.

    Screenshot der Überwachungseinstellungen für Active Directory-Verbunddienste (AD FS).

  7. Wählen Sie OK aus.

Konfigurieren der ausführlichen Protokollierung für AD FS-Ereignisse

Für Sensoren, die auf AD FS-Servern ausgeführt werden, muss die Überwachungsebene für relevante Ereignisse auf Ausführlich festgelegt sein. Verwenden Sie beispielsweise den folgenden Befehl, um die Überwachungsebene auf Ausführlich zu konfigurieren:

Set-AdfsProperties -AuditLevel Verbose

Konfigurieren der Überwachung in AD CS

Wenn Sie mit einem dedizierten Server arbeiten, auf dem Active Directory Certificate Services (AD CS) konfiguriert ist, konfigurieren Sie die Überwachung wie folgt, um dedizierte Warnungen und Berichte zur Sicherheitsbewertung anzuzeigen:

  1. Erstellen Sie eine Gruppenrichtlinie, die auf Ihren AD CS-Server angewendet werden soll. Bearbeiten Sie sie, und konfigurieren Sie die folgenden Überwachungseinstellungen:

    1. Wechseln Sie zu Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\Objektzugriff\Zertifizierungsdienste überwachen.

    2. Aktivieren Sie die Kontrollkästchen, um Überwachungsereignisse für Erfolg und Fehler zu konfigurieren.

      Screenshot: Konfigurieren von Überwachungsereignissen für Active Directory-Zertifikatdienste im Gruppenrichtlinie Management Editor

  2. Konfigurieren Sie die Überwachung auf der Zertifizierungsstelle mit einer der folgenden Methoden:

    • Um die Überwachung der Zertifizierungsstelle über die Befehlszeile zu konfigurieren, führen Sie Folgendes aus:

      certutil –setreg CA\AuditFilter 127 


net stop certsvc && net start certsvc

    • So konfigurieren Sie die Überwachung der Zertifizierungsstelle mithilfe der grafischen Benutzeroberfläche:

      1. Wählen Sie Zertifizierungsstelle starten>(MMC Desktop-Anwendung) aus. Klicken Sie mit der rechten Maustaste auf den Namen Ihrer Zertifizierungsstelle, und wählen Sie Eigenschaften aus.

        Screenshot des Dialogfelds

      2. Wählen Sie die Registerkarte Überwachung aus, wählen Sie alle Ereignisse aus, die Sie überwachen möchten, und wählen Sie dann Anwenden aus.

        Screenshot der Registerkarte

Hinweis

Das Konfigurieren der Ereignisüberwachung "Active Directory-Zertifikatdienste starten und beenden " kann zu Neustartverzögerungen führen, wenn Sie mit einer großen AD CS-Datenbank arbeiten. Ziehen Sie in Betracht, irrelevante Einträge aus der Datenbank zu entfernen. Alternativ können Sie diesen bestimmten Ereignistyp nicht aktivieren.

Konfigurieren der Überwachung auf Microsoft Entra Connect

So konfigurieren Sie die Überwachung auf Microsoft Entra Connect-Servern:

  • Erstellen Sie eine Gruppenrichtlinie, die auf Ihre Microsoft Entra Connect-Server angewendet werden soll. Bearbeiten Sie sie, und konfigurieren Sie die folgenden Überwachungseinstellungen:

    1. Wechseln Sie zu Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\Anmelde-/Abmelden\Audit-Anmeldung.

    2. Aktivieren Sie die Kontrollkästchen, um Überwachungsereignisse für Erfolg und Fehler zu konfigurieren.

Screenshot: Gruppenrichtlinie Management Editor

Konfigurieren der Überwachung für den Konfigurationscontainer

Hinweis

Die Überwachung des Konfigurationscontainers ist nur für Umgebungen erforderlich, die derzeit oder zuvor über Microsoft Exchange verfügen, da sich in diesen Umgebungen ein Exchange-Container im Konfigurationsabschnitt der Domäne befindet.

Verwandtes Integritätsproblem:Die Überwachung für den Konfigurationscontainer ist nicht nach Bedarf aktiviert.

  1. Öffnen Sie das ADSI-Bearbeitungstool. Wählen Sie Ausführung starten> aus, geben Sie einADSIEdit.msc, und wählen Sie dann OK aus.

  2. Wählen Sie im Menü Aktion die Option Verbinden mit aus.

  3. Wählen Sie im Dialogfeld Verbindungseinstellungen unter Bekannte Benennungskontext auswählendie Option Konfiguration>OK aus.

  4. Erweitern Sie den Konfigurationscontainer , um den Knoten Konfiguration anzuzeigen, der mit "CN=Configuration,DC=..." beginnt.

  5. Klicken Sie mit der rechten Maustaste auf den Knoten Konfiguration , und wählen Sie Eigenschaften aus.

    Screenshot der Auswahl zum Öffnen von Eigenschaften für den Konfigurationsknoten.

  6. Wählen Sie die Registerkarte Sicherheit und dann Erweitert aus.

  7. Wählen Sie unter Erweiterte Sicherheitseinstellungen die Registerkarte Überwachung und dann Hinzufügen aus.

  8. Wählen Sie Prinzipal auswählen aus.

  9. Geben Sie unter Geben Sie den auszuwählenden Objektnamen ein die Zeichenfolge Jeder ein. Wählen Sie dann Namen>überprüfen OK aus.

  10. Anschließend kehren Sie zu Überwachungseintrag zurück. Treffen Sie die folgende Auswahl:

    • Wählen Sie unter Typ die Option Alle aus.
    • Wählen Sie unter Gilt für die Option Dieses Objekt und alle nachfolgerfähigen Objekte aus.
    • Scrollen Sie unter Berechtigungen nach unten, und wählen Sie Alle löschen aus. Scrollen Sie nach oben, und wählen Sie Alle Eigenschaften schreiben aus.

    Screenshot der Überwachungseinstellungen für den Konfigurationscontainer.

  11. Wählen Sie OK aus.

Aktualisieren von Legacykonfigurationen

Defender for Identity erfordert keine Protokollierung von 1644-Ereignissen mehr. Wenn Sie eine der folgenden Einstellungen aktiviert haben, können Sie sie aus der Registrierung entfernen.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Verwandte Inhalte

Weitere Informationen finden Sie unter:

Nächster Schritt

Was sind Defender for Identity-Rollen und -Berechtigungen?