Konfigurieren von Überwachungsrichtlinien für Windows-Ereignisprotokolle
Um die Erkennung zu verbessern und weitere Informationen zu Benutzeraktionen wie NTLM-Anmeldungen und Änderungen an Sicherheitsgruppen zu sammeln, nutzt Microsoft Defender for Identity bestimmte Einträge in den Windows-Ereignisprotokollen. Die ordnungsgemäße Konfiguration erweiterter Überwachungsrichtlinieneinstellungen auf Ihren Domänencontrollern ist entscheidend, um Lücken im Ereignisprotokoll und eine unvollständige Defender for Identity-Abdeckung zu vermeiden.
In diesem Artikel wird beschrieben, wie Sie Ihre erweiterten Überwachungsrichtlinieneinstellungen nach Bedarf für einen Microsoft Defender for Identity-Sensor konfigurieren. Außerdem werden andere Konfigurationen für bestimmte Ereignistypen beschrieben.
Defender for Identity zeigt Integritätsprobleme für jedes dieser Szenarien an, wenn sie erkannt werden. Weitere Informationen finden Sie unter Was ist Microsoft Defender for Identity.
Voraussetzungen
- Stellen Sie vor dem Ausführen von PowerShell-Befehlen von Defender for Identity sicher, dass Sie das PowerShell-Modul von Defender for Identity heruntergeladen haben.
Generieren eines Berichts mit aktuellen Konfigurationen über PowerShell
Bevor Sie mit dem Erstellen neuer Ereignis- und Überwachungsrichtlinien beginnen, sollten Sie den folgenden PowerShell-Befehl ausführen, um einen Bericht ihrer aktuellen Domänenkonfigurationen zu generieren:
New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]
Für den obigen Befehl gilt Folgendes:
Path
gibt den Pfad zum Speichern der Berichte anMode
gibt an, ob Sie den Modus verwendenDomain
oderLocalMachine
verwenden möchten. Im ModusDomain
werden die Einstellungen aus den Gruppenrichtlinienobjekten (Group Policy objects, GPOs) gesammelt. Im ModusLocalMachine
werden die Einstellungen vom lokalen Computer erfasst.OpenHtmlReport
öffnet den HTML-Bericht, nachdem er generiert wurde.
Führen Sie beispielsweise den folgenden Befehl aus, um einen Bericht zu generieren und ihn in Ihrem Standardbrowser zu öffnen:
New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport
Weitere Informationen finden Sie in den DefenderForIdentity PowerShell-Verweisen.
Tipp
Der Domain
Modusbericht enthält nur Konfigurationen, die als Gruppenrichtlinien für die Domäne festgelegt sind. Wenn Sie für Ihre Domänencontroller lokale Einstellungen definiert haben, empfehlen wir, auch das Skript Test-MdiReadiness.ps1 auszuführen.
Konfigurieren der Überwachung für do Standard-Controller
Aktualisieren Sie Ihre erweiterten Überwachungsrichtlinieneinstellungen und zusätzlichen Konfigurationen für bestimmte Ereignisse und Ereignistypen, z. B. Benutzer, Gruppen, Computer usw. Überwachungskonfigurationen für Domänencontroller umfassen:
- Erweiterte Überwachungsrichtlinieneinstellungen
- NTLM-Überwachung
- Do Standard Objektüberwachung
Weitere Informationen finden Sie in den häufig gestellten Fragen zur erweiterten Sicherheitsüberwachung.
Konfigurieren Sie mit den folgenden Verfahren die Überwachung auf den Domänencontrollern, die Sie mit Defender for Identity verwenden.
Konfigurieren erweiterter Überwachungsrichtlinieneinstellungen über die Benutzeroberfläche
Mit diesem Verfahren können Sie die erweiterten Überwachungsrichtlinien des Domänencontrollers nach Bedarf für Defender for Identity über die Benutzeroberfläche ändern.
Verwandtes Integritätsproblem: Die erweiterte Überwachung von Verzeichnisdiensten ist nicht wie erforderlich aktiviert
So konfigurieren Sie die erweiterten Überwachungsrichtlinieneinstellungen
Melden Sie sich als Domänenadministrator beim Server an.
Öffnen Sie den Gruppenrichtlinienverwaltungs-Editor aus Server-Manager> Tools-Gruppenrichtlinienverwaltung.>
Erweitern Sie Domänencontroller, klicken Sie mit der rechten Maustaste auf Standard-Domänencontrollerrichtlinie, und klicken Sie dann auf Bearbeiten.
Hinweis
Verwenden Sie die Standard-Domänencontrollerrichtlinie oder ein dediziertes Gruppenrichtlinienobjekt, um diese Richtlinien festzulegen.
Wechseln Sie im geöffneten Fenster zu Computerkonfiguration>Richtlinien>Windows-Einstellungen>Sicherheitseinstellungen. Gehen Sie abhängig von der Richtlinie, die Sie aktivieren möchten, folgendermaßen vor:
Wechseln Sie zu den Überwachungsrichtlinien für erweiterte Überwachungsrichtlinienkonfigurationsrichtlinien>.
Bearbeiten Sie unter "Überwachungsrichtlinien" jede der folgenden Richtlinien, und wählen Sie "Konfigurieren der folgenden Überwachungsereignisse für Erfolgs- und Fehlerereignisse" aus.
Überwachungsrichtlinie Unterkategorie Löst Ereignis-IDs aus Kontoanmeldung Validierung der Anmeldeinformationen überwachen 4776 Kontoverwaltung Computerkontoverwaltung überwachen* 4741, 4743 Kontoverwaltung Verteilergruppenverwaltung überwachen* 4753, 4763 Kontoverwaltung Sicherheitsgruppenverwaltung überwachen* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758 Kontoverwaltung Benutzerkontenverwaltung überwachen 4726 DS-Zugriff Verzeichnisdienständerungen überwachen* 5136 System Sicherheitssystemerweiterung überwachen* 7045 DS-Zugriff Verzeichnisdienstzugriff überwachen 4662 – Für dieses Ereignis müssen Sie auch die Objektüberwachung konfigurieren Standard. Hinweis
* Angegebene Unterkategorien unterstützen keine Fehlerereignisse. Es wird jedoch empfohlen, sie für Überwachungszwecke hinzuzufügen, falls sie in Zukunft implementiert werden. Weitere Informationen finden Sie unter Computerkontoverwaltung überwachen, Sicherheitsgruppenverwaltung überwachen und Sicherheitssystemerweiterung überwachen.
Um beispielsweise Sicherheitsgruppenverwaltung überwachen zu konfigurieren, doppelklicken Sie unter Kontoverwaltung auf Sicherheitsgruppenverwaltung überwachen, und wählen Sie dann Folgende Überwachungsereignisse konfigurieren für Erfolgreiche und Fehlgeschlagene Ereignisse.
Führen Sie an einer Eingabeaufforderung mit erhöhten Rechten Folgendes aus:
gpupdate
.Nachdem Sie die Richtlinie über das Gruppenrichtlinienobjekt angewendet haben, werden die neuen Ereignisse in der Ereignisanzeige unter Windows-Protokolle>Sicherheit angezeigt.
Führen Sie den folgenden Befehl aus, um Ihre Überwachungsrichtlinien über die Befehlszeile zu testen:
auditpol.exe /get /category:*
Weitere Informationen finden Sie in der auditpol-Referenzdokumentation.
Konfigurieren erweiterter Überwachungsrichtlinieneinstellungen mithilfe von PowerShell
Die folgenden Aktionen beschreiben, wie Sie die erweiterten Überwachungsrichtlinien des Domänencontrollers nach Bedarf für Defender for Identity mithilfe von PowerShell ändern.
Verwandtes Integritätsproblem: Die erweiterte Überwachung von Verzeichnisdiensten ist nicht wie erforderlich aktiviert
Führen Sie Folgendes aus, um die Einstellungen zu konfigurieren:
Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]
Für den obigen Befehl gilt Folgendes:
Mode
gibt an, ob Sie den Modus verwendenDomain
oderLocalMachine
verwenden möchten. Im ModusDomain
werden die Einstellungen aus den Gruppenrichtlinienobjekten gesammelt. Im ModusLocalMachine
werden die Einstellungen vom lokalen Computer erfasst.Configuration
gibt an, welche Konfiguration festgelegt werden soll. Verwenden SieAll
, um alle Konfigurationen festzulegen.CreateGpoDisabled
gibt an, ob die GPOs erstellt und als deaktiviert beibehalten werden.SkipGpoLink
gibt an, dass GPO-Links nicht erstellt werden.Force
gibt an, dass die Konfiguration festgelegt oder GPOs erstellt werden, ohne den aktuellen Zustand zu überprüfen.
Zeigen Sie die Überwachungsrichtlinien mit dem Befehl Get-MDIConfiguration
an, um die aktuellen Werte zu sehen:
Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>
Für den obigen Befehl gilt Folgendes:
Mode
gibt an, ob Sie den Modus verwendenDomain
oderLocalMachine
verwenden möchten. Im ModusDomain
werden die Einstellungen aus den Gruppenrichtlinienobjekten gesammelt. Im ModusLocalMachine
werden die Einstellungen vom lokalen Computer erfasst.Configuration
gibt an, welche Konfiguration abgerufen werden soll. Verwenden SieAll
, um alle Konfigurationen abzurufen.
Testen Sie die Überwachungsrichtlinien mit dem Befehl Test-MDIConfiguration
, sodass true
oder false
zurückgegeben wird und Sie sehen, ob die Werte ordnungsgemäß konfiguriert sind:
Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>
Für den obigen Befehl gilt Folgendes:
Mode
gibt an, ob Sie den Modus verwendenDomain
oderLocalMachine
verwenden möchten. Im ModusDomain
werden die Einstellungen aus den Gruppenrichtlinienobjekten gesammelt. Im ModusLocalMachine
werden die Einstellungen vom lokalen Computer erfasst.Configuration
gibt an, welche Konfiguration getestet werden soll. Verwenden SieAll
, um alle Konfigurationen zu testen.
Weitere Informationen finden Sie in den folgenden DefenderForIdentity PowerShell-Verweisen:
Konfigurieren der Überwachung
In diesem Abschnitt werden die zusätzlichen Konfigurationsschritte beschrieben, die Sie zum Überwachen des Windows-Ereignisses 8004 benötigen.
Hinweis
- Domänengruppenrichtlinien zum Sammeln von Windows-Ereignis 8004 sollten nur auf Domänencontroller angewendet werden.
- Wenn Windows-Ereignis 8004 von einem Defender for Identity-Sensor analysiert wird, werden die NTLM-Authentifizierungsaktivitäten von Defender for Identity mit den Serverzugriffsdaten erweitert.
Verwandtes Integritätsproblem: NTLM-Überwachung ist nicht aktiviert
Konfigurieren der So konfigurieren Sie die NTLM-Überwachung:
Nachdem Sie ihre anfänglichen Einstellungen für erweiterte Überwachungsrichtlinien (über die Benutzeroberfläche oder PowerShell), öffnen Sie die Gruppenrichtlinienverwaltung. Wechseln Sie zu Standardmäßige Domänencontrollerrichtlinie>Lokale Richtlinien>Sicherheitsoptionen.
Konfigurieren Sie die angegebenen Sicherheitsrichtlinien wie folgt:
Sicherheitsrichtlinieneinstellungen Wert Netzwerksicherheit: Beschränken von NTLM: Ausgehender NTLM-Datenverkehr zu Remoteservern Alle überwachen Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne überwachen Alle aktivieren Netzwerksicherheit: Beschränken von NTLM: Eingehenden NTLM-Datenverkehr überwachen Aktivieren der Überwachung für alle Konten
Um beispielsweise Ausgehenden NTLM-Datenverkehr auf Remoteserver zu konfigurieren doppelklicken Sie unter Sicherheitsoptionen auf Netzwerksicherheit: Beschränken von NTLM: Ausgehender NTLM-Datenverkehr zu Remoteservern, and then select Alle überwachen.
Do Standard Objektüberwachung konfigurieren
Zum Sammeln von Ereignissen für Objektänderungen, z. B. für Ereignis 4662, müssen Sie auch die Objektüberwachung für den Benutzer, die Gruppe, den Computer und andere Objekte konfigurieren. Im folgenden Verfahren wird beschrieben, wie Sie die Überwachung in Active Directory aktivieren Standard.
Wichtig
Überprüfen und überwachen Sie Ihre Richtlinien (über Benutzeroberfläche oder PowerShell), bevor Sie die Ereignissammlung aktivieren, und stellen Sie sicher, dass die Domänencontroller zur Aufzeichnung der erforderlichen Ereignisse ordnungsgemäß konfiguriert sind. Wenn diese Überwachung ordnungsgemäß konfiguriert ist, sollte diese Überwachung minimale Auswirkungen auf die Serverleistung haben.
Verwandtes Integritätsproblem: Die Verzeichnisdienstobjektüberwachung ist nicht wie erforderlich aktiviert
So konfigurieren Sie die Überwachung von Domänenobjekten:
Schließen Sie die Konsole Active Directory-Benutzer und -Computer.
Wählen Sie die Domäne aus, die Sie überwachen möchten.
Wählen Sie Ansicht und dann Erweiterte Features aus.
Klicken Sie mit der rechten Maustaste auf die Rolle, und wählen Sie Eigenschaften aus.
Wählen Sie die Registerkarte Sicherheit aus, und klicken Sie dann auf Erweitert.
Wählen Sie in den erweiterten Sicherheitseinstellungen die Registerkarte Überwachung und dann Hinzufügen aus.
Wählen Sie Prinzipal auswählen aus.
Geben Sie unter "Geben Sie den objektnamen ein, der ausgewählt werden soll", " Jeder". Wählen Sie dann Namen überprüfen>OK aus.
Anschließend kehren Sie zu Auditing Entry zurück. Treffen Sie die folgende Auswahl:
Wählen Sie für Typ die Option Erfolg aus.
Wählen Sie im Listenfeld Gilt für die Option Nachgeordnete Benutzerobjekte aus.
Scrollen Sie unter Berechtigungen nach unten, und wählen Sie die Schaltfläche Alle löschen aus.
Scrollen Sie zurück, und wählen Sie "Vollzugriff" aus. Alle Berechtigungen sind ausgewählt.
Deaktivieren Sie die Auswahl für den Listeninhalt, Alle Eigenschaften lesen und Berechtigungen lesen, und wählen Sie dann OK aus. In diesem Schritt werden alle Einstellungen derEigenschaften auf Lesen festgelegt.
Nun werden alle relevanten Änderungen an Verzeichnisdiensten als 4662-Ereignisse angezeigt, wenn ausgelöst.
Wiederholen Sie die Schritte in diesem Verfahren, aber wählen Sie für "Gilt für" die folgenden Objekttypen aus:
- NNachfolgerelement-Gruppenobjekte
- Nachfolgerelement-Computerobjekte
- Untergeordnete msDS-GroupManagedServiceAccount-Objekte
- Untergeordnete msDS-ManagedServiceAccount-Objekte
Hinweis
Das Zuweisen der Überwachungsberechtigungen für Alle untergeordneten Objekte würde ebenfalls funktionieren, aber wir benötigen nur die Objekttypen, wie im letzten Schritt beschrieben.
Konfigurieren der Überwachung auf AD FS
Verwandtes Integritätsproblem: Die Überwachung im AD FS-Container ist nicht wie erforderlich aktiviert
Konfigurieren der Überwachung der Active Directory-Verbunddienste (AD FS):
Wechseln Sie zur Active Directory-Benutzer und -Computer-Konsole, und wählen Sie die Domäne aus, wo Sie die Protokolle aktivieren möchten.
Wechseln Sie zu "Programmdaten>microsoft>ADFS".
Klicken Sie mit der rechten Maustaste auf ADFSSSO, und wählen Sie Eigenschaften aus.
Wechseln Sie zur RegisterkarteSicherheit, und wählen Sie Erweitert>Erweiterte Sicherheitseinstellungen. Wechseln Sie dann zur Registerkarte Überwachung, und wählen Sie Hinzufügen>Prinzipal auswählen aus.
Geben Sie unter "Geben Sie den objektnamen ein, der ausgewählt werden soll", " Jeder". Wählen Sie dann Namen überprüfen>OK aus.
Anschließend kehren Sie zu Auditing Entry zurück. Treffen Sie die folgende Auswahl:
- Wählen Sie als Type (Typ) die Option All (Alle) aus.
- Legen Sie Anwenden auf auf Dieses und alle untergeordneten Objekte fest.
- Scrollen Sie unter "Berechtigungen" nach unten, und wählen Sie "Alle löschen" aus. Scrollen Sie nach oben, und wählen Sie " Alle Eigenschaften lesen" und "Alle Eigenschaften schreiben" aus.
Wählen Sie OK aus.
Konfigurieren der ausführlichen Protokollierung für AD FS-Ereignisse
Sensoren, die auf AD FS-Servern ausgeführt werden, müssen über die Überwachungsstufe "Ausführlich" für relevante Ereignisse verfügen. Verwenden Sie beispielsweise den folgenden Befehl, um die Überwachungsstufe ausführlich zu konfigurieren:
Set-AdfsProperties -AuditLevel Verbose
Konfigurieren der Überwachung auf AD CS
Wenn Sie mit einem dedizierten Server arbeiten, auf dem Active Directory-Zertifikatdienste (AD CS) konfiguriert sind, müssen Sie die Überwachung wie folgt konfigurieren, um dedizierte Warnungen und Secure Score-Berichte anzuzeigen:
Erstellen Sie eine Gruppenrichtlinie, die auf Ihren AD CS-Server angewendet werden soll. Bearbeiten Sie sie, und konfigurieren Sie die folgenden Überwachungseinstellungen:
Gehen Sie zu Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Prüfungsrichtlinienkonfiguration\Überprüfungsrichtlinien\Objektzugriff\Zertifizierungsdienste für die Prüfung, und doppelklicken Sie darauf.
Wählen Sie die Kontrollkästchen aus, um Überwachungsereignisse für Erfolg und Fehler zu konfigurieren.
Konfigurieren Sie die Überwachung auf der Zertifizierungsstelle mithilfe einer der folgenden Methoden:
Führen Sie Folgendes aus, um die Zertifizierungsstellenüberwachung mithilfe der Befehlszeile zu konfigurieren:
certutil –setreg CA\AuditFilter 127 net stop certsvc && net start certsvc
So konfigurieren Sie die Zertifizierungsstellenüberwachung mithilfe der GUI:
Wählen Sie Start>Zertifizierungsstelle (MMC Desktop-Anwendung) aus. Klicken Sie mit der rechten Maustaste auf die Datenbank, und wählen Sie Eigenschaften.
Wählen Sie die Registerkarte Überwachung aus, wählen Sie alle Ereignisse aus, die Sie überwachen möchten, und dann wählen Sie Übernehmen aus.
Hinweis
Das Konfigurieren der Start- und Stopp-Ereignisüberwachung für Active Directory Certificate Services kann zu Neustartverzögerungen führen, wenn es um eine große AD CS-Datenbank geht. Erwägen Sie, irrelevante Einträge aus der Datenbank zu entfernen. Alternativ können Sie diese bestimmte Art von Ereignis nicht aktivieren.
Konfigurieren der Überwachung auf Microsoft Entra Connect
So konfigurieren Sie die Überwachung auf Microsoft Entra Connect-Servern:
Erstellen Sie eine Gruppenrichtlinie, die auf Ihre Microsoft Entra Connect-Server angewendet werden soll. Bearbeiten Sie sie, und konfigurieren Sie die folgenden Überwachungseinstellungen:
Gehen Sie zu Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Überwachungsrichtlinien\Anmeldung/Abmeldung\Anmeldung überwachen.
Wählen Sie die Kontrollkästchen aus, um Überwachungsereignisse für Erfolg und Fehler zu konfigurieren.
Konfigurieren der Überwachung im Konfigurationscontainer
Hinweis
Die Konfigurationscontainerüberwachung wird nur für Umgebungen, die derzeit über Microsoft Exchange verfügen oder zuvor über Microsoft Exchange verfügen, zurückverlangt, da diese Umgebungen über einen Exchange-Container im Konfigurationsabschnitt der Domäne verfügen.
Verwandtes Integritätsproblem: Die Überwachung im Konfigurationscontainer ist nicht wie erforderlich aktiviert
Öffnen Sie das ADSI-Bearbeitungstool. Wählen Sie Start>Ausführen, geben Sie
ADSIEdit.msc
ein, und klicken Sie dann OK.Klicken Sie auf der Seite Aktion auf Verbindung zulassen.
Wählen Sie im Dialogfeld Verbindungseinstellungen unter Bekannten Namenskontext auswählen die Option Konfiguration>OK aus.
Erweitern Sie den Container Konfiguration, um den Knoten Konfiguration anzuzeigen, der mit "CN=Configuration,DC=..." beginnt.
Klicken Sie mit der rechten Maustaste auf den Azure AD-Connector, und wählen Sie Eigenschaften aus.
Wählen Sie die Registerkarte Sicherheit und dann Erweitert aus.
Wählen Sie in den erweiterten Sicherheitseinstellungen die Registerkarte Überwachung und dann Hinzufügen aus.
Wählen Sie Prinzipal auswählen aus.
Geben Sie unter "Geben Sie den objektnamen ein, der ausgewählt werden soll", " Jeder". Wählen Sie dann Namen überprüfen>OK aus.
Anschließend kehren Sie zu Auditing Entry zurück. Treffen Sie die folgende Auswahl:
- Wählen Sie als Type (Typ) die Option All (Alle) aus.
- Legen Sie Anwenden auf auf Dieses und alle untergeordneten Objekte fest.
- Scrollen Sie unter "Berechtigungen" nach unten, und wählen Sie "Alle löschen" aus. Scrollen Sie nach oben, und wählen Sie "Alle Eigenschaften schreiben" aus.
Wählen Sie OK aus.
Aktualisieren veralteter Konfigurationen
Defender for Identity erfordert keine Protokollierung von 1644-Ereignissen mehr. Wenn Sie eine der folgenden Einstellungen aktiviert haben, können Sie sie aus der Registrierung entfernen.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001
Zugehöriger Inhalt
Weitere Informationen finden Sie unter:
- Ereignissammlung mit Microsoft Defender for Identity
- Windows-Sicherheitsüberwachung
- Erweiterte Sicherheits- und Überwachungsrichtlinien