Partager via


Configurer des stratégies d’audit pour les journaux des événements Windows

Pour améliorer les détections et collecter plus d’informations sur les actions utilisateur telles que les connexions NTLM et les modifications de groupe de sécurité, Microsoft Defender pour Identity s’appuie sur des entrées spécifiques dans les journaux des événements Windows. Une configuration appropriée des paramètres de stratégie d’audit avancée sur vos contrôleurs de domaine est essentielle pour éviter les lacunes dans les journaux des événements et la couverture incomplète de Defender pour Identity.

Cet article explique comment configurer vos paramètres de stratégie d’audit avancé en fonction des besoins d’un capteur Defender pour Identity. Il décrit également d’autres configurations pour des types d’événements spécifiques.

Defender pour Identity génère des problèmes d’intégrité pour chacun de ces scénarios s’ils sont détectés. Pour plus d’informations, consultez Microsoft Defender pour Identity problèmes d’intégrité.

Configuration requise

Générer un rapport des configurations actuelles via PowerShell

Avant de commencer à créer des stratégies d’événement et d’audit, nous vous recommandons d’exécuter la commande PowerShell suivante pour générer un rapport de vos configurations de domaine actuelles :

New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]

Dans la commande précédente :

  • Path spécifie le chemin d’accès dans lequel enregistrer les rapports.
  • Mode spécifie si vous souhaitez utiliser Domain le mode ou LocalMachine . En Domain mode, les paramètres sont collectés à partir des objets stratégie de groupe (GPO). En LocalMachine mode, les paramètres sont collectés à partir de l’ordinateur local.
  • OpenHtmlReport ouvre le rapport HTML une fois le rapport généré.

Par exemple, pour générer un rapport et l’ouvrir dans votre navigateur par défaut, exécutez la commande suivante :

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

Pour plus d’informations, consultez la référence PowerShell DefenderforIdentity.

Conseil

Le Domain rapport de mode inclut uniquement les configurations définies en tant que stratégies de groupe sur le domaine. Si vous avez défini des paramètres localement sur vos contrôleurs de domaine, nous vous recommandons d’exécuter également le script Test-MdiReadiness.ps1 .

Configurer l’audit pour les contrôleurs de domaine

Mettez à jour vos paramètres de stratégie d’audit avancé et vos configurations supplémentaires pour des événements et des types d’événements spécifiques, tels que des utilisateurs, des groupes, des ordinateurs, etc. Les configurations d’audit pour les contrôleurs de domaine sont les suivantes :

Pour plus d’informations, consultez FAQ sur l’audit de sécurité avancé.

Utilisez les procédures suivantes pour configurer l’audit sur les contrôleurs de domaine que vous utilisez avec Defender pour Identity.

Configurer les paramètres de stratégie d’audit avancés à partir de l’interface utilisateur

Cette procédure explique comment modifier les paramètres de stratégie d’audit avancée de votre contrôleur de domaine en fonction des besoins pour Defender pour Identity via l’interface utilisateur.

Problème d’intégrité associé :L’audit avancé des services d’annuaire n’est pas activé en fonction des besoins

Pour configurer vos paramètres de stratégie d’audit avancée :

  1. Connectez-vous au serveur en tant qu’administrateur de domaine.

  2. Ouvrez le Rédacteur stratégie de groupe Management à partir de Gestionnaire de serveur>Tools>stratégie de groupe Management.

  3. Développez Unités d’organisation des contrôleurs de domaine, cliquez avec le bouton droit sur Stratégie de contrôleurs de domaine par défaut, puis sélectionnez Modifier.

    Capture d’écran du volet permettant de modifier la stratégie par défaut pour les contrôleurs de domaine.

    Remarque

    Utilisez la stratégie Contrôleurs de domaine par défaut ou un objet de stratégie de groupe dédié pour définir ces stratégies.

  4. Dans la fenêtre qui s’ouvre, accédez à Stratégies de configuration>> ordinateurParamètres Windows Paramètres>de sécurité. Selon la stratégie que vous souhaitez activer, procédez comme suit :

    1. Accédez à Advanced Audit Policy Configuration Stratégies>d’audit.

      Capture d’écran des sélections pour l’ouverture des stratégies d’audit.

    2. Sous Stratégies d’audit, modifiez chacune des stratégies suivantes et sélectionnez Configurer les événements d’audit suivants pour les événements de réussite et d’échec .

      Stratégie d’audit Sous-catégorie Déclenche les ID d’événement
      Ouverture de session au compte Auditer la validation des informations d’identification 4776
      Gestion des comptes Auditer la gestion des comptes d’ordinateur* 4741, 4743
      Gestion des comptes Auditer la gestion des groupes de distribution* 4753, 4763
      Gestion des comptes Auditer la gestion des groupes de sécurité* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Gestion des comptes Auditer la gestion des comptes d’utilisateur 4726
      Accès DS Auditer les modifications du service d’annuaire* 5136
      Système Auditer l’extension du système de sécurité* 7045
      Accès DS Auditer l’accès au service d’annuaire 4662 - Pour cet événement, vous devez également configurer l’audit des objets de domaine.

      Remarque

      * Les sous-catégories notées ne prennent pas en charge les événements d’échec. Toutefois, nous vous recommandons de les ajouter à des fins d’audit si elles sont implémentées ultérieurement. Pour plus d’informations, consultez Auditer la gestion des comptes d’ordinateur, Auditer la gestion des groupes de sécurité et Auditer l’extension du système de sécurité.

      Par exemple, pour configurer Auditer la gestion des groupes de sécurité, sous Gestion des comptes, double-cliquez sur Auditer la gestion des groupes de sécurité, puis sélectionnez Configurer les événements d’audit suivants pour les événements Réussite et Échec .

      Capture d’écran de la boîte de dialogue Auditer les propriétés de gestion des groupes de sécurité.

  5. À partir d’une invite de commandes avec élévation de privilèges, entrez gpupdate.

  6. Après avoir appliqué la stratégie via l’objet de stratégie de groupe, vérifiez que les nouveaux événements apparaissent dans le observateur d'événements, sousSécuritédes journaux> Windows.

Pour tester vos stratégies d’audit à partir de la ligne de commande, exécutez la commande suivante :

auditpol.exe /get /category:*

Pour plus d’informations, consultez la documentation de référence auditpol.

Configurer les paramètres de stratégie d’audit avancés à l’aide de PowerShell

Les actions suivantes décrivent comment modifier les paramètres de stratégie d’audit avancée de votre contrôleur de domaine en fonction des besoins de Defender pour Identity à l’aide de PowerShell.

Problème d’intégrité associé :L’audit avancé des services d’annuaire n’est pas activé en fonction des besoins

Pour configurer vos paramètres, exécutez :

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

Dans la commande précédente :

  • Mode spécifie si vous souhaitez utiliser Domain le mode ou LocalMachine . En Domain mode, les paramètres sont collectés à partir des objets stratégie de groupe. En LocalMachine mode, les paramètres sont collectés à partir de l’ordinateur local.
  • Configuration spécifie la configuration à définir. Utilisez All pour définir toutes les configurations.
  • CreateGpoDisabled spécifie si les objets de stratégie de groupe sont créés et conservés comme désactivés.
  • SkipGpoLink spécifie que les liens d’objet de stratégie de groupe ne sont pas créés.
  • Force spécifie que la configuration est définie ou que les objets de stratégie de groupe sont créés sans valider l’état actuel.

Pour afficher vos stratégies d’audit, utilisez la Get-MDIConfiguration commande pour afficher les valeurs actuelles :

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Dans la commande précédente :

  • Mode spécifie si vous souhaitez utiliser Domain le mode ou LocalMachine . En Domain mode, les paramètres sont collectés à partir des objets stratégie de groupe. En LocalMachine mode, les paramètres sont collectés à partir de l’ordinateur local.
  • Configuration spécifie la configuration à obtenir. Utilisez All pour obtenir toutes les configurations.

Pour tester vos stratégies d’audit, utilisez la Test-MDIConfiguration commande pour obtenir une true réponse ou false indiquant si les valeurs sont correctement configurées :

Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Dans la commande précédente :

  • Mode spécifie si vous souhaitez utiliser Domain le mode ou LocalMachine . En Domain mode, les paramètres sont collectés à partir des objets stratégie de groupe. En LocalMachine mode, les paramètres sont collectés à partir de l’ordinateur local.
  • Configuration spécifie la configuration à tester. Utilisez All pour tester toutes les configurations.

Pour plus d’informations, consultez les références PowerShell DefenderForIdentity suivantes :

Configurer l’audit NTLM

Cette section décrit les étapes de configuration supplémentaires dont vous avez besoin pour l’audit de l’événement Windows 8004.

Remarque

  • Les stratégies de groupe de domaine pour collecter l’événement Windows 8004 doivent être appliquées uniquement aux contrôleurs de domaine.
  • Lorsqu’un capteur Defender pour Identity analyse l’événement Windows 8004, les activités d’authentification NTLM Defender pour Identity sont enrichies avec les données consultées par le serveur.

Problème d’intégrité associé :L’audit NTLM n’est pas activé

Pour configurer l’audit NTLM :

  1. Après avoir configuré vos paramètres de stratégie d’audit avancée initiaux (via l’interface utilisateur ou PowerShell), ouvrez stratégie de groupe Management. Accédez ensuite à Stratégie de contrôleurs> de domaine par défautStratégies locales Options>de sécurité.

  2. Configurez les stratégies de sécurité spécifiées comme suit :

    Paramètre de stratégie de sécurité Valeur
    Sécurité réseau : Restreindre NTLM : trafic NTLM sortant vers des serveurs distants Auditer tout
    Sécurité réseau : Restreindre NTLM : Auditer l’authentification NTLM dans ce domaine Activer tout
    Sécurité réseau : Restreindre NTLM : auditer le trafic NTLM entrant Activer l’audit pour tous les comptes

Par exemple, pour configurer le trafic NTLM sortant vers des serveurs distants, sous Options de sécurité, double-cliquez sur Sécurité réseau : Restreindre NTLM : trafic NTLM sortant aux serveurs distants, puis sélectionnez Tout auditer.

Capture d’écran de la configuration d’audit pour le trafic NTLM sortant vers les serveurs distants.

Configurer l’audit des objets de domaine

Pour collecter des événements pour les modifications d’objet, comme pour l’événement 4662, vous devez également configurer l’audit des objets sur l’utilisateur, le groupe, l’ordinateur et d’autres objets. La procédure suivante décrit comment activer l’audit dans le domaine Active Directory.

Importante

Passez en revue et auditez vos stratégies (via l’interface utilisateur ou PowerShell) avant d’activer la collecte d’événements pour vous assurer que les contrôleurs de domaine sont correctement configurés pour enregistrer les événements nécessaires. Si cet audit est correctement configuré, il doit avoir un effet minimal sur les performances du serveur.

Problème d’intégrité associé :l’audit des objets des services d’annuaire n’est pas activé en fonction des besoins

Pour configurer l’audit des objets de domaine :

  1. Accédez à la console Utilisateurs et ordinateurs Active Directory.

  2. Sélectionnez le domaine que vous souhaitez auditer.

  3. Sélectionnez le menu Affichage , puis fonctionnalités avancées.

  4. Cliquez avec le bouton droit sur le domaine, puis sélectionnez Propriétés.

    Capture d’écran des sélections pour l’ouverture des propriétés du conteneur.

  5. Accédez à l’onglet Sécurité , puis sélectionnez Avancé.

    Capture d’écran de la boîte de dialogue permettant d’ouvrir des propriétés de sécurité avancées.

  6. Dans Paramètres de sécurité avancés, sélectionnez l’onglet Audit , puis sélectionnez Ajouter.

    Capture d’écran de l’onglet Audit dans la boîte de dialogue Paramètres de sécurité avancés.

  7. Choisissez Sélectionner un principal.

    Capture d’écran du bouton permettant de sélectionner un principal.

  8. Sous Entrez le nom de l’objet à sélectionner, entrez Tout le monde. Sélectionnez ensuite Vérifier les noms>OK.

    Capture d’écran de l’entrée d’un nom d’objet tout le monde.

  9. Vous revenez ensuite à Entrée d’audit. Effectuez les sélections suivantes :

    1. Pour Type, sélectionnez Réussite.

    2. Pour S’applique à, sélectionnez Objets utilisateur descendant.

    3. Sous Autorisations, faites défiler vers le bas et sélectionnez le bouton Effacer tout .

      Capture d’écran du bouton permettant d’effacer toutes les autorisations.

    4. Faites défiler vers le haut et sélectionnez Contrôle total. Toutes les autorisations sont sélectionnées.

    5. Désactivez la sélection pour les autorisations Lister le contenu, Lire toutes les propriétés et Autorisations de lecture , puis sélectionnez OK. Cette étape définit tous les paramètres Propriétés sur Écriture.

      Capture d’écran de la sélection des autorisations.

      Désormais, toutes les modifications pertinentes apportées aux services d’annuaire apparaissent sous la forme d’événements 4662 lorsqu’ils sont déclenchés.

  10. Répétez les étapes de cette procédure, mais pour S’applique à, sélectionnez les types d’objets suivants :

    • Objets de groupe descendants
    • Objets ordinateur descendants
    • Objets msDS-GroupManagedServiceAccount descendants
    • Objets msDS-ManagedServiceAccount descendants

Remarque

L’attribution des autorisations d’audit sur Tous les objets descendants fonctionne également, mais vous avez besoin uniquement des types d’objets détaillés à la dernière étape.

Configurer l’audit sur AD FS

Problème d’intégrité associé :l’audit sur le conteneur AD FS n’est pas activé en fonction des besoins

Pour configurer l’audit sur Services ADFS (AD FS) :

  1. Accédez à la console Utilisateurs et ordinateurs Active Directory, puis sélectionnez le domaine dans lequel vous souhaitez activer les journaux.

  2. Accédez à Program Data>Microsoft>ADFS.

    Capture d’écran d’un conteneur pour Services ADFS.

  3. Cliquez avec le bouton droit sur ADFS et sélectionnez Propriétés.

  4. Accédez à l’onglet Sécurité et sélectionnezParamètres de sécurité avancés avancés>. Ensuite, accédez à l’onglet Audit et sélectionnez Ajouter>Sélectionner un principal.

  5. Sous Entrez le nom de l’objet à sélectionner, entrez Tout le monde. Sélectionnez ensuite Vérifier les noms>OK.

  6. Vous revenez ensuite à Entrée d’audit. Effectuez les sélections suivantes :

    • Pour Type, sélectionnez Tout.
    • Pour S’applique à, sélectionnez Cet objet et tous les objets descendants.
    • Sous Autorisations, faites défiler vers le bas, puis sélectionnez Effacer tout. Faites défiler vers le haut et sélectionnez Lire toutes les propriétés et Écrire toutes les propriétés.

    Capture d’écran des paramètres d’audit pour Services ADFS.

  7. Sélectionnez OK.

Configurer la journalisation détaillée pour les événements AD FS

Le niveau d’audit des capteurs exécutés sur des serveurs AD FS doit être défini sur Verbose pour les événements pertinents. Par exemple, utilisez la commande suivante pour configurer le niveau d’audit sur Verbose :

Set-AdfsProperties -AuditLevel Verbose

Configurer l’audit sur AD CS

Si vous travaillez avec un serveur dédié sur lequel les services de certificats Active Directory (AD CS) sont configurés, configurez l’audit comme suit pour afficher les alertes dédiées et les rapports de niveau de sécurité :

  1. Créez une stratégie de groupe à appliquer à votre serveur AD CS. Modifiez-le et configurez les paramètres d’audit suivants :

    1. Accédez à Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration avancée de la stratégie d’audit\Stratégies d’audit\Accès aux objets\Audit Certification Services.

    2. Cochez les cases pour configurer les événements d’audit pour Réussite et Échec.

      Capture d’écran de la configuration des événements d’audit pour les services de certificats Active Directory dans le Rédacteur stratégie de groupe Management.

  2. Configurez l’audit sur l’autorité de certification à l’aide de l’une des méthodes suivantes :

    • Pour configurer l’audit de l’autorité de certification à l’aide de la ligne de commande, exécutez :

      certutil –setreg CA\AuditFilter 127 
      
      
      net stop certsvc && net start certsvc
      
    • Pour configurer l’audit de l’autorité de certification à l’aide de l’interface graphique utilisateur :

      1. Sélectionnez Démarrer>l’autorité de certification (application de bureau MMC). Cliquez avec le bouton droit sur le nom de votre autorité de certification, puis sélectionnez Propriétés.

        Capture d’écran de la boîte de dialogue Autorité de certification.

      2. Sélectionnez l’onglet Audit , sélectionnez tous les événements que vous souhaitez auditer, puis sélectionnez Appliquer.

        Capture d’écran de l’onglet Audit des propriétés de l’autorité de certification.

Remarque

La configuration de l’audit des événements Start and Stop Active Directory Certificate Services peut entraîner des retards de redémarrage lorsque vous avez affaire à une base de données AD CS volumineuse. Envisagez de supprimer les entrées non pertinentes de la base de données. Vous pouvez également vous abstenir d’activer ce type d’événement spécifique.

Configurer l’audit sur Microsoft Entra Connect

Pour configurer l’audit sur les serveurs Microsoft Entra Connect :

  • Créez une stratégie de groupe à appliquer à vos serveurs Microsoft Entra Connect. Modifiez-le et configurez les paramètres d’audit suivants :

    1. Accédez à Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Advanced Audit Policy Configuration\Audit Policies\Logon/Logoff\Audit Logon.

    2. Cochez les cases pour configurer les événements d’audit pour Réussite et Échec.

Capture d’écran du Rédacteur stratégie de groupe Management.

Configurer l’audit sur le conteneur de configuration

Remarque

L’audit du conteneur de configuration n’est rééquipé que pour les environnements qui ont actuellement ou précédemment utilisé Microsoft Exchange, car ces environnements ont un conteneur Exchange situé dans la section Configuration du domaine.

Problème d’intégrité associé :l’audit sur le conteneur de configuration n’est pas activé en fonction des besoins

  1. Ouvrez l’outil d’édition ADSI. Sélectionnez Démarrer>l’exécution, entrez ADSIEdit.msc, puis sélectionnez OK.

  2. Dans le menu Action , sélectionnez Se connecter à.

  3. Dans la boîte de dialogue Paramètres de connexion , sous Sélectionner un contexte d’affectation de noms connu, sélectionnez Configuration>OK.

  4. Développez le conteneur Configuration pour afficher le nœud Configuration, qui commence par « CN=Configuration,DC=... ».

  5. Cliquez avec le bouton droit sur le nœud Configuration , puis sélectionnez Propriétés.

    Capture d’écran des sélections pour les propriétés d’ouverture du nœud Configuration.

  6. Sélectionnez l’onglet Sécurité , puis sélectionnez Avancé.

  7. Dans Paramètres de sécurité avancés, sélectionnez l’onglet Audit , puis sélectionnez Ajouter.

  8. Choisissez Sélectionner un principal.

  9. Sous Entrez le nom de l’objet à sélectionner, entrez Tout le monde. Sélectionnez ensuite Vérifier les noms>OK.

  10. Vous revenez ensuite à Entrée d’audit. Effectuez les sélections suivantes :

    • Pour Type, sélectionnez Tout.
    • Pour S’applique à, sélectionnez Cet objet et tous les objets descendants.
    • Sous Autorisations, faites défiler vers le bas, puis sélectionnez Effacer tout. Faites défiler vers le haut et sélectionnez Écrire toutes les propriétés.

    Capture d’écran des paramètres d’audit pour le conteneur de configuration.

  11. Sélectionnez OK.

Mettre à jour les configurations héritées

Defender pour Identity ne nécessite plus la journalisation des événements 1644. Si l’un des paramètres suivants est activé, vous pouvez les supprimer du Registre.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Pour plus d’informations, reportez-vous aux rubriques suivantes :

Étape suivante