Konfigurowanie zasad inspekcji dla dzienników zdarzeń systemu Windows
Aby ulepszyć wykrywanie i zebrać więcej informacji na temat akcji użytkownika, takich jak logowania NTLM i zmiany grupy zabezpieczeń, usługa Microsoft Defender for Identity opiera się na określonych wpisach w dziennikach zdarzeń systemu Windows. Prawidłowa konfiguracja ustawień zaawansowanych zasad inspekcji na kontrolerach domeny ma kluczowe znaczenie dla uniknięcia luk w dziennikach zdarzeń i niekompletnego pokrycia usługi Defender for Identity.
W tym artykule opisano sposób konfigurowania ustawień zaawansowanych zasad inspekcji zgodnie z potrzebami dla czujnika usługi Defender for Identity. Opisuje również inne konfiguracje dla określonych typów zdarzeń.
Usługa Defender for Identity generuje problemy z kondycją dla każdego z tych scenariuszy, jeśli zostaną wykryte. Aby uzyskać więcej informacji, zobacz Problemy z kondycją usługi Microsoft Defender for Identity.
Wymagania wstępne
- Przed uruchomieniem poleceń programu PowerShell usługi Defender for Identity upewnij się, że pobrano moduł programu PowerShell usługi Defender for Identity.
Generowanie raportu bieżących konfiguracji za pomocą programu PowerShell
Przed rozpoczęciem tworzenia nowych zasad zdarzeń i inspekcji zalecamy uruchomienie następującego polecenia programu PowerShell w celu wygenerowania raportu bieżących konfiguracji domeny:
New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]
W powyższym poleceniu:
Path
określa ścieżkę do zapisywania raportów.Mode
określa, czy chcesz użyćDomain
trybu, czyLocalMachine
też. WDomain
trybie ustawienia są zbierane z obiektów zasad grupy (GPO). WLocalMachine
trybie ustawienia są zbierane z komputera lokalnego.OpenHtmlReport
Otwiera raport HTML po wygenerowaniu raportu.
Aby na przykład wygenerować raport i otworzyć go w domyślnej przeglądarce, uruchom następujące polecenie:
New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport
Aby uzyskać więcej informacji, zobacz artykuł DefenderforIdentity PowerShell reference (Dokumentacja programu PowerShell dla usługi DefenderforIdentity).
Napiwek
Raport Domain
trybu zawiera tylko konfiguracje ustawione jako zasady grupy w domenie. Jeśli masz ustawienia zdefiniowane lokalnie na kontrolerach domeny, zalecamy również uruchomienie skryptu Test-MdiReadiness.ps1 .
Konfigurowanie inspekcji dla kontrolerów domeny
Zaktualizuj ustawienia zaawansowanych zasad inspekcji i dodatkowe konfiguracje dla określonych zdarzeń i typów zdarzeń, takich jak użytkownicy, grupy, komputery i inne. Konfiguracje inspekcji dla kontrolerów domeny obejmują:
- Zaawansowane ustawienia zasad inspekcji
- Inspekcja NTLM
- Inspekcja obiektów domeny
Aby uzyskać więcej informacji, zobacz Advanced security auditing FAQ (Zaawansowane często zadawane pytania dotyczące inspekcji zabezpieczeń).
Skorzystaj z poniższych procedur, aby skonfigurować inspekcję na kontrolerach domeny, których używasz z usługą Defender for Identity.
Konfigurowanie zaawansowanych ustawień zasad inspekcji z poziomu interfejsu użytkownika
W tej procedurze opisano sposób modyfikowania ustawień zaawansowanych zasad inspekcji kontrolera domeny zgodnie z potrzebami dla usługi Defender for Identity za pośrednictwem interfejsu użytkownika.
Problem z kondycją związaną z usługami katalogowymi — inspekcja zaawansowana nie jest włączona zgodnie z wymaganiami
Aby skonfigurować ustawienia zaawansowanych zasad inspekcji:
Zaloguj się na serwerze jako administrator domeny.
Otwórz Edytor zarządzania zasadami grupy z Menedżer serwera> Za management zasad grupyTools.>
Rozwiń węzeł Jednostki organizacyjne kontrolerów domeny, kliknij prawym przyciskiem myszy domyślne zasady kontrolerów domeny, a następnie wybierz polecenie Edytuj.
Uwaga
Użyj domyślnych zasad kontrolerów domeny lub dedykowanego obiektu zasad grupy, aby ustawić te zasady.
W wyświetlonym oknie przejdź do pozycji Zasady>konfiguracji>komputera Ustawienia zabezpieczeń systemu>Windows. W zależności od zasad, które chcesz włączyć, wykonaj następujące czynności:
Przejdź do pozycji Zaawansowane zasady inspekcji Zasady inspekcji Zasady inspekcji Zasady inspekcji>.
W obszarze Zasady inspekcji zmodyfikuj każdą z następujących zasad i wybierz pozycję Skonfiguruj następujące zdarzenia inspekcji dla zdarzeń powodzenia i niepowodzenia.
Zasady inspekcji Podkategoria Wyzwala identyfikatory zdarzeń Logowanie do konta Sprawdzanie poprawności poświadczeń inspekcji 4776 Zarządzanie kontami Inspekcja zarządzania kontami komputerów* 4741, 4743 Zarządzanie kontami Inspekcja zarządzania grupami dystrybucyjni* 4753, 4763 Zarządzanie kontami Inspekcja zarządzania grupami zabezpieczeń* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758 Zarządzanie kontami Inspekcja zarządzania kontami użytkowników 4726 Dostęp ds Inspekcja zmian usługi katalogowej* 5136 Zadania systemowe Inspekcja rozszerzenia systemu zabezpieczeń* 7045 Dostęp ds Inspekcja dostępu do usługi katalogowej 4662 — W przypadku tego zdarzenia należy również skonfigurować inspekcję obiektów domeny. Uwaga
* Zanotowano podkategorie nie obsługują zdarzeń awarii. Zalecamy jednak dodanie ich do celów inspekcji w przypadku ich wdrożenia w przyszłości. Aby uzyskać więcej informacji, zobacz Inspekcja zarządzania kontami komputerów, Inspekcja zarządzania grupami zabezpieczeń i Inspekcja rozszerzenia systemu zabezpieczeń.
Aby na przykład skonfigurować inspekcję zarządzania grupami zabezpieczeń, w obszarze Zarządzanie kontami kliknij dwukrotnie pozycję Przeprowadź inspekcję zarządzania grupami zabezpieczeń, a następnie wybierz pozycję Skonfiguruj następujące zdarzenia inspekcji dla zdarzeń powodzenia i niepowodzenia.
W wierszu polecenia z podwyższonym poziomem uprawnień wprowadź .
gpupdate
Po zastosowaniu zasad za pośrednictwem obiektu zasad grupy zgodność z nowymi zdarzeniami wyświetlanymi w Podgląd zdarzeń w obszarze Zabezpieczenia dzienników>systemu Windows.
Aby przetestować zasady inspekcji z poziomu wiersza polecenia, uruchom następujące polecenie:
auditpol.exe /get /category:*
Aby uzyskać więcej informacji, zobacz dokumentację referencyjną auditpol.
Konfigurowanie zaawansowanych ustawień zasad inspekcji przy użyciu programu PowerShell
Poniższe akcje opisują sposób modyfikowania ustawień zaawansowanych zasad inspekcji kontrolera domeny zgodnie z potrzebami dla usługi Defender for Identity przy użyciu programu PowerShell.
Problem z kondycją związaną z usługami katalogowymi — inspekcja zaawansowana nie jest włączona zgodnie z wymaganiami
Aby skonfigurować ustawienia, uruchom polecenie:
Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]
W powyższym poleceniu:
Mode
określa, czy chcesz użyćDomain
trybu, czyLocalMachine
też. WDomain
trybie ustawienia są zbierane z obiektów zasad grupy. WLocalMachine
trybie ustawienia są zbierane z komputera lokalnego.Configuration
określa, która konfiguracja ma być ustawiona. UżyjAll
polecenia , aby ustawić wszystkie konfiguracje.CreateGpoDisabled
określa, czy obiekty zasad grupy są tworzone i przechowywane jako wyłączone.SkipGpoLink
określa, że łącza obiektu zasad grupy nie są tworzone.Force
określa, że konfiguracja jest ustawiona lub obiekty zasad grupy są tworzone bez sprawdzania poprawności bieżącego stanu.
Aby wyświetlić zasady inspekcji, użyj Get-MDIConfiguration
polecenia , aby wyświetlić bieżące wartości:
Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>
W powyższym poleceniu:
Mode
określa, czy chcesz użyćDomain
trybu, czyLocalMachine
też. WDomain
trybie ustawienia są zbierane z obiektów zasad grupy. WLocalMachine
trybie ustawienia są zbierane z komputera lokalnego.Configuration
określa, która konfiguracja ma być pobierana. Użyj poleceniaAll
, aby pobrać wszystkie konfiguracje.
Aby przetestować zasady inspekcji, użyj Test-MDIConfiguration
polecenia , aby uzyskać true
odpowiedź lub false
, czy wartości są poprawnie skonfigurowane:
Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>
W powyższym poleceniu:
Mode
określa, czy chcesz użyćDomain
trybu, czyLocalMachine
też. WDomain
trybie ustawienia są zbierane z obiektów zasad grupy. WLocalMachine
trybie ustawienia są zbierane z komputera lokalnego.Configuration
określa, która konfiguracja ma być testowa. Użyj poleceniaAll
, aby przetestować wszystkie konfiguracje.
Aby uzyskać więcej informacji, zobacz następujące odwołania do programu PowerShell defenderForIdentity:
Konfigurowanie inspekcji NTLM
W tej sekcji opisano dodatkowe kroki konfiguracji potrzebne do inspekcji zdarzenia systemu Windows 8004.
Uwaga
- Zasady grupy domeny do zbierania zdarzeń systemu Windows 8004 powinny być stosowane tylko do kontrolerów domeny.
- Gdy czujnik usługi Defender for Identity analizuje zdarzenie systemu Windows 8004, działania uwierzytelniania NTLM usługi Defender for Identity są wzbogacone o dane dostępne na serwerze.
Powiązany problem z kondycją: Inspekcja NTLM nie jest włączona
Aby skonfigurować inspekcję NTLM:
Po skonfigurowaniu początkowych ustawień zaawansowanych zasad inspekcji (za pośrednictwem interfejsu użytkownika lub programu PowerShell) otwórz pozycję Zarządzanie zasadami grupy. Następnie przejdź do pozycji Domyślne zasady kontrolerów domeny Opcje zabezpieczeń zasad>>lokalnych.
Skonfiguruj określone zasady zabezpieczeń w następujący sposób:
Ustawienie zasad zabezpieczeń Wartość Zabezpieczenia sieciowe: Ograniczanie ntLM: wychodzący ruch NTLM do serwerów zdalnych Przeprowadź inspekcję wszystkich Zabezpieczenia sieci: Ograniczanie protokołu NTLM: Inspekcja uwierzytelniania NTLM w tej domenie Włącz wszystko Zabezpieczenia sieciowe: Ogranicz ntLM: przeprowadź inspekcję przychodzącego ruchu NTLM Włączanie inspekcji dla wszystkich kont
Aby na przykład skonfigurować wychodzący ruch NTLM na serwerach zdalnych, w obszarze Opcje zabezpieczeń kliknij dwukrotnie pozycję Zabezpieczenia sieci: Ogranicz ntLM: wychodzący ruch NTLM do serwerów zdalnych, a następnie wybierz pozycję Przeprowadź inspekcję wszystkich.
Konfigurowanie inspekcji obiektów domeny
Aby zbierać zdarzenia dotyczące zmian obiektów, takich jak zdarzenie 4662, należy również skonfigurować inspekcję obiektów dla użytkownika, grupy, komputera i innych obiektów. Poniższa procedura opisuje sposób włączania inspekcji w domenie usługi Active Directory.
Ważne
Przed włączeniem zbierania zdarzeń przejrzyj i przeprowadź inspekcję zasad (za pośrednictwem interfejsu użytkownika lub programu PowerShell), aby upewnić się, że kontrolery domeny są prawidłowo skonfigurowane do rejestrowania niezbędnych zdarzeń. Jeśli ta inspekcja jest prawidłowo skonfigurowana, powinna mieć minimalny wpływ na wydajność serwera.
Powiązany problem z kondycją: Inspekcja obiektów usług katalogowych nie jest włączona zgodnie z wymaganiami
Aby skonfigurować inspekcję obiektów domeny:
Przejdź do konsoli Użytkownicy i komputery usługi Active Directory.
Wybierz domenę, którą chcesz przeprowadzić inspekcję.
Wybierz menu Widok, a następnie wybierz pozycję Funkcje zaawansowane.
Kliknij prawym przyciskiem myszy domenę i wybierz polecenie Właściwości.
Przejdź do karty Zabezpieczenia , a następnie wybierz pozycję Zaawansowane.
W obszarze Ustawienia zabezpieczeń zaawansowanych wybierz kartę Inspekcja , a następnie wybierz pozycję Dodaj.
Wybierz pozycję Wybierz podmiot zabezpieczeń.
W obszarze Wprowadź nazwę obiektu do wybrania wprowadź wartość Wszyscy. Następnie wybierz pozycję Sprawdź nazwy>OK.
Następnie wróć do pozycji Inspekcja wpisu. Wybierz następujące ustawienia:
W polu Typ wybierz pozycję Powodzenie.
W obszarze Dotyczy wybierz pozycję Obiekty użytkownika podrzędnego.
W obszarze Uprawnienia przewiń w dół i wybierz przycisk Wyczyść wszystko .
Przewiń z powrotem w górę i wybierz pozycję Pełna kontrola. Wszystkie uprawnienia są zaznaczone.
Wyczyść zaznaczenie zawartości listy, Odczytaj wszystkie właściwości i Uprawnienia do odczytu, a następnie wybierz przycisk OK. Ten krok ustawia wszystkie ustawienia właściwości na Zapis.
Teraz wszystkie istotne zmiany w usługach katalogowych są wyświetlane jako zdarzenia 4662 po ich wyzwoleniu.
Powtórz kroki opisane w tej procedurze, ale w polu Dotyczy wybierz następujące typy obiektów:
- Obiekty grupy potomnych
- Obiekty komputera podrzędnego
- Obiekty potomne msDS-GroupManagedServiceAccount
- Obiekty potomne msDS-ManagedServiceAccount
Uwaga
Przypisanie uprawnień inspekcji dla wszystkich obiektów potomnych również działa, ale potrzebne są tylko typy obiektów szczegółowo opisane w ostatnim kroku.
Konfigurowanie inspekcji w usługach AD FS
Powiązany problem z kondycją: Inspekcja kontenera usług AD FS nie jest włączona zgodnie z wymaganiami
Aby skonfigurować inspekcję w usługach Active Directory Federation Services (AD FS):
Przejdź do konsoli Użytkownicy i komputery usługi Active Directory i wybierz domenę, w której chcesz włączyć dzienniki.
Przejdź do pozycji Program Data Microsoft ADFS (Dane>programu Microsoft>ADFS).
Kliknij prawym przyciskiem myszy usługę ADFS i wybierz polecenie Właściwości.
Przejdź do karty Zabezpieczenia i wybierz pozycję Zaawansowane>ustawienia zabezpieczeń. Następnie przejdź do karty Inspekcja i wybierz pozycję Dodaj>wybierz podmiot zabezpieczeń.
W obszarze Wprowadź nazwę obiektu do wybrania wprowadź wartość Wszyscy. Następnie wybierz pozycję Sprawdź nazwy>OK.
Następnie wróć do pozycji Inspekcja wpisu. Wybierz następujące ustawienia:
- W polu Typ wybierz pozycję Wszystkie.
- W obszarze Dotyczy wybierz pozycję Ten obiekt i wszystkie obiekty potomne.
- W obszarze Uprawnienia przewiń w dół i wybierz pozycję Wyczyść wszystko. Przewiń w górę i wybierz pozycję Odczytaj wszystkie właściwości i Zapisz wszystkie właściwości.
Wybierz przycisk OK.
Konfigurowanie pełnego rejestrowania dla zdarzeń usług AD FS
Czujniki uruchomione na serwerach usług AD FS muszą mieć poziom inspekcji ustawiony na Pełne dla odpowiednich zdarzeń. Na przykład użyj następującego polecenia, aby skonfigurować poziom inspekcji na pełne:
Set-AdfsProperties -AuditLevel Verbose
Konfigurowanie inspekcji w usługach AD CS
Jeśli pracujesz z dedykowanym serwerem z skonfigurowanymi usługami certyfikatów Active Directory (AD CS), skonfiguruj inspekcję w następujący sposób, aby wyświetlić dedykowane alerty i raporty wskaźnika bezpieczeństwa:
Utwórz zasady grupy, które mają zostać zastosowane do serwera usług AD CS. Edytuj go i skonfiguruj następujące ustawienia inspekcji:
Przejdź do pozycji Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Konfiguracja zaawansowanych zasad inspekcji\Zasady inspekcji\Dostęp do obiektu\Inspekcja usług certyfikacji.
Zaznacz pola wyboru, aby skonfigurować zdarzenia inspekcji dla powodzenia i niepowodzenia.
Skonfiguruj inspekcję urzędu certyfikacji przy użyciu jednej z następujących metod:
Aby skonfigurować inspekcję urzędu certyfikacji przy użyciu wiersza polecenia, uruchom polecenie:
certutil –setreg CA\AuditFilter 127 net stop certsvc && net start certsvc
Aby skonfigurować inspekcję urzędu certyfikacji przy użyciu graficznego interfejsu użytkownika:
Wybierz pozycję Uruchom>urząd certyfikacji (aplikacja klasyczna MMC). Kliknij prawym przyciskiem myszy nazwę urzędu certyfikacji i wybierz pozycję Właściwości.
Wybierz kartę Inspekcja, wybierz wszystkie zdarzenia, które chcesz przeprowadzić inspekcję, a następnie wybierz pozycję Zastosuj.
Uwaga
Skonfigurowanie inspekcji zdarzeń uruchamiania i zatrzymywania usług certyfikatów Active Directory może spowodować opóźnienia ponownego uruchamiania w przypadku dużej bazy danych usług AD CS. Rozważ usunięcie nieistotnych wpisów z bazy danych. Alternatywnie powstrzymaj się od włączenia tego konkretnego typu zdarzenia.
Konfigurowanie inspekcji w programie Microsoft Entra Connect
Aby skonfigurować inspekcję na serwerach Microsoft Entra Connect:
Utwórz zasady grupy, które mają być stosowane do serwerów microsoft Entra Connect. Edytuj go i skonfiguruj następujące ustawienia inspekcji:
Przejdź do pozycji Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Konfiguracja zaawansowanych zasad inspekcji\Audit Policies\Logon/Logoff\Audit Logon.
Zaznacz pola wyboru, aby skonfigurować zdarzenia inspekcji dla powodzenia i niepowodzenia.
Konfigurowanie inspekcji w kontenerze konfiguracji
Uwaga
Inspekcja kontenera konfiguracji jest ponownie określana tylko dla środowisk, które mają obecnie lub wcześniej miał program Microsoft Exchange, ponieważ te środowiska mają kontener programu Exchange znajdujący się w sekcji Konfiguracja domeny.
Powiązany problem z kondycją: Inspekcja w kontenerze konfiguracji nie jest włączona zgodnie z wymaganiami
Otwórz narzędzie do edycji ADSI. Wybierz pozycję Uruchom,> wprowadź ciąg
ADSIEdit.msc
, a następnie wybierz przycisk OK.W menu Akcja wybierz pozycję Połącz z.
W oknie dialogowym Ustawienia połączenia w obszarze Wybierz dobrze znany kontekst nazewnictwa wybierz pozycję Konfiguracja>OK.
Rozwiń kontener Konfiguracji, aby wyświetlić węzeł Konfiguracja, który rozpoczyna się od "CN=Configuration,DC=...".
Kliknij prawym przyciskiem myszy węzeł Konfiguracja i wybierz polecenie Właściwości.
Wybierz kartę Zabezpieczenia , a następnie wybierz pozycję Zaawansowane.
W obszarze Ustawienia zabezpieczeń zaawansowanych wybierz kartę Inspekcja , a następnie wybierz pozycję Dodaj.
Wybierz pozycję Wybierz podmiot zabezpieczeń.
W obszarze Wprowadź nazwę obiektu do wybrania wprowadź wartość Wszyscy. Następnie wybierz pozycję Sprawdź nazwy>OK.
Następnie wróć do pozycji Inspekcja wpisu. Wybierz następujące ustawienia:
- W polu Typ wybierz pozycję Wszystkie.
- W obszarze Dotyczy wybierz pozycję Ten obiekt i wszystkie obiekty potomne.
- W obszarze Uprawnienia przewiń w dół i wybierz pozycję Wyczyść wszystko. Przewiń w górę i wybierz pozycję Zapisz wszystkie właściwości.
Wybierz przycisk OK.
Aktualizowanie starszych konfiguracji
Usługa Defender for Identity nie wymaga już rejestrowania zdarzeń 1644. Jeśli masz włączone jeden z następujących ustawień, możesz je usunąć z rejestru.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001
Powiązana zawartość
Aby uzyskać więcej informacji, zobacz:
- Zbieranie zdarzeń za pomocą usługi Microsoft Defender for Identity
- Inspekcja zabezpieczeń systemu Windows
- Zaawansowane zasady inspekcji zabezpieczeń