Dela via


Konfigurera granskningsprinciper för Windows-händelseloggar

För att förbättra identifieringar och samla in mer information om användaråtgärder som NTLM-inloggningar och ändringar i säkerhetsgrupper förlitar sig Microsoft Defender för identitet på specifika poster i Windows-händelseloggar. Korrekt konfiguration av inställningar för avancerad granskningsprincip på dina domänkontrollanter är avgörande för att undvika luckor i händelseloggarna och ofullständig Defender för identitetstäckning.

I den här artikeln beskrivs hur du konfigurerar inställningar för avancerad granskningsprincip efter behov för en Defender för identitetssensor. Den beskriver även andra konfigurationer för specifika händelsetyper.

Defender for Identity genererar hälsoproblem för var och en av dessa scenarier om de identifieras. Mer information finns i Microsoft Defender för identitetshälsa.

Förutsättningar

  • Innan du kör PowerShell-kommandon för Defender for Identity måste du ladda ned PowerShell-modulen Defender for Identity.

Generera en rapport över aktuella konfigurationer via PowerShell

Innan du börjar skapa nya händelse- och granskningsprinciper rekommenderar vi att du kör följande PowerShell-kommando för att generera en rapport över dina aktuella domänkonfigurationer:

New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]

I kommandot ovan:

  • Path anger sökvägen för att spara rapporterna till.
  • Mode anger om du vill använda Domain eller LocalMachine läge. I Domain läge samlas inställningarna in från grupprincip objekt (GPO). I LocalMachine läget samlas inställningarna in från den lokala datorn.
  • OpenHtmlReport öppnar HTML-rapporten när rapporten har genererats.

Om du till exempel vill generera en rapport och öppna den i standardwebbläsaren kör du följande kommando:

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

Mer information finns i PowerShell-referensen för DefenderforIdentity.

Dricks

Lägesrapporten Domain innehåller endast konfigurationer som angetts som grupprinciper på domänen. Om du har inställningar som definierats lokalt på domänkontrollanterna rekommenderar vi att du även kör skriptet Test-MdiReadiness.ps1 .

Konfigurera granskning för domänkontrollanter

Uppdatera dina inställningar för avancerad granskningsprincip och extra konfigurationer för specifika händelser och händelsetyper, till exempel användare, grupper, datorer med mera. Granskningskonfigurationer för domänkontrollanter omfattar:

Mer information finns i Vanliga frågor och svar om avancerad säkerhetsgranskning.

Använd följande procedurer för att konfigurera granskning på de domänkontrollanter som du använder med Defender för identitet.

Konfigurera inställningar för avancerad granskningsprincip från användargränssnittet

Den här proceduren beskriver hur du ändrar domänkontrollantens inställningar för avancerad granskningsprincip efter behov för Defender för identitet via användargränssnittet.

Relaterat hälsoproblem: Avancerad granskning i Directory Services är inte aktiverat efter behov

Så här konfigurerar du inställningar för avancerad granskningsprincip:

  1. Logga in på servern som domänadministratör.

  2. Öppna grupprincip Management Editor från Serverhanteraren> Tools> grupprincip Management.

  3. Expandera Organisationsenheter för domänkontrollanter, högerklicka på Standardprincip för domänkontrollanter och välj sedan Redigera.

    Skärmbild av fönstret för redigering av standardprincipen för domänkontrollanter.

    Kommentar

    Använd principen Standarddomänkontrollanter eller ett dedikerat grupprincipobjekt för att ange dessa principer.

  4. I fönstret som öppnas går du till Datorkonfigurationsprinciper>>Säkerhetsinställningar för Windows-inställningar.> Gör följande beroende på vilken princip du vill aktivera:

    1. Gå till Konfigurationsprinciper för avancerad>granskningsprincip.

      Skärmbild av val för att öppna granskningsprinciper.

    2. Under Granskningsprinciper redigerar du var och en av följande principer och väljer Konfigurera följande granskningshändelser för både lyckade och misslyckade händelser.

      Granskningsprincip Underkategori Utlöser händelse-ID:t
      Kontoinloggning Granska validering av autentiseringsuppgifter 4776
      Kontohantering Granska kontohantering för datorer* 4741, 4743
      Kontohantering Granska hantering av distributionsgrupp* 4753, 4763
      Kontohantering Granska hantering av säkerhetsgrupper* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Kontohantering Granska hantering av användarkonton 4726
      DS-åtkomst Granska katalogtjänständringar* 5136
      System Granska säkerhetssystemtillägg* 7045
      DS-åtkomst Granska katalogtjänståtkomst 4662 – För den här händelsen måste du även konfigurera granskning av domänobjekt.

      Kommentar

      * Antecknade underkategorier stöder inte felhändelser. Vi rekommenderar dock att du lägger till dem i granskningssyfte om de implementeras i framtiden. Mer information finns i Granska hantering av datorkonton, Hantering av säkerhetsgrupper och Systemtillägg för granskningssäkerhet.

      Om du till exempel vill konfigurera hantering av granskningssäkerhetsgrupp under Kontohantering dubbelklickar du på Hantering av granskningssäkerhetsgrupp och väljer sedan Konfigurera följande granskningshändelser för både lyckade och misslyckade händelser.

      Skärmbild av dialogrutan Egenskaper för hantering av säkerhetsgrupper.

  5. Från en upphöjd kommandotolk anger du gpupdate.

  6. När du har tillämpat principen via grupprincipobjektet följer du att de nya händelserna visas i Loggboken under Windows Logs>Security.

Kör följande kommando för att testa granskningsprinciperna från kommandoraden:

auditpol.exe /get /category:*

Mer information finns i referensdokumentationen för auditpol.

Konfigurera inställningar för avancerad granskningsprincip med hjälp av PowerShell

Följande åtgärder beskriver hur du ändrar domänkontrollantens inställningar för avancerad granskningsprincip efter behov för Defender för identitet med hjälp av PowerShell.

Relaterat hälsoproblem: Avancerad granskning i Directory Services är inte aktiverat efter behov

Om du vill konfigurera inställningarna kör du:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

I kommandot ovan:

  • Mode anger om du vill använda Domain eller LocalMachine läge. I Domain läget samlas inställningarna in från de grupprincip objekten. I LocalMachine läget samlas inställningarna in från den lokala datorn.
  • Configuration anger vilken konfiguration som ska anges. Använd All för att ange alla konfigurationer.
  • CreateGpoDisabled anger om grupprincipobjekten skapas och behålls som inaktiverade.
  • SkipGpoLink anger att GPO-länkar inte skapas.
  • Force anger att konfigurationen är inställd eller att grupprincipobjekt skapas utan att det aktuella tillståndet verifieras.

Om du vill visa granskningsprinciperna Get-MDIConfiguration använder du kommandot för att visa aktuella värden:

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

I kommandot ovan:

  • Mode anger om du vill använda Domain eller LocalMachine läge. I Domain läget samlas inställningarna in från de grupprincip objekten. I LocalMachine läget samlas inställningarna in från den lokala datorn.
  • Configuration anger vilken konfiguration som ska hämtas. Använd All för att hämta alla konfigurationer.

Om du vill testa granskningsprinciperna Test-MDIConfiguration använder du kommandot för att få ett true eller false svar på om värdena är korrekt konfigurerade:

Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

I kommandot ovan:

  • Mode anger om du vill använda Domain eller LocalMachine läge. I Domain läget samlas inställningarna in från de grupprincip objekten. I LocalMachine läget samlas inställningarna in från den lokala datorn.
  • Configuration anger vilken konfiguration som ska testas. Använd All för att testa alla konfigurationer.

Mer information finns i följande DefenderForIdentity PowerShell-referenser:

Konfigurera NTLM-granskning

I det här avsnittet beskrivs de extra konfigurationssteg som du behöver för att granska Windows-händelse 8004.

Kommentar

  • Domängruppsprinciper för att samla in Windows-händelse 8004 ska endast tillämpas på domänkontrollanter.
  • När en Defender for Identity-sensor parsar Windows-händelse 8004 berikas NTLM-autentiseringsaktiviteterna för Defender för identitet med serveranvända data.

Relaterat hälsoproblem: NTLM-granskning är inte aktiverat

Så här konfigurerar du NTLM-granskning:

  1. När du har konfigurerat dina inledande inställningar för avancerad granskningsprincip (via användargränssnittet eller PowerShell) öppnar du grupprincip Management. Gå sedan till Säkerhetsalternativ för lokala principer för standarddomänkontrollanter>>.

  2. Konfigurera de angivna säkerhetsprinciperna på följande sätt:

    Inställning för säkerhetsprincip Värde
    Nätverkssäkerhet: Begränsa NTLM: Utgående NTLM-trafik till fjärrservrar Granska alla
    Nätverkssäkerhet: Begränsa NTLM: Granska NTLM-autentisering i den här domänen Aktivera alla
    Nätverkssäkerhet: Begränsa NTLM: Granska inkommande NTLM-trafik Aktivera granskning för alla konton

Om du till exempel vill konfigurera utgående NTLM-trafik till fjärrservrar dubbelklickar du på Nätverkssäkerhet under Säkerhetsalternativ: Begränsa NTLM: Utgående NTLM-trafik till fjärrservrar och väljer sedan Granska alla.

Skärmbild av granskningskonfigurationen för utgående NTLM-trafik till fjärrservrar.

Konfigurera granskning av domänobjekt

Om du vill samla in händelser för objektändringar, till exempel för händelse 4662, måste du även konfigurera objektgranskning på användaren, gruppen, datorn och andra objekt. Följande procedur beskriver hur du aktiverar granskning i Active Directory-domänen.

Viktigt!

Granska och granska dina principer (via användargränssnittet eller PowerShell) innan du aktiverar händelseinsamling för att säkerställa att domänkontrollanterna är korrekt konfigurerade för att registrera nödvändiga händelser. Om den här granskningsfunktionen är korrekt konfigurerad bör den ha en minimal effekt på serverprestandan.

Relaterat hälsoproblem: Objektgranskning i Directory Services är inte aktiverat efter behov

Så här konfigurerar du granskning av domänobjekt:

  1. Gå till Active Directory - användare och datorer-konsolen.

  2. Välj den domän som du vill granska.

  3. Välj menyn Visa och välj sedan Avancerade funktioner.

  4. Högerklicka på domänen och välj Egenskaper.

    Skärmbild av val för att öppna containeregenskaper.

  5. Gå till fliken Säkerhet och välj sedan Avancerat.

    Skärmbild av dialogrutan för att öppna avancerade säkerhetsegenskaper.

  6. I Avancerade säkerhetsinställningar väljer du fliken Granskning och väljer sedan Lägg till.

    Skärmbild av fliken Granskning i dialogrutan Avancerade säkerhetsinställningar.

  7. Välj Välj ett huvudnamn.

    Skärmbild av knappen för att välja ett huvudnamn.

  8. Under Ange det objektnamn som ska väljas anger du Alla. Välj sedan Kontrollera namn>OK.

    Skärmbild av att ange ett objektnamn för Alla.

  9. Sedan återgår du till Granskningspost. Gör följande val:

    1. För Typ väljer du Lyckades.

    2. För Gäller för väljer du Underordnade användarobjekt.

    3. Under Behörigheter rullar du ned och väljer knappen Rensa alla .

      Skärmbild av knappen för att rensa alla behörigheter.

    4. Rulla tillbaka och välj Fullständig kontroll. Alla behörigheter har valts.

    5. Avmarkera markeringen för behörigheterna Listinnehåll, Läs alla egenskaper och Läs behörigheter och välj sedan OK. Det här steget anger alla egenskapsinställningar till Skriv.

      Skärmbild av val av behörigheter.

      Nu visas alla relevanta ändringar i katalogtjänster som 4662-händelser när de utlöses.

  10. Upprepa stegen i den här proceduren, men för Gäller för väljer du följande objekttyper:

    • Underordnade gruppobjekt
    • Underordnade datorobjekt
    • Underordnade msDS-GroupManagedServiceAccount-objekt
    • Underordnade msDS-ManagedServiceAccount-objekt

Kommentar

Det skulle också fungera att tilldela granskningsbehörigheterna för Alla underordnade objekt , men du behöver bara de objekttyper som beskrivs i det sista steget.

Konfigurera granskning på AD FS

Relaterat hälsoproblem: Granskning av AD FS-containern är inte aktiverat efter behov

Så här konfigurerar du granskning på Active Directory Federation Services (AD FS) (AD FS):

  1. Gå till Active Directory - användare och datorer-konsolen och välj den domän där du vill aktivera loggarna.

  2. Gå till Programdata>Microsoft>ADFS.

    Skärmbild av en container för Active Directory Federation Services (AD FS).

  3. Högerklicka på ADFS och välj Egenskaper.

  4. Gå till fliken Säkerhet och välj Avancerade>avancerade säkerhetsinställningar. Gå sedan till fliken Granskning och välj Lägg till>Välj ett huvudnamn.

  5. Under Ange det objektnamn som ska väljas anger du Alla. Välj sedan Kontrollera namn>OK.

  6. Sedan återgår du till Granskningspost. Gör följande val:

    • För Typ väljer du Alla.
    • För Gäller för väljer du Det här objektet och alla underordnade objekt.
    • Under Behörigheter rullar du nedåt och väljer Rensa alla. Rulla uppåt och välj Läs alla egenskaper och Skriv alla egenskaper.

    Skärmbild av granskningsinställningarna för Active Directory Federation Services (AD FS).

  7. Välj OK.

Konfigurera utförlig loggning för AD FS-händelser

Sensorer som körs på AD FS-servrar måste ha granskningsnivån inställd på Utförlig för relevanta händelser. Använd till exempel följande kommando för att konfigurera granskningsnivån till Utförlig:

Set-AdfsProperties -AuditLevel Verbose

Konfigurera granskning i AD CS

Om du arbetar med en dedikerad server som har Konfigurerat Active Directory Certificate Services (AD CS) konfigurerar du granskning på följande sätt för att visa dedikerade aviseringar och rapporter om säker poäng:

  1. Skapa en grupprincip som ska tillämpas på AD CS-servern. Redigera den och konfigurera följande granskningsinställningar:

    1. Gå till Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Avancerad granskningsprincipkonfiguration\Granskningsprinciper\Objektåtkomst\Granskningscertifieringstjänster.

    2. Markera kryssrutorna för att konfigurera granskningshändelser för lyckade och misslyckade.

      Skärmbild av hur du konfigurerar granskningshändelser för Active Directory Certificate Services i grupprincip-hanteringsredigeraren.

  2. Konfigurera granskning på certifikatutfärdare (CA) med någon av följande metoder:

    • Om du vill konfigurera CA-granskning med hjälp av kommandoraden kör du:

      certutil –setreg CA\AuditFilter 127 
      
      
      net stop certsvc && net start certsvc
      
    • Så här konfigurerar du CA-granskning med hjälp av användargränssnittet:

      1. Välj Starta>certifikatutfärdare (MMC Desktop-program). Högerklicka på certifikatmottagarens namn och välj Egenskaper.

        Skärmbild av dialogrutan Certifikatutfärdare.

      2. Välj fliken Granskning , markera alla händelser som du vill granska och välj sedan Använd.

        Skärmbild av fliken Granskning för certifikatutfärdaregenskaper.

Kommentar

Om du konfigurerar start- och stoppgranskning av Active Directory Certificate Services-händelser kan det orsaka omstartsfördröjningar när du har att göra med en stor AD CS-databas. Överväg att ta bort irrelevanta poster från databasen. Alternativt kan du avstå från att aktivera den här specifika typen av händelse.

Konfigurera granskning på Microsoft Entra Connect

Så här konfigurerar du granskning på Microsoft Entra Connect-servrar:

  • Skapa en grupprincip som ska tillämpas på dina Microsoft Entra Connect-servrar. Redigera den och konfigurera följande granskningsinställningar:

    1. Gå till Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Avancerad granskningsprincipkonfiguration\Granskningsprinciper\Inloggning/utloggning\Granskningsinloggning.

    2. Markera kryssrutorna för att konfigurera granskningshändelser för lyckade och misslyckade.

Skärmbild av grupprincip Management Editor.

Konfigurera granskning av konfigurationscontainern

Kommentar

Granskning av konfigurationscontainer är endast requried för miljöer som för närvarande har eller tidigare hade Microsoft Exchange, eftersom dessa miljöer har en Exchange-container som finns i domänens konfigurationsavsnitt.

Relaterat hälsoproblem: Granskning av konfigurationscontainern är inte aktiverat efter behov

  1. Öppna ADSI-redigeringsverktyget. Välj Starta>körning, ange ADSIEdit.mscoch välj sedan OK.

  2. På åtgärdsmenyn väljer du Anslut till.

  3. I dialogrutan Anslutningsinställningar går du till Välj en välkänd namngivningskontext och väljer Konfiguration>OK.

  4. Expandera containern Konfiguration för att visa noden Konfiguration , som börjar med "CN=Configuration,DC=...".

  5. Högerklicka på noden Konfiguration och välj Egenskaper.

    Skärmbild av val för att öppna egenskaper för noden Konfiguration.

  6. Välj fliken Säkerhet och välj sedan Avancerat.

  7. I Avancerade säkerhetsinställningar väljer du fliken Granskning och väljer sedan Lägg till.

  8. Välj Välj ett huvudnamn.

  9. Under Ange det objektnamn som ska väljas anger du Alla. Välj sedan Kontrollera namn>OK.

  10. Sedan återgår du till Granskningspost. Gör följande val:

    • För Typ väljer du Alla.
    • För Gäller för väljer du Det här objektet och alla underordnade objekt.
    • Under Behörigheter rullar du nedåt och väljer Rensa alla. Rulla uppåt och välj Skriv alla egenskaper.

    Skärmbild av granskningsinställningarna för konfigurationscontainern.

  11. Välj OK.

Uppdatera äldre konfigurationer

Defender for Identity kräver inte längre loggning av 1644-händelser. Om du har aktiverat någon av följande inställningar kan du ta bort dem från registret.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Mer information finns i:

Gå vidare