Konfigurera granskningsprinciper för Windows-händelseloggar
För att förbättra identifieringar och samla in mer information om användaråtgärder som NTLM-inloggningar och ändringar i säkerhetsgrupper förlitar sig Microsoft Defender för identitet på specifika poster i Windows-händelseloggar. Korrekt konfiguration av inställningar för avancerad granskningsprincip på dina domänkontrollanter är avgörande för att undvika luckor i händelseloggarna och ofullständig Defender för identitetstäckning.
I den här artikeln beskrivs hur du konfigurerar inställningar för avancerad granskningsprincip efter behov för en Defender för identitetssensor. Den beskriver även andra konfigurationer för specifika händelsetyper.
Defender for Identity genererar hälsoproblem för var och en av dessa scenarier om de identifieras. Mer information finns i Microsoft Defender för identitetshälsa.
Förutsättningar
- Innan du kör PowerShell-kommandon för Defender for Identity måste du ladda ned PowerShell-modulen Defender for Identity.
Generera en rapport över aktuella konfigurationer via PowerShell
Innan du börjar skapa nya händelse- och granskningsprinciper rekommenderar vi att du kör följande PowerShell-kommando för att generera en rapport över dina aktuella domänkonfigurationer:
New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]
I kommandot ovan:
Path
anger sökvägen för att spara rapporterna till.Mode
anger om du vill användaDomain
ellerLocalMachine
läge. IDomain
läge samlas inställningarna in från grupprincip objekt (GPO). ILocalMachine
läget samlas inställningarna in från den lokala datorn.OpenHtmlReport
öppnar HTML-rapporten när rapporten har genererats.
Om du till exempel vill generera en rapport och öppna den i standardwebbläsaren kör du följande kommando:
New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport
Mer information finns i PowerShell-referensen för DefenderforIdentity.
Dricks
Lägesrapporten Domain
innehåller endast konfigurationer som angetts som grupprinciper på domänen. Om du har inställningar som definierats lokalt på domänkontrollanterna rekommenderar vi att du även kör skriptet Test-MdiReadiness.ps1 .
Konfigurera granskning för domänkontrollanter
Uppdatera dina inställningar för avancerad granskningsprincip och extra konfigurationer för specifika händelser och händelsetyper, till exempel användare, grupper, datorer med mera. Granskningskonfigurationer för domänkontrollanter omfattar:
- Avancerade inställningar för granskningsprinciper
- NTLM-granskning
- Granskning av domänobjekt
Mer information finns i Vanliga frågor och svar om avancerad säkerhetsgranskning.
Använd följande procedurer för att konfigurera granskning på de domänkontrollanter som du använder med Defender för identitet.
Konfigurera inställningar för avancerad granskningsprincip från användargränssnittet
Den här proceduren beskriver hur du ändrar domänkontrollantens inställningar för avancerad granskningsprincip efter behov för Defender för identitet via användargränssnittet.
Relaterat hälsoproblem: Avancerad granskning i Directory Services är inte aktiverat efter behov
Så här konfigurerar du inställningar för avancerad granskningsprincip:
Logga in på servern som domänadministratör.
Öppna grupprincip Management Editor från Serverhanteraren> Tools> grupprincip Management.
Expandera Organisationsenheter för domänkontrollanter, högerklicka på Standardprincip för domänkontrollanter och välj sedan Redigera.
Kommentar
Använd principen Standarddomänkontrollanter eller ett dedikerat grupprincipobjekt för att ange dessa principer.
I fönstret som öppnas går du till Datorkonfigurationsprinciper>>Säkerhetsinställningar för Windows-inställningar.> Gör följande beroende på vilken princip du vill aktivera:
Gå till Konfigurationsprinciper för avancerad>granskningsprincip.
Under Granskningsprinciper redigerar du var och en av följande principer och väljer Konfigurera följande granskningshändelser för både lyckade och misslyckade händelser.
Granskningsprincip Underkategori Utlöser händelse-ID:t Kontoinloggning Granska validering av autentiseringsuppgifter 4776 Kontohantering Granska kontohantering för datorer* 4741, 4743 Kontohantering Granska hantering av distributionsgrupp* 4753, 4763 Kontohantering Granska hantering av säkerhetsgrupper* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758 Kontohantering Granska hantering av användarkonton 4726 DS-åtkomst Granska katalogtjänständringar* 5136 System Granska säkerhetssystemtillägg* 7045 DS-åtkomst Granska katalogtjänståtkomst 4662 – För den här händelsen måste du även konfigurera granskning av domänobjekt. Kommentar
* Antecknade underkategorier stöder inte felhändelser. Vi rekommenderar dock att du lägger till dem i granskningssyfte om de implementeras i framtiden. Mer information finns i Granska hantering av datorkonton, Hantering av säkerhetsgrupper och Systemtillägg för granskningssäkerhet.
Om du till exempel vill konfigurera hantering av granskningssäkerhetsgrupp under Kontohantering dubbelklickar du på Hantering av granskningssäkerhetsgrupp och väljer sedan Konfigurera följande granskningshändelser för både lyckade och misslyckade händelser.
Från en upphöjd kommandotolk anger du
gpupdate
.När du har tillämpat principen via grupprincipobjektet följer du att de nya händelserna visas i Loggboken under Windows Logs>Security.
Kör följande kommando för att testa granskningsprinciperna från kommandoraden:
auditpol.exe /get /category:*
Mer information finns i referensdokumentationen för auditpol.
Konfigurera inställningar för avancerad granskningsprincip med hjälp av PowerShell
Följande åtgärder beskriver hur du ändrar domänkontrollantens inställningar för avancerad granskningsprincip efter behov för Defender för identitet med hjälp av PowerShell.
Relaterat hälsoproblem: Avancerad granskning i Directory Services är inte aktiverat efter behov
Om du vill konfigurera inställningarna kör du:
Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]
I kommandot ovan:
Mode
anger om du vill användaDomain
ellerLocalMachine
läge. IDomain
läget samlas inställningarna in från de grupprincip objekten. ILocalMachine
läget samlas inställningarna in från den lokala datorn.Configuration
anger vilken konfiguration som ska anges. AnvändAll
för att ange alla konfigurationer.CreateGpoDisabled
anger om grupprincipobjekten skapas och behålls som inaktiverade.SkipGpoLink
anger att GPO-länkar inte skapas.Force
anger att konfigurationen är inställd eller att grupprincipobjekt skapas utan att det aktuella tillståndet verifieras.
Om du vill visa granskningsprinciperna Get-MDIConfiguration
använder du kommandot för att visa aktuella värden:
Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>
I kommandot ovan:
Mode
anger om du vill användaDomain
ellerLocalMachine
läge. IDomain
läget samlas inställningarna in från de grupprincip objekten. ILocalMachine
läget samlas inställningarna in från den lokala datorn.Configuration
anger vilken konfiguration som ska hämtas. AnvändAll
för att hämta alla konfigurationer.
Om du vill testa granskningsprinciperna Test-MDIConfiguration
använder du kommandot för att få ett true
eller false
svar på om värdena är korrekt konfigurerade:
Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>
I kommandot ovan:
Mode
anger om du vill användaDomain
ellerLocalMachine
läge. IDomain
läget samlas inställningarna in från de grupprincip objekten. ILocalMachine
läget samlas inställningarna in från den lokala datorn.Configuration
anger vilken konfiguration som ska testas. AnvändAll
för att testa alla konfigurationer.
Mer information finns i följande DefenderForIdentity PowerShell-referenser:
Konfigurera NTLM-granskning
I det här avsnittet beskrivs de extra konfigurationssteg som du behöver för att granska Windows-händelse 8004.
Kommentar
- Domängruppsprinciper för att samla in Windows-händelse 8004 ska endast tillämpas på domänkontrollanter.
- När en Defender for Identity-sensor parsar Windows-händelse 8004 berikas NTLM-autentiseringsaktiviteterna för Defender för identitet med serveranvända data.
Relaterat hälsoproblem: NTLM-granskning är inte aktiverat
Så här konfigurerar du NTLM-granskning:
När du har konfigurerat dina inledande inställningar för avancerad granskningsprincip (via användargränssnittet eller PowerShell) öppnar du grupprincip Management. Gå sedan till Säkerhetsalternativ för lokala principer för standarddomänkontrollanter>>.
Konfigurera de angivna säkerhetsprinciperna på följande sätt:
Inställning för säkerhetsprincip Värde Nätverkssäkerhet: Begränsa NTLM: Utgående NTLM-trafik till fjärrservrar Granska alla Nätverkssäkerhet: Begränsa NTLM: Granska NTLM-autentisering i den här domänen Aktivera alla Nätverkssäkerhet: Begränsa NTLM: Granska inkommande NTLM-trafik Aktivera granskning för alla konton
Om du till exempel vill konfigurera utgående NTLM-trafik till fjärrservrar dubbelklickar du på Nätverkssäkerhet under Säkerhetsalternativ: Begränsa NTLM: Utgående NTLM-trafik till fjärrservrar och väljer sedan Granska alla.
Konfigurera granskning av domänobjekt
Om du vill samla in händelser för objektändringar, till exempel för händelse 4662, måste du även konfigurera objektgranskning på användaren, gruppen, datorn och andra objekt. Följande procedur beskriver hur du aktiverar granskning i Active Directory-domänen.
Viktigt!
Granska och granska dina principer (via användargränssnittet eller PowerShell) innan du aktiverar händelseinsamling för att säkerställa att domänkontrollanterna är korrekt konfigurerade för att registrera nödvändiga händelser. Om den här granskningsfunktionen är korrekt konfigurerad bör den ha en minimal effekt på serverprestandan.
Relaterat hälsoproblem: Objektgranskning i Directory Services är inte aktiverat efter behov
Så här konfigurerar du granskning av domänobjekt:
Gå till Active Directory - användare och datorer-konsolen.
Välj den domän som du vill granska.
Välj menyn Visa och välj sedan Avancerade funktioner.
Högerklicka på domänen och välj Egenskaper.
Gå till fliken Säkerhet och välj sedan Avancerat.
I Avancerade säkerhetsinställningar väljer du fliken Granskning och väljer sedan Lägg till.
Välj Välj ett huvudnamn.
Under Ange det objektnamn som ska väljas anger du Alla. Välj sedan Kontrollera namn>OK.
Sedan återgår du till Granskningspost. Gör följande val:
För Typ väljer du Lyckades.
För Gäller för väljer du Underordnade användarobjekt.
Under Behörigheter rullar du ned och väljer knappen Rensa alla .
Rulla tillbaka och välj Fullständig kontroll. Alla behörigheter har valts.
Avmarkera markeringen för behörigheterna Listinnehåll, Läs alla egenskaper och Läs behörigheter och välj sedan OK. Det här steget anger alla egenskapsinställningar till Skriv.
Nu visas alla relevanta ändringar i katalogtjänster som 4662-händelser när de utlöses.
Upprepa stegen i den här proceduren, men för Gäller för väljer du följande objekttyper:
- Underordnade gruppobjekt
- Underordnade datorobjekt
- Underordnade msDS-GroupManagedServiceAccount-objekt
- Underordnade msDS-ManagedServiceAccount-objekt
Kommentar
Det skulle också fungera att tilldela granskningsbehörigheterna för Alla underordnade objekt , men du behöver bara de objekttyper som beskrivs i det sista steget.
Konfigurera granskning på AD FS
Relaterat hälsoproblem: Granskning av AD FS-containern är inte aktiverat efter behov
Så här konfigurerar du granskning på Active Directory Federation Services (AD FS) (AD FS):
Gå till Active Directory - användare och datorer-konsolen och välj den domän där du vill aktivera loggarna.
Gå till Programdata>Microsoft>ADFS.
Högerklicka på ADFS och välj Egenskaper.
Gå till fliken Säkerhet och välj Avancerade>avancerade säkerhetsinställningar. Gå sedan till fliken Granskning och välj Lägg till>Välj ett huvudnamn.
Under Ange det objektnamn som ska väljas anger du Alla. Välj sedan Kontrollera namn>OK.
Sedan återgår du till Granskningspost. Gör följande val:
- För Typ väljer du Alla.
- För Gäller för väljer du Det här objektet och alla underordnade objekt.
- Under Behörigheter rullar du nedåt och väljer Rensa alla. Rulla uppåt och välj Läs alla egenskaper och Skriv alla egenskaper.
Välj OK.
Konfigurera utförlig loggning för AD FS-händelser
Sensorer som körs på AD FS-servrar måste ha granskningsnivån inställd på Utförlig för relevanta händelser. Använd till exempel följande kommando för att konfigurera granskningsnivån till Utförlig:
Set-AdfsProperties -AuditLevel Verbose
Konfigurera granskning i AD CS
Om du arbetar med en dedikerad server som har Konfigurerat Active Directory Certificate Services (AD CS) konfigurerar du granskning på följande sätt för att visa dedikerade aviseringar och rapporter om säker poäng:
Skapa en grupprincip som ska tillämpas på AD CS-servern. Redigera den och konfigurera följande granskningsinställningar:
Gå till Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Avancerad granskningsprincipkonfiguration\Granskningsprinciper\Objektåtkomst\Granskningscertifieringstjänster.
Markera kryssrutorna för att konfigurera granskningshändelser för lyckade och misslyckade.
Konfigurera granskning på certifikatutfärdare (CA) med någon av följande metoder:
Om du vill konfigurera CA-granskning med hjälp av kommandoraden kör du:
certutil –setreg CA\AuditFilter 127 net stop certsvc && net start certsvc
Så här konfigurerar du CA-granskning med hjälp av användargränssnittet:
Välj Starta>certifikatutfärdare (MMC Desktop-program). Högerklicka på certifikatmottagarens namn och välj Egenskaper.
Välj fliken Granskning , markera alla händelser som du vill granska och välj sedan Använd.
Kommentar
Om du konfigurerar start- och stoppgranskning av Active Directory Certificate Services-händelser kan det orsaka omstartsfördröjningar när du har att göra med en stor AD CS-databas. Överväg att ta bort irrelevanta poster från databasen. Alternativt kan du avstå från att aktivera den här specifika typen av händelse.
Konfigurera granskning på Microsoft Entra Connect
Så här konfigurerar du granskning på Microsoft Entra Connect-servrar:
Skapa en grupprincip som ska tillämpas på dina Microsoft Entra Connect-servrar. Redigera den och konfigurera följande granskningsinställningar:
Gå till Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Avancerad granskningsprincipkonfiguration\Granskningsprinciper\Inloggning/utloggning\Granskningsinloggning.
Markera kryssrutorna för att konfigurera granskningshändelser för lyckade och misslyckade.
Konfigurera granskning av konfigurationscontainern
Kommentar
Granskning av konfigurationscontainer är endast requried för miljöer som för närvarande har eller tidigare hade Microsoft Exchange, eftersom dessa miljöer har en Exchange-container som finns i domänens konfigurationsavsnitt.
Relaterat hälsoproblem: Granskning av konfigurationscontainern är inte aktiverat efter behov
Öppna ADSI-redigeringsverktyget. Välj Starta>körning, ange
ADSIEdit.msc
och välj sedan OK.På åtgärdsmenyn väljer du Anslut till.
I dialogrutan Anslutningsinställningar går du till Välj en välkänd namngivningskontext och väljer Konfiguration>OK.
Expandera containern Konfiguration för att visa noden Konfiguration , som börjar med "CN=Configuration,DC=...".
Högerklicka på noden Konfiguration och välj Egenskaper.
Välj fliken Säkerhet och välj sedan Avancerat.
I Avancerade säkerhetsinställningar väljer du fliken Granskning och väljer sedan Lägg till.
Välj Välj ett huvudnamn.
Under Ange det objektnamn som ska väljas anger du Alla. Välj sedan Kontrollera namn>OK.
Sedan återgår du till Granskningspost. Gör följande val:
- För Typ väljer du Alla.
- För Gäller för väljer du Det här objektet och alla underordnade objekt.
- Under Behörigheter rullar du nedåt och väljer Rensa alla. Rulla uppåt och välj Skriv alla egenskaper.
Välj OK.
Uppdatera äldre konfigurationer
Defender for Identity kräver inte längre loggning av 1644-händelser. Om du har aktiverat någon av följande inställningar kan du ta bort dem från registret.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001
Relaterat innehåll
Mer information finns i:
- Händelsesamling med Microsoft Defender för identitet
- Windows-säkerhetsgranskning
- Avancerade säkerhetsgranskningsprinciper