为 Windows 事件日志配置审核策略

若要增强检测并收集有关 NTLM 登录和安全组更改等用户操作的详细信息,Microsoft Defender for Identity 依赖于 Windows 事件日志中的特定条目。 域控制器上正确配置高级审核策略设置对于避免事件日志中的差距和不完整的 Defender for Identity 覆盖范围至关重要。

本文介绍如何根据需要为 Defender for Identity 传感器配置高级审核策略设置。 它还介绍了特定事件类型的其他配置。

如果检测到这些方案,Defender for Identity 会为每个方案生成运行状况问题。 有关详细信息,请参阅 Microsoft Defender for Identity 运行状况问题

先决条件

通过 PowerShell 生成当前配置的报表

在开始创建新的事件和审核策略之前,建议运行以下 PowerShell 命令来生成当前域配置的报表:

New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]

在上述命令中:

  • Path 指定保存报表的路径。
  • Mode 指定是要使用 Domain 还是 LocalMachine 模式。 在 Domain 模式下,从组策略对象 (GPO) 中收集这些设置。 在 LocalMachine 模式下,从本地计算机收集这些设置。
  • 生成报表后,OpenHtmlReport 将打开 HTML 报表。

例如,若要生成报表并在默认浏览器中打开报表,请运行以下命令:

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

有关详细信息,请参阅 DefenderforIdentity PowerShell 参考

提示

Domain 模式报表仅包括在域上设置为组策略的配置。 如果在域控制器上在本地定义了设置,建议同时运行 Test-MdiReadiness.ps1 脚本。

为域控制器配置审核

针对特定事件和事件类型(如用户、组、计算机等)更新高级审核策略设置和额外配置。 域控制器的审核配置包含:

有关详细信息,请参阅 高级安全审核常见问题解答

使用以下过程在用于 Defender for Identity 的域控制器上配置审核。

从UI 配置高级审核策略设置

此过程描述了如何根据 Defender for Identity 的需要通过 UI 修改域控制器的高级审核策略设置。

相关运行状况问题未根据需要启用“目录服务高级审核”

配置高级审核策略设置:

  1. 域管理员身份登录服务器。

  2. 服务器管理器>工具>组策略管理打开组策略管理编辑器。

  3. 展开域控制器组织单位,右键单击默认域控制器策略,然后选择编辑

    用于编辑域控制器的默认策略的窗格的屏幕截图。

    注意

    使用默认域控制器策略或专用 GPO 来设置这些策略。

  4. 在打开的窗口中,转到 计算机配置>策略>Windows 设置>安全设置。 根据要启用的策略,执行以下操作:

    1. 转到高级审核策略配置>审核策略

      用于打开审核策略的选择的屏幕截图。

    2. 审核策略下,编辑以下每个策略,并选择为成功失败事件配置以下审核事件

      审核策略 Subcategory 触发器事件 ID
      帐户登录 审核凭据验证 4776
      帐户管理 审核计算机帐户管理* 4741,4743
      帐户管理 审核通讯组管理* 4753,4763
      帐户管理 审核安全组管理* 4728,4729,4730,4732,4733,4756,4757,4758
      帐户管理 审核用户帐户管理 4726
      DS 访问 审核目录服务更改* 5136
      系统 审核安全系统扩展* 7045
      DS 访问 审核目录服务访问 4662 - 对于此事件,你还必须配置域对象审核

      注意

      * 指出的子类别不支持失败事件。 但是,建议添加它们以备将来实现时进行审核。 有关详细信息,请参阅审核计算机帐户管理审核安全组管理审核安全系统扩展

      例如,要配置审核安全组管理,请在帐户管理下双击审核安全组管理,然后为成功失败选择配置以下审核事件

      “审核安全组管理属性”对话框的屏幕截图。

  5. 从提升的命令提示符,输入 gpupdate

  6. 通过 GPO 应用策略后,确认新事件是否显示在事件查看器中的 Windows 日志>安全性下。

若要从命令行测试审核策略,请运行以下命令:

auditpol.exe /get /category:*

有关详细信息,请参阅 auditpol 参考文档

使用 PowerShell 配置高级审核策略设置

以下操作描述了如何根据 Defender for Identity 的需要使用 PowerShell 修改域控制器的高级审核策略设置。

相关运行状况问题未根据需要启用“目录服务高级审核”

若要配置设置,请运行 :

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

在上述命令中:

  • Mode 指定是要使用 Domain 还是 LocalMachine 模式。 在 Domain 模式下,从组策略对象中收集这些设置。 在 LocalMachine 模式下,从本地计算机收集这些设置。
  • Configuration 指定要设置的配置。 使用 All 设置所有配置。
  • CreateGpoDisabled 指定是否创建 GPO 并将其保留为禁用状态。
  • SkipGpoLink 指定不创建 GPO 链接。
  • Force 指定在不验证当前状态的情况下设置配置或创建 GPO。

若要查看审核策略,请使用 Get-MDIConfiguration 命令显示当前值:

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

在上述命令中:

  • Mode 指定是要使用 Domain 还是 LocalMachine 模式。 在 Domain 模式下,从组策略对象中收集这些设置。 在 LocalMachine 模式下,从本地计算机收集这些设置。
  • Configuration 指定要获取的配置。 使用 All 获取所有配置。

若要从测试审核策略,请使用 Test-MDIConfiguration 命令获取对值是否配置正确的 truefalse 响应:

Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

在上述命令中:

  • Mode 指定是要使用 Domain 还是 LocalMachine 模式。 在 Domain 模式下,从组策略对象中收集这些设置。 在 LocalMachine 模式下,从本地计算机收集这些设置。
  • Configuration 指定要测试的配置。 使用 All 测试所有配置。

有关详细信息,请参阅以下 DefenderForIdentity PowerShell 参考

配置 NTLM 审核

本节介绍审核 Windows 事件 8004 所需的额外配置步骤。

注意

  • 收集 Windows 事件 8004 的域组策略应应用于域控制器。
  • 当 Defender for Identity 传感器解析 Windows 事件 8004 时,Defender for Identity NTLM 身份验证活动将使用服务器访问的数据进行扩充。

相关运行状况问题:未启用 NTLM 审核

配置 NTLM 审核:

  1. (通过 UIPowerShell)配置初始高级审核策略设置后,打开组策略管理。 然后转到默认域控制器策略>本地策略>安全选项

  2. 配置指定的安全策略,如下所示:

    安全策略设置
    网络安全: 限制 NTLM: 到远程服务器的传出 NTLM 流量 全部审核
    网络安全: 限制 NTLM: 审核此域中的 NTLM 身份验证 全部启用
    网络安全: 限制 NTLM:审核传入的 NTLM 流量 对所有帐户启用审核

例如,要配置到远程服务器的传出 NTLM 流量,请在安全选项下,连按网络安全: 限制 NTLM: 到远程服务器的传出 NTLM 流量,然后选择全部审核

到远程服务器的传出 NTLM 流量的审计配置的屏幕截图。

配置域对象审核

若要为对象更改(例如事件 4662)收集事件,还必须在用户、组、计算机和其他对象上配置对象审核。 以下过程描述了如何在 Active Directory 域中启用审核。

重要

在启用事件收集之前,请检查并审核审核策略(通过 UIPowerShell),以确保域控制器已正确配置为记录必要的事件。 如果正确配置了审核,则此审核对服务器性能的影响应该最小。

相关运行状况问题: 未根据需要启用“目录服务对象审核”

配置域对象审核:

  1. 转到 “Active Directory 用户和计算机” 控制台。

  2. 选择要审核的域。

  3. 选择查看菜单,然后选择高级功能

  4. 右键单击该域并选择属性

    用于打开容器属性的选择的屏幕截图。

  5. 转到安全选项卡,然后选择高级

    用于打开高级安全属性的对话框的屏幕截图。

  6. 高级安全设置中,选择审核选项卡,然后选择添加

    “高级安全设置”对话框中“审核”选项卡的屏幕截图。

  7. 选择“选择主体”。

    用于选择主体的按钮的屏幕截图。

  8. 输入要选择的对象名称下,输入 Everyone。 然后选择检查名称>确定

    输入每个人的对象名称的屏幕截图。

  9. 然后,返回到审核项。 进行以下选择:

    1. 对于类型,请选择成功

    2. 对于应用于,请选择子级用户对象

    3. 权限下,向下滚动并选择全部清除按钮。

      用于清除所有权限的按钮的屏幕截图。

    4. 向上滚动并选择完全控制。 所有权限都已选择。

    5. 清除列表内容读取所有属性读取权限权限的选择,然后选择确定。 此步骤会将所有属性设置设为写入

      选择权限的屏幕截图。

      现在,当触发时,对目录服务的所有相关更改都会显示为 4662 事件。

  10. 重复此过程中的步骤,但对于适用于,请选择以下对象类型:

    • 后代组对象
    • 后代计算机对象
    • 后代 msDS-GroupManagedServiceAccount 对象
    • 后代 msDS-ManagedServiceAccount 对象

注意

所有后代对象分配审核权限也可以,但只需要最后一步中详述的对象类型。

在 AD FS 上配置审核

相关运行状况问题:未根据需要启用“在 AD FS 容器上进行审核”

要在 Active Directory 联合身份验证服务 (AD FS) 上配置审核,请执行以下操作:

  1. 转到 Active Directory 用户和计算机主机,然后选择要启用日志的域。

  2. 转到程序数据>Microsoft>ADFS

    Active Directory 联合身份验证服务容器的屏幕截图。

  3. 右键单击 ADFS,然后选择属性

  4. 转到安全选项卡,然后选择 高级>高级安全设置。 然后转到审核选项卡,并选择添加>选择主体

  5. 输入要选择的对象名称下,输入 Everyone。 然后选择检查名称>确定

  6. 然后,返回到审核项。 进行以下选择:

    • 对于“类型”,请选择“全部” 。
    • 对于应用对象,请选择此对象和所有后代对象
    • 权限下,向下滚动并选择全部清除。 向上滚动并选择读取所有属性写入所有属性

    Active Directory 联合身份验证服务的审核设置的屏幕截图。

  7. 选择“确定”

为 AD FS 事件配置详细的日志记录

在 AD FS 服务器上运行的传感器必须将相关事件的审核级别设置为详细的。 例如,使用以下命令将审核级别配置为详细的

Set-AdfsProperties -AuditLevel Verbose

在 AD CS 上配置审核

如果你使用的是配置了 Active Directory 证书服务 (AD CS) 的专用服务器,请按以下方式配置审核以查看专用警报和安全功能分数报告。

  1. 创建一个组策略以应用于你的 AD CS 服务器。 编辑并配置以下审核设置:

    1. 转到计算机配置\策略\Windows 设置\安全设置\高级审核策略配置\审核策略\对象访问\审核证书服务

    2. 选择用于为成功失败配置审核事件的复选框。

      在组策略管理编辑器中为 Active Directory 证书服务配置审核事件的屏幕截图。

  2. 使用以下方法之一对证书颁发机构 (CA) 配置审核:

    • 要使用命令行配置 CA 审核,请运行:

      certutil –setreg CA\AuditFilter 127 
      
      
      net stop certsvc && net start certsvc
      
    • 要使用 GUI 配置 CA 审核,请执行以下操作:

      1. 选择开始>证书颁发机构(MMC 桌面应用程序)。 右键单击 CA 名称并选择属性

        “证书颁发机构”对话框的屏幕截图。

      2. 选择审核选项卡,选择要审核的所有事件,然后选择应用

        证书颁发机构属性的“审核”选项卡的屏幕截图。

注意

配置启动和停止 Active Directory 证书服务事件审核可能会导致处理大型 AD CS 数据库时重启延迟。 请考虑从数据库中删除不相关的条目。 或者,避免启用此特定类型的事件。

在 Microsoft Entra Connect 上配置审核

要在 Microsoft Entra Connect 服务器上配置审核,请执行以下操作:

  • 创建组策略以应用于 Microsoft Entra Connect 服务器。 编辑并配置以下审核设置:

    1. 转到计算机配置\策略\Windows 设置\安全设置\高级审核策略配置\审核策略\登录/注销\审核登录

    2. 选择用于为成功失败配置审核事件的复选框。

组策略管理编辑器的屏幕截图。

对配置容器配置审核

注意

仅针对当前或以前Microsoft Exchange 的环境重新查询配置容器审核,因为这些环境具有位于域的配置部分中的 Exchange 容器。

相关运行状况问题未根据需要启用“在配置容器上进行审核”

  1. 打开 ADSI 编辑工具。 选择开始>运行,输入 ADSIEdit.msc,然后选择确定

  2. 操作菜单上,选择连接到

  3. 连接设置对话框的选择已知命名上下文下,选择配置>确定

  4. 展开配置容器以显示配置节点,从“CN=Configuration,DC=...”开始。

  5. 右键单击配置节点,并选择属性

    用于打开“配置”节点属性的选择屏幕截图。

  6. 选择安全性选项卡,然后选择高级

  7. 高级安全设置中,选择审核选项卡,然后选择添加

  8. 选择“选择主体”。

  9. 输入要选择的对象名称下,输入 Everyone。 然后选择检查名称>确定

  10. 然后,返回到审核项。 进行以下选择:

    • 对于“类型”,请选择“全部” 。
    • 对于应用对象,请选择此对象和所有后代对象
    • 权限下,向下滚动并选择全部清除。 向上滚动并选择写入所有属性

    配置容器的审核设置的屏幕截图。

  11. 选择“确定”

更新旧配置

Defender for Identity 不再需要记录 1644 事件。 如果已启用以下任一设置,则可以将其从注册表中删除。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

有关详细信息,请参阅:

下一步