Konfigurowanie zasad inspekcji dla dzienników zdarzeń systemu Windows
Wykrywanie tożsamości w usłudze Microsoft Defender jest oparte na określonych wpisach dziennika zdarzeń systemu Windows w celu ulepszenia wykrywania i dostarczania dodatkowych informacji o użytkownikach, którzy wykonali określone akcje, takich jak logowania NTLM i modyfikacje grupy zabezpieczeń.
W celu przeprowadzenia inspekcji i włączenia odpowiednich zdarzeń w dzienniku zdarzeń systemu Windows kontrolery domeny wymagają określonych ustawień zaawansowanych zasad inspekcji systemu Windows server. Błędnie skonfigurowane zaawansowane ustawienia zasad inspekcji mogą powodować luki w dzienniku zdarzeń i niekompletne pokrycie usługi Defender for Identity.
W tym artykule opisano sposób konfigurowania ustawień zaawansowanych zasad inspekcji zgodnie z potrzebami dla czujnika usługi Defender for Identity oraz innych konfiguracji dla określonych typów zdarzeń.
Aby uzyskać więcej informacji, zobacz Co to jest zbieranie zdarzeń systemu Windows dla usługi Defender for Identity i zaawansowanych zasad inspekcji zabezpieczeń w dokumentacji systemu Windows.
Generowanie raportu z bieżącymi konfiguracjami za pomocą programu PowerShell
Wymagania wstępne: przed uruchomieniem poleceń programu PowerShell w usłudze Defender for Identity upewnij się, że pobrano moduł Programu PowerShell usługi Defender for Identity.
Przed rozpoczęciem tworzenia nowych zasad zdarzeń i inspekcji zalecamy uruchomienie następującego polecenia programu PowerShell w celu wygenerowania raportu bieżących konfiguracji domeny:
New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]
Gdzie:
- Ścieżka określa ścieżkę do zapisania raportów w
- Tryb określa, czy chcesz użyć trybu Domain czy LocalMachine . W trybie domeny ustawienia są zbierane z obiektów zasad grupy. W trybie LocalMachine ustawienia są zbierane z komputera lokalnego.
- OpenHtmlReport otwiera raport HTML po wygenerowaniu raportu
Aby na przykład wygenerować raport i otworzyć go w domyślnej przeglądarce, uruchom następujące polecenie:
New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport
Aby uzyskać więcej informacji, zobacz artykuł DefenderforIdentity PowerShell reference (Dokumentacja programu PowerShell dla usługi DefenderforIdentity).
Napiwek
Raport Domain
trybu zawiera tylko konfiguracje ustawione jako zasady grupy w domenie. Jeśli masz ustawienia zdefiniowane lokalnie na kontrolerach domeny, zalecamy również uruchomienie skryptu Test-MdiReadiness.ps1 .
Konfigurowanie inspekcji dla kontrolerów domeny
Podczas pracy z kontrolerem domeny należy zaktualizować zaawansowane ustawienia zasad inspekcji i dodatkowe konfiguracje dla określonych zdarzeń i typów zdarzeń, takich jak użytkownicy, grupy, komputery i inne. Konfiguracje inspekcji dla kontrolerów domeny obejmują:
Konfigurowanie zaawansowanych ustawień zasad inspekcji
W tej procedurze opisano sposób modyfikowania zaawansowanych zasad inspekcji kontrolera domeny zgodnie z potrzebami dla usługi Defender for Identity.
Zaloguj się na serwerze jako Administracja istrator domeny.
Otwórz Edytor zarządzania zasadami grupy z Menedżer serwera> Za management zasad grupyTools.>
Rozwiń węzeł Jednostki organizacyjne kontrolerów domeny, kliknij prawym przyciskiem myszy domyślne zasady kontrolerów domeny, a następnie wybierz polecenie Edytuj. Na przykład:
Uwaga
Użyj domyślnych zasad kontrolerów domeny lub dedykowanego obiektu zasad grupy, aby ustawić te zasady.
W wyświetlonym oknie przejdź do pozycji Zasady>konfiguracji>komputera Windows Ustawienia> Zabezpieczenia Ustawienia i w zależności od zasad, które chcesz włączyć, wykonaj następujące czynności:
Przejdź do pozycji Zaawansowane zasady inspekcji Zasady inspekcji Zasady inspekcji Zasady inspekcji>. Na przykład:
W obszarze Zasady inspekcji zmodyfikuj każdą z następujących zasad i wybierz pozycję Skonfiguruj następujące zdarzenia inspekcji dla zdarzeń powodzenia i niepowodzenia.
Zasady inspekcji Podkategoria Wyzwala identyfikatory zdarzeń Logowanie do konta Inspekcja weryfikacji poświadczeń 4776 Zarządzanie kontami Inspekcja zarządzania kontami komputerów * 4741, 4743 Zarządzanie kontami Inspekcja zarządzania grupami dystrybucyjnymi 4753, 4763 Zarządzanie kontami Inspekcja zarządzania grupami zabezpieczeń * 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758 Zarządzanie kontami Inspekcja zarządzania kontami użytkowników 4726 Dostęp ds Inspekcja zmian usługi katalogowej 5136 Zadania systemowe Inspekcja rozszerzenia systemu zabezpieczeń * 7045 Dostęp ds Przeprowadź inspekcję dostępu do usługi katalogowej 4662 — W przypadku tego zdarzenia należy również skonfigurować inspekcję obiektów domeny. Uwaga
* Zanotowano podkategorie nie obsługują zdarzeń awarii. Zalecamy jednak dodanie ich do celów inspekcji w przypadku ich wdrożenia w przyszłości. Aby uzyskać więcej informacji, zobacz Inspekcja zarządzania kontami komputerów, Inspekcja zarządzania grupami zabezpieczeń i Inspekcja rozszerzenia systemu zabezpieczeń.
Aby na przykład skonfigurować inspekcję zarządzania grupami zabezpieczeń, w obszarze Zarządzanie kontami kliknij dwukrotnie pozycję Inspekcja zarządzania grupami zabezpieczeń, a następnie wybierz pozycję Skonfiguruj następujące zdarzenia inspekcji dla zdarzeń powodzenia i niepowodzenia:
W wierszu polecenia z podwyższonym poziomem uprawnień wpisz
gpupdate
.Po zastosowaniu zasad za pośrednictwem obiektu zasad grupy nowe zdarzenia są widoczne w Podgląd zdarzeń w obszarze Dzienniki systemu Windows —> Zabezpieczenia.
Testowanie zasad inspekcji z poziomu wiersza polecenia
Aby przetestować zasady inspekcji z poziomu wiersza polecenia, uruchom następujące polecenie:
auditpol.exe /get /category:*
Aby uzyskać więcej informacji, zobacz dokumentację referencyjną auditpol.
Konfigurowanie, pobieranie i testowanie zasad inspekcji przy użyciu programu PowerShell
Aby skonfigurować zasady inspekcji przy użyciu programu PowerShell, uruchom następujące polecenie:
Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]
Gdzie:
Tryb określa, czy chcesz użyć trybu Domain czy LocalMachine . W trybie domeny ustawienia są zbierane z obiektów zasad grupy. W trybie LocalMachine ustawienia są zbierane z komputera lokalnego.
Konfiguracja określa, która konfiguracja ma być ustawiona. Użyj
All
polecenia , aby ustawić wszystkie konfiguracje.CreateGpoDisabled określa, czy obiekty zasad grupy są tworzone i przechowywane jako wyłączone.
SkipGpoLink określa, że łącza obiektu zasad grupy nie są tworzone.
Force określa, że konfiguracja jest ustawiona lub obiekty zasad grupy są tworzone bez sprawdzania poprawności bieżącego stanu.
Aby wyświetlić lub przetestować zasady inspekcji przy użyciu programu PowerShell, uruchom następujące polecenia zgodnie z potrzebami. Użyj polecenia Get-MDIConfiguration, aby wyświetlić bieżące wartości. Użyj polecenia Test-MDIConfiguration, aby uzyskać true
odpowiedź lubfalse
, czy wartości są poprawnie skonfigurowane.
Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>
Gdzie:
Tryb określa, czy chcesz użyć trybu Domain czy LocalMachine . W trybie domeny ustawienia są zbierane z obiektów zasad grupy. W trybie LocalMachine ustawienia są zbierane z komputera lokalnego.
Konfiguracja określa konfigurację do pobrania. Użyj polecenia
All
, aby pobrać wszystkie konfiguracje.
Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>
Gdzie:
Tryb określa, czy chcesz użyć trybu Domain czy LocalMachine . W trybie domeny ustawienia są zbierane z obiektów zasad grupy. W trybie LocalMachine ustawienia są zbierane z komputera lokalnego.
Konfiguracja określa konfigurację do przetestowania. Użyj polecenia
All
, aby przetestować wszystkie konfiguracje.
Aby uzyskać więcej informacji, zobacz następujące odwołania do programu PowerShell defenderForIdentity:
Konfigurowanie inspekcji NTLM
W tej sekcji opisano dodatkowe kroki konfiguracji wymagane do przeprowadzenia inspekcji zdarzenia o identyfikatorze 8004.
Uwaga
- Zasady grupy domeny do zbierania zdarzeń systemu Windows 8004 powinny być stosowane tylko do kontrolerów domeny.
- Gdy zdarzenie systemu Windows 8004 jest analizowane przez usługę Defender for Identity Sensor, działania uwierzytelniania NTLM w usłudze Defender for Identity są wzbogacone o dostęp do danych serwera.
Po początkowych krokach otwórz przystawkę Zarządzanie zasadami grupy i przejdź do domyślnych opcji zabezpieczeń zasad>lokalnych>kontrolerów domeny.
W obszarze Opcje zabezpieczeń skonfiguruj określone zasady zabezpieczeń w następujący sposób:
Ustawienie zasad zabezpieczeń Wartość Zabezpieczenia sieciowe: Ograniczanie ntLM: wychodzący ruch NTLM do serwerów zdalnych Przeprowadź inspekcję wszystkich Zabezpieczenia sieci: Ograniczanie protokołu NTLM: Inspekcja uwierzytelniania NTLM w tej domenie Włącz wszystko Zabezpieczenia sieciowe: Ogranicz ntLM: przeprowadź inspekcję przychodzącego ruchu NTLM Włączanie inspekcji dla wszystkich kont
Aby na przykład skonfigurować wychodzący ruch NTLM do serwerów zdalnych, w obszarze Opcje zabezpieczeń kliknij dwukrotnie pozycję Zabezpieczenia sieci: Ogranicz NTLM: Wychodzący ruch NTLM do serwerów zdalnych, a następnie wybierz pozycję Przeprowadź inspekcję wszystkich:
Konfigurowanie inspekcji obiektów domeny
Aby zbierać zdarzenia dotyczące zmian obiektów, takich jak zdarzenie 4662, należy również skonfigurować inspekcję obiektów dla użytkownika, grupy, komputera i innych obiektów. W tej procedurze opisano sposób włączania inspekcji w domenie usługi Active Directory.
Ważne
Przed włączeniem zbierania zdarzeń należy przejrzeć i zweryfikować zasady inspekcji, aby upewnić się, że kontrolery domeny są prawidłowo skonfigurowane do rejestrowania niezbędnych zdarzeń. Jeśli inspekcja jest skonfigurowana prawidłowo, powinna mieć minimalny wpływ na wydajność serwera.
Przejdź do konsoli Użytkownicy i komputery usługi Active Directory.
Wybierz domenę, którą chcesz przeprowadzić inspekcję.
Wybierz menu Widok i wybierz pozycję Funkcje zaawansowane.
Kliknij prawym przyciskiem myszy domenę i wybierz polecenie Właściwości. Na przykład:
Przejdź do karty Zabezpieczenia i wybierz pozycję Zaawansowane. Na przykład:
W obszarze Advanced Security Ustawienia wybierz kartę Inspekcja, a następnie wybierz pozycję Dodaj. Na przykład:
Wybierz pozycję Wybierz podmiot zabezpieczeń. Na przykład:
W obszarze Wprowadź nazwę obiektu do wybrania wprowadź wszyscyi wybierz pozycję Sprawdź nazwy>OK. Na przykład:
Następnie wróć do pozycji Inspekcja wpisu. Wybierz następujące ustawienia:
W polu Typ wybierz pozycję Powodzenie.
W obszarze Dotyczy wybierz obiekty użytkownika podrzędnego.
W obszarze Uprawnienia przewiń w dół i wybierz przycisk Wyczyść wszystko . Na przykład:
Przewiń z powrotem w górę i wybierz pozycję Pełna kontrola. Wszystkie uprawnienia są zaznaczone.
Wyczyść zaznaczenie zawartości listy, Odczytaj wszystkie właściwości i Uprawnienia do odczytu, a następnie wybierz przycisk OK. Spowoduje to ustawienie wszystkich ustawień właściwości na wartość Zapis. Na przykład:
Teraz po wyzwoleniu wszystkie istotne zmiany w usługach katalogowych są wyświetlane jako
4662
zdarzenia.
Powtórz kroki opisane w tej procedurze, ale w polu Dotyczy wybierz następujące typy obiektów:
- Obiekty grupy potomnych
- Obiekty komputera podrzędnego
- Obiekty potomne msDS-GroupManagedServiceAccount
- Obiekty potomne msDS-ManagedServiceAccount
Uwaga
Przypisanie uprawnień inspekcji dla wszystkich obiektów potomnych działałoby również, ale wymagamy tylko typów obiektów zgodnie z opisem w ostatnim kroku.
Konfigurowanie inspekcji w usługach Active Directory Federation Services (AD FS)
Przejdź do konsoli Użytkownicy i komputery usługi Active Directory i wybierz domenę, w której chcesz włączyć dzienniki.
Przejdź do pozycji Program Data Microsoft ADFS (Dane>programu Microsoft>ADFS). Na przykład:
Kliknij prawym przyciskiem myszy usługę ADFS i wybierz polecenie Właściwości.
Przejdź do karty Zabezpieczenia i wybierz kartę >Advanced Advanced>Security Ustawienia> Auditing Dodaj>podmiot zabezpieczeń.
W obszarze Wprowadź nazwę obiektu do wybrania wprowadź wartość Wszyscy.
Wybierz pozycję Sprawdź nazwy>OK.
Następnie wróć do pozycji Inspekcja wpisu. Wybierz następujące ustawienia:
- W polu Typ wybierz pozycję Wszystkie.
- W obszarze Dotyczy zaznaczenietego obiektu i wszystkich obiektów potomnych.
- W obszarze Uprawnienia przewiń w dół i wybierz pozycję Wyczyść wszystko. Przewiń w górę i wybierz pozycję Odczytaj wszystkie właściwości i Zapisz wszystkie właściwości.
Na przykład:
Wybierz przycisk OK.
Konfigurowanie inspekcji dla usług certyfikatów Active Directory (AD CS)
Jeśli pracujesz z dedykowanym serwerem z skonfigurowanymi usługami certyfikatów Active Directory (AD CS), pamiętaj, aby skonfigurować inspekcję w następujący sposób, aby wyświetlić dedykowane alerty i raporty wskaźnika bezpieczeństwa:
Utwórz zasady grupy, które mają zostać zastosowane do serwera usług AD CS. Edytuj go i skonfiguruj następujące ustawienia inspekcji:
Przejdź do i dwukrotnie wybierz pozycję Konfiguracja komputera\Zasady\Windows Ustawienia\Security Ustawienia\Advanced Audit Policy Configuration\Audit Policy\Audit Policies\Object Access\Audit Certification Services.
Wybierz, aby skonfigurować zdarzenia inspekcji dla powodzenia i niepowodzenia. Na przykład:
Skonfiguruj inspekcję urzędu certyfikacji przy użyciu jednej z następujących metod:
Aby skonfigurować inspekcję urzędu certyfikacji przy użyciu wiersza polecenia, uruchom polecenie:
certutil –setreg CA\AuditFilter 127 net stop certsvc && net start certsvc
Aby skonfigurować inspekcję urzędu certyfikacji przy użyciu graficznego interfejsu użytkownika:
Wybierz pozycję Start —> urząd certyfikacji (aplikacja klasyczna MMC). Kliknij prawym przyciskiem myszy nazwę urzędu certyfikacji i wybierz pozycję Właściwości. Na przykład:
Wybierz kartę Inspekcja, wybierz wszystkie zdarzenia, które chcesz przeprowadzić inspekcję, a następnie wybierz pozycję Zastosuj. Na przykład:
Uwaga
Skonfigurowanie inspekcji zdarzeń uruchamiania i zatrzymywania usług certyfikatów Active Directory może spowodować opóźnienia ponownego uruchamiania w przypadku dużej bazy danych usług AD CS. Rozważ usunięcie nieistotnych wpisów z bazy danych lub alternatywnie powstrzymać się od włączenia tego konkretnego typu zdarzenia.
Konfigurowanie inspekcji w kontenerze konfiguracji
Otwórz edycję ADSI, wybierając pozycję Uruchom.> Wprowadź
ADSIEdit.msc
i wybierz przycisk OK.W menu Akcja wybierz pozycję Połączenie.
W oknie dialogowym Ustawienia Połączenie ion w obszarze Wybierz dobrze znany kontekst nazewnictwa wybierz pozycję Konfiguracja>OK.
Rozwiń kontener Konfiguracji, aby wyświetlić węzeł Konfiguracja, począwszy od "CN=Configuration,DC=..."
Kliknij prawym przyciskiem myszy węzeł Konfiguracja i wybierz polecenie Właściwości. Na przykład:
Wybierz kartę >Zabezpieczenia Zaawansowane.
W Ustawienia Advanced Security wybierz kartę> Inspekcja Dodaj.
Wybierz pozycję Wybierz podmiot zabezpieczeń.
W obszarze Wprowadź nazwę obiektu do wybrania wprowadź wszyscyi wybierz pozycję Sprawdź nazwy>OK.
Następnie wróć do pozycji Inspekcja wpisu. Wybierz następujące ustawienia:
- W polu Typ wybierz pozycję Wszystkie.
- W obszarze Dotyczy zaznaczenietego obiektu i wszystkich obiektów potomnych.
- W obszarze Uprawnienia przewiń w dół i wybierz pozycję Wyczyść wszystko. Przewiń w górę i wybierz pozycję Zapisz wszystkie właściwości.
Na przykład:
Wybierz przycisk OK.
Starsze konfiguracje
Ważne
Usługa Defender for Identity nie wymaga już rejestrowania zdarzeń 1644. Jeśli to ustawienie rejestru jest włączone, możesz go usunąć.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001
Powiązana zawartość
Aby uzyskać więcej informacji, zobacz Inspekcja zabezpieczeń systemu Windows.