Share via

Konfigurera granskningsprinciper för Windows-händelseloggar

  • Artikel

Microsoft Defender för identitetsidentifiering förlitar sig på specifika Windows-händelseloggposter för att förbättra identifieringarna och ge extra information om de användare som utförde specifika åtgärder, till exempel NTLM-inloggningar och ändringar av säkerhetsgrupper.

För att rätt händelser ska granskas och inkluderas i Windows-händelseloggen kräver domänkontrollanterna specifika inställningar för Avancerad granskningsprincip för Windows Server. Felkonfigurerade inställningar för avancerad granskningsprincip kan orsaka luckor i händelseloggen och ofullständig Defender för identitetstäckning.

Den här artikeln beskriver hur du konfigurerar inställningar för avancerad granskningsprincip efter behov för en Defender för identitetssensor och andra konfigurationer för specifika händelsetyper.

Mer information finns i Vad är Windows-händelseinsamling för Defender för identitet och avancerade säkerhetsgranskningsprinciper i Windows-dokumentationen.

Generera en rapport med aktuella konfigurationer via PowerShell

Förutsättningar: Innan du kör PowerShell-kommandon för Defender for Identity kontrollerar du att du har laddat ned PowerShell-modulen Defender för identitet.

Innan du börjar skapa nya händelse- och granskningsprinciper rekommenderar vi att du kör följande PowerShell-kommando för att generera en rapport över dina aktuella domänkonfigurationer:

New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]

Där:

  • Sökvägen anger sökvägen för att spara rapporterna i
  • Läget anger om du vill använda domän- eller LocalMachine-läge . I domänläge samlas inställningarna in från grupprincipobjekten. I LocalMachine-läge samlas inställningarna in från den lokala datorn.
  • OpenHtmlReport öppnar HTML-rapporten när rapporten har genererats

Om du till exempel vill generera en rapport och öppna den i standardwebbläsaren kör du följande kommando:

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

Mer information finns i PowerShell-referensen för DefenderforIdentity.

Dricks

Lägesrapporten Domain innehåller endast konfigurationer som angetts som grupprinciper på domänen. Om du har inställningar som definierats lokalt på dina domänkontrollanter rekommenderar vi att du även kör skriptet Test-MdiReadiness.ps1 .

Konfigurera granskning för domänkontrollanter

När du arbetar med en domänkontrollant måste du uppdatera inställningarna för avancerad granskningsprincip och extra konfigurationer för specifika händelser och händelsetyper, till exempel användare, grupper, datorer med mera. Granskningskonfigurationer för domänkontrollanter omfattar:

Konfigurera inställningar för avancerad granskningsprincip

Den här proceduren beskriver hur du ändrar domänkontrollantens avancerade granskningsprinciper efter behov för Defender för identitet.

  1. Logga in på servern som domänadministratör.

  2. Öppna redigeraren grupprinciphantering från Serverhanteraren> Verktyg>grupprinciphantering.

  3. Expandera domänkontrollanternas organisationsenheter, högerklicka på Standardprincip för domänkontrollanter och välj sedan Redigera. Till exempel:

    Screenshot of the Edit domain controller policy dialog.

    Kommentar

    Använd standardprincipen för domänkontrollanter eller ett dedikerat grupprincipobjekt för att ange dessa principer.

  4. Från fönstret som öppnas går du till Datorkonfigurationsprinciper>>Windows Inställningar> Säkerhet Inställningar och gör följande beroende på vilken princip du vill aktivera:

    1. Gå till Konfigurationsprinciper för avancerad>granskningsprincip. Till exempel:

      Screenshot of the Advanced Audit Policy Configuration dialog.

    2. Under Granskningsprinciper redigerar du var och en av följande principer och väljer Konfigurera följande granskningshändelser för både lyckade och misslyckade händelser.

      Granskningsprincip Underkategori Utlöser händelse-ID:t
      Kontoinloggning Granska verifiering av autentiseringsuppgifter 4776
      Kontohantering Granska kontohantering för datorer * 4741, 4743
      Kontohantering Granska hantering av distributionsgrupp 4753, 4763
      Kontohantering Granska hantering av säkerhetsgrupper * 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Kontohantering Granska hantering av användarkonto 4726
      DS-åtkomst Granska ändringar av katalogtjänst 5136
      System Granska säkerhetssystemtillägg * 7045
      DS-åtkomst Granska katalogtjänståtkomst 4662 – För den här händelsen måste du även konfigurera granskning av domänobjekt.

      Kommentar

      * Antecknade underkategorier stöder inte felhändelser. Vi rekommenderar dock att du lägger till dem i granskningssyfte om de implementeras i framtiden. Mer information finns i Granska hantering av datorkonton, Hantering av säkerhetsgrupper och Systemtillägg för granskningssäkerhet.

      Om du till exempel vill konfigurera Hantering av granskningssäkerhetsgrupp under Kontohantering dubbelklickar du på Hantering av granskningssäkerhetsgrupp och väljer sedan Konfigurera följande granskningshändelser för både lyckade och misslyckade händelser:

      Screenshot of the Audit Security Group Management dialog.

  5. Från en upphöjd kommandotolk skriver du gpupdate.

  6. När du har tillämpat principen via grupprincipobjektet visas de nya händelserna i Loggboken under Windows Logs ->Security.

Testa granskningsprinciper från kommandoraden

Kör följande kommando för att testa granskningsprinciperna från kommandoraden:

auditpol.exe /get /category:*

Mer information finns i referensdokumentationen för auditpol.

Konfigurera, hämta och testa granskningsprinciper med PowerShell

Kör följande kommando för att konfigurera granskningsprinciper med Hjälp av PowerShell:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

Där:

  • Läget anger om du vill använda domän- eller LocalMachine-läge . I domänläge samlas inställningarna in från grupprincipobjekten. I LocalMachine-läge samlas inställningarna in från den lokala datorn.

  • Konfigurationen anger vilken konfiguration som ska ställas in. Använd All för att ange alla konfigurationer.

  • CreateGpoDisabled anger om grupprincipobjekten skapas och behålls som inaktiverade.

  • SkipGpoLink anger att GPO-länkar inte skapas.

  • Force anger att konfigurationen är inställd eller att grupprincipobjekt skapas utan att det aktuella tillståndet verifieras.

Om du vill visa eller testa granskningsprinciperna med Hjälp av PowerShell kör du följande kommandon efter behov. Använd kommandot Get-MDIConfiguration för att visa de aktuella värdena. Använd kommandot Test-MDIConfiguration för att få ett true eller false svar på om värdena är korrekt konfigurerade.

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Där:

  • Läget anger om du vill använda domän- eller LocalMachine-läge . I domänläge samlas inställningarna in från grupprincipobjekten. I LocalMachine-läge samlas inställningarna in från den lokala datorn.

  • Konfigurationen anger vilken konfiguration som ska hämtas. Använd All för att hämta alla konfigurationer.

Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Där:

  • Läget anger om du vill använda domän- eller LocalMachine-läge . I domänläge samlas inställningarna in från grupprincipobjekten. I LocalMachine-läge samlas inställningarna in från den lokala datorn.

  • Konfigurationen anger vilken konfiguration som ska testas. Använd All för att testa alla konfigurationer.

Mer information finns i följande DefenderForIdentity PowerShell-referenser:

Konfigurera NTLM-granskning

I det här avsnittet beskrivs de extra konfigurationssteg som krävs för att granska händelse-ID 8004.

Kommentar

  • Domängruppsprinciper för att samla in Windows Event 8004 bör endast tillämpas på domänkontrollanter.
  • När Windows Event 8004 parsas av Defender for Identity Sensor berikas aktiviteterna för Defender för identitets-NTLM-autentisering med serveråtkomstdata.

  1. Efter de första stegen öppnar du Grupprinciphantering och går till Säkerhetsalternativ för lokala principer för standarddomänkontrollanter>>.

  2. Under Säkerhetsalternativ konfigurerar du de angivna säkerhetsprinciperna på följande sätt:

    Inställning för säkerhetsprincip Värde
    Nätverkssäkerhet: Begränsa NTLM: Utgående NTLM-trafik till fjärrservrar Granska alla
    Nätverkssäkerhet: Begränsa NTLM: Granska NTLM-autentisering i den här domänen Aktivera alla
    Nätverkssäkerhet: Begränsa NTLM: Granska inkommande NTLM-trafik Aktivera granskning för alla konton

Om du till exempel vill konfigurera utgående NTLM-trafik till fjärrservrar dubbelklickar du på Nätverkssäkerhet under Säkerhetsalternativ: Begränsa NTLM: Utgående NTLM-trafik till fjärrservrar och väljer sedan Granska alla:

Screenshot of the Audit Outgoing NTLM traffic to remote servers configuration.

Konfigurera granskning av domänobjekt

Om du vill samla in händelser för objektändringar, till exempel händelse 4662, måste du även konfigurera objektgranskning på användaren, gruppen, datorn och andra objekt. Den här proceduren beskriver hur du aktiverar granskning i Active Directory-domänen.

Viktigt!

Se till att granska och verifiera granskningsprinciperna innan du aktiverar händelseinsamling för att säkerställa att domänkontrollanterna är korrekt konfigurerade för att registrera nödvändiga händelser. Om den här granskningsfunktionen är korrekt konfigurerad bör den ha minimal effekt på serverprestandan.

  1. Gå till Active Directory - användare och datorer-konsolen.

  2. Välj den domän som du vill granska.

  3. Välj menyn Visa och välj Avancerade funktioner.

  4. Högerklicka på domänen och välj Egenskaper. Till exempel:

    Screenshot of the container properties option.

  5. Gå till fliken Säkerhet och välj Avancerat. Till exempel:

    Screenshot of the advanced security properties dialog.

  6. I Advanced Security Inställningar väljer du fliken Granskning och sedan Lägg till. Till exempel:

    Screenshot of the Advanced Security Settings Auditing tab.

  7. Välj Välj ett huvudnamn. Till exempel:

    Screenshot of the Select a principal option.

  8. Under Ange det objektnamn som ska väljas anger du Alla och väljer Kontrollera namn>OK. Till exempel:

    Screenshot of the Select everyone settings.

  9. Sedan återgår du till Granskningspost. Gör följande val:

    1. För Typ väljer du Lyckades.

    2. För Gäller för att välja Underordnade användarobjekt.

    3. Under Behörigheter rullar du ned och väljer knappen Rensa alla . Till exempel:

      Screenshot of selecting Clear all.

    4. Rulla tillbaka och välj Fullständig kontroll. Alla behörigheter har valts.

    5. Avmarkera markeringen för Listinnehåll, Läs alla egenskaper och Läs behörigheter och välj OK. Detta anger alla egenskapsinställningar till Skriv. Till exempel:

      Screenshot of selecting permissions.

      Nu visas alla relevanta ändringar av katalogtjänster som 4662 händelser när de utlöses.

  10. Upprepa stegen i den här proceduren, men för Gäller för väljer du följande objekttyper:

    • Underordnade gruppobjekt
    • Underordnade datorobjekt
    • Underordnade msDS-GroupManagedServiceAccount-objekt
    • Underordnade msDS-ManagedServiceAccount-objekt

Kommentar

Det skulle också fungera att tilldela granskningsbehörigheterna för alla underordnade objekt , men vi behöver bara objekttyperna enligt beskrivningen i det sista steget.

Konfigurera granskning på en Active Directory Federation Services (AD FS) (AD FS)

  1. Gå till Active Directory - användare och datorer-konsolen och välj den domän som du vill aktivera loggarna på.

  2. Gå till Programdata>Microsoft>ADFS. Till exempel:

    Screenshot of an ADFS container.

  3. Högerklicka på ADFS och välj Egenskaper.

  4. Gå till fliken Säkerhet och välj fliken Avancerad>avancerad säkerhet Inställningar> Granskning> Lägg till>Välj ett huvudnamn.

  5. Under Ange det objektnamn som ska väljas anger du Alla.

  6. Välj Kontrollera namn>OK.

  7. Sedan återgår du till Granskningspost. Gör följande val:

    • För Typ väljer du Alla.
    • För Gäller för att välja Det här objektet och alla underordnade objekt.
    • Under Behörigheter rullar du nedåt och väljer Rensa alla. Rulla uppåt och välj Läs alla egenskaper och Skriv alla egenskaper.

    Till exempel:

    Screenshot of the auditing settings for ADFS.

  8. Välj OK.

Konfigurera granskning för Active Directory Certificate Services (AD CS)

Om du arbetar med en dedikerad server med Active Directory Certificate Services (AD CS) konfigurerat måste du konfigurera granskning på följande sätt för att visa dedikerade aviseringar och rapporter om säker poäng:

  1. Skapa en grupprincip som ska tillämpas på AD CS-servern. Redigera den och konfigurera följande granskningsinställningar:

    1. Gå till och dubbelklicka på Datorkonfiguration\Principer\Windows Inställningar\Security Inställningar\Advanced Audit Policy Configuration\Audit Policies\Object Access\Audit Certification Services.

    2. Välj för att konfigurera granskningshändelser för lyckade och misslyckade. Till exempel:

      Screenshot of the Group Policy Management Editor.

  2. Konfigurera granskning på certifikatutfärdare (CA) med någon av följande metoder:

    • Om du vill konfigurera CA-granskning med hjälp av kommandoraden kör du:

      certutil –setreg CA\AuditFilter 127 

net stop certsvc && net start certsvc

    • Så här konfigurerar du CA-granskning med hjälp av GUI:

      1. Välj Start –> Certifikatutfärdare (MMC Desktop-program). Högerklicka på certifikatmottagarens namn och välj Egenskaper. Till exempel:

        Screenshot of the Certification Authority dialog.

      2. Välj fliken Granskning , markera alla händelser som du vill granska och välj sedan Använd. Till exempel:

        Screenshot of the Properties Auditing tab.

Kommentar

Om du konfigurerar start- och stoppgranskning av Active Directory Certificate Services-händelser kan omstartsfördröjningar uppstå vid hantering av en stor AD CS-databas. Överväg att ta bort irrelevanta poster från databasen, eller alternativt avstå från att aktivera den här specifika typen av händelse.

Konfigurera granskning av konfigurationscontainern

  1. Öppna ADSI-redigering genom att välja Starta>körning. Ange ADSIEdit.msc och välj OK.

  2. På åtgärdsmenyn väljer du Anslut till.

  3. I dialogrutan Anslut ion Inställningar under Välj en välkänd namngivningskontext väljer du Konfiguration>OK.

  4. Expandera containern Konfiguration för att visa noden Konfiguration med början i "CN=Configuration,DC=..."

  5. Högerklicka på noden Konfiguration och välj Egenskaper. Till exempel:

    Screenshot of the Configuration node properties.

  6. Välj fliken >Säkerhet Avancerat.

  7. I advanced security Inställningar väljer du fliken >Granskning lägg till.

  8. Välj Välj ett huvudnamn.

  9. Under Ange det objektnamn som ska väljas anger du Alla och väljer Kontrollera namn>OK.

  10. Sedan återgår du till Granskningspost. Gör följande val:

    • För Typ väljer du Alla.
    • För Gäller för att välja Det här objektet och alla underordnade objekt.
    • Under Behörigheter rullar du nedåt och väljer Rensa alla. Rulla uppåt och välj Skriv alla egenskaper.

    Till exempel:

    Screenshot of the auditing settings for the Configuration container.

  11. Välj OK.

Äldre konfigurationer

Viktigt!

Defender for Identity kräver inte längre loggning av 1644-händelser. Om du har den här registerinställningen aktiverad kan du ta bort den.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Relaterat innehåll

Mer information finns i Windows-säkerhetsgranskning.

Gå vidare

Vad är Defender för identitetsroller och behörigheter? »