Windows olay günlükleri için denetim ilkelerini yapılandırma

  • Makale

Kimlik için Microsoft Defender algılama, algılamaları geliştirmek ve NTLM oturum açmaları ve güvenlik grubu değişiklikleri gibi belirli eylemleri gerçekleştiren kullanıcılara ek bilgi sağlamak için belirli Windows Olay günlüğü girişlerine dayanır.

Doğru olayların denetlenip Windows Olay Günlüğü'ne dahil edilmesi için etki alanı denetleyicileriniz belirli Windows server Gelişmiş Denetim İlkesi ayarları gerektirir. Yanlış yapılandırılmış Gelişmiş Denetim İlkesi ayarları, Olay Günlüğü'nde boşluklara ve Kimlik için Defender kapsamının tamamlanmamışmasına neden olabilir.

Bu makalede, Kimlik için Defender algılayıcısı ve belirli olay türlerine yönelik diğer yapılandırmalar için Gelişmiş Denetim İlkesi ayarlarınızın gerektiği şekilde nasıl yapılandırıldığı açıklanmaktadır.

Daha fazla bilgi için Windows belgelerindeki Kimlik için Defender ve Gelişmiş güvenlik denetimi ilkeleri için Windows olay koleksiyonu nedir? konusuna bakın.

PowerShell aracılığıyla geçerli yapılandırmalarla rapor oluşturma

Önkoşullar: Kimlik için Defender PowerShell komutlarını çalıştırmadan önce Kimlik için Defender PowerShell modülünü indirdiğinizden emin olun.

Yeni olay ve denetim ilkeleri oluşturmaya başlamadan önce, geçerli etki alanı yapılandırmalarınızın raporunu oluşturmak için aşağıdaki PowerShell komutunu çalıştırmanızı öneririz:

New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]

Where:

  • Yol , raporların kaydedilecek yolu belirtir
  • Mod, Etki Alanı veya LocalMachine modunu kullanmak isteyip istemediğinizi belirtir. Etki alanı modunda, ayarlar Grup İlkesi nesnelerinden toplanır. LocalMachine modunda, ayarlar yerel makineden toplanır.
  • OpenHtmlReport , rapor oluşturulduktan sonra HTML raporunu açar

Örneğin, bir rapor oluşturmak ve raporu varsayılan tarayıcınızda açmak için aşağıdaki komutu çalıştırın:

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

Daha fazla bilgi için bkz . DefenderforIdentity PowerShell başvurusu.

İpucu

Mod Domain raporu yalnızca etki alanında grup ilkeleri olarak ayarlanan yapılandırmaları içerir. Etki Alanı Denetleyicilerinizde yerel olarak tanımlanmış ayarlarınız varsa Test-MdiReadiness.ps1 betiğini de çalıştırmanızı öneririz.

Etki alanı denetleyicileri için denetimi yapılandırma

Bir etki alanı denetleyicisiyle çalışırken, Gelişmiş Denetim İlkesi ayarlarınızı ve kullanıcılar, gruplar, bilgisayarlar ve daha fazlası gibi belirli olaylar ve olay türleri için ek yapılandırmaları güncelleştirmeniz gerekir. Etki alanı denetleyicileri için denetim yapılandırmaları şunlardır:

Gelişmiş Denetim İlkesi ayarlarını yapılandırma

Bu yordam, kimlik için Defender için gerektiğinde etki alanı denetleyicinizin Gelişmiş Denetim İlkelerini nasıl değiştirebileceğinizi açıklar.

  1. Sunucuda Etki Alanı Yönetici istrator olarak oturum açın.

  2. Sunucu Yöneticisi> Tools>Grup İlkesi Yönetimi'nden Grup İlkesi Yönetimi Düzenleyicisi'ni açın.

  3. Etki Alanı Denetleyicileri Kuruluş Birimleri'ni genişletin, Varsayılan Etki Alanı Denetleyicileri İlkesi'ne sağ tıklayın ve düzenle'yi seçin. Örneğin:

    Screenshot of the Edit domain controller policy dialog.

    Not

    Bu ilkeleri ayarlamak için Varsayılan Etki Alanı Denetleyicileri İlkesi'ni veya ayrılmış bir GPO'yu kullanın.

  4. Açılan pencerede Windows Ayarlar Güvenlik Ayarlar'ne>>> gidin ve etkinleştirmek istediğiniz ilkeye bağlı olarak aşağıdakileri yapın:

    1. Gelişmiş Denetim İlkesi Yapılandırma>Denetim İlkeleri'ne gidin. Örneğin:

      Screenshot of the Advanced Audit Policy Configuration dialog.

    2. Denetim İlkeleri'nin altında aşağıdaki ilkelerin her birini düzenleyin ve Hem Başarı hem de Başarısızlık olayları için aşağıdaki denetim olaylarını yapılandır'ı seçin.

      Denetim ilkesi Alt kategori Olay kimliklerini tetikler
      Hesap Oturum Açma Kimlik Bilgisi Doğrulamayı Denetleme 4776
      Hesap Yönetimi Bilgisayar Hesabı Yönetimini Denetleme * 4741, 4743
      Hesap Yönetimi Dağıtım Grubu Yönetimini Denetleme 4753, 4763
      Hesap Yönetimi Güvenlik Grubu Yönetimini Denetleme * 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Hesap Yönetimi Kullanıcı Hesabı Yönetimini Denetleme 4726
      DS Erişimi Dizin Hizmeti Değişikliklerini Denetleme 5136
      Sistem Güvenlik Sistemi Uzantısını Denetle * 7045
      DS Erişimi Dizin Hizmeti Erişimini Denetleme 4662 - Bu olay için etki alanı nesnesi denetimini de yapılandırmanız gerekir.

      Not

      * Not edilen alt kategoriler hata olaylarını desteklemez. Ancak, gelecekte uygulanmaları durumunda bunları denetim amacıyla eklemenizi öneririz. Daha fazla bilgi için bkz . Bilgisayar Hesabı Yönetimini Denetleme, Güvenlik Grubu Yönetimini Denetleme ve Güvenlik Sistemi Uzantısını Denetleme.

      Örneğin, Denetim Güvenlik Grubu Yönetimi'ni yapılandırmak için Hesap Yönetimi'nin altında Denetim Güvenlik Grubu Yönetimi'ne çift tıklayın ve ardından Hem Başarı hem de Başarısızlık olayları için aşağıdaki denetim olaylarını yapılandır'ı seçin:

      Screenshot of the Audit Security Group Management dialog.

  5. Yükseltilmiş bir komut isteminden yazın gpupdate.

  6. İlkeyi GPO aracılığıyla uyguladıktan sonra, yeni olaylar Olay Görüntüleyicisi, Windows Günlükleri ->Güvenlik altında görünür.

Denetim ilkelerini komut satırından test edin

Denetim ilkelerinizi komut satırından test etmek için aşağıdaki komutu çalıştırın:

auditpol.exe /get /category:*

Daha fazla bilgi için auditpol başvuru belgelerine bakın.

PowerShell kullanarak denetim ilkelerini yapılandırma, alma ve test edin

PowerShell kullanarak denetim ilkelerini yapılandırmak için aşağıdaki komutu çalıştırın:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

Where:

  • Mod, Etki Alanı veya LocalMachine modunu kullanmak isteyip istemediğinizi belirtir. Etki alanı modunda, ayarlar Grup İlkesi nesnelerinden toplanır. LocalMachine modunda, ayarlar yerel makineden toplanır.

  • Yapılandırma , ayarlanacağı yapılandırmayı belirtir. Tüm yapılandırmaları ayarlamak için kullanın All .

  • CreateGpoDisabled , GPO'ların oluşturulup oluşturulmayacağını ve devre dışı olarak tutulup tutulmadığını belirtir.

  • SkipGpoLink , GPO bağlantılarının oluşturulmadığını belirtir.

  • Zorlama , yapılandırmanın ayarlandığını veya GPO'ların geçerli durum doğrulanmadan oluşturulduğunu belirtir.

PowerShell kullanarak denetim ilkelerinizi görüntülemek veya test etmek için aşağıdaki komutları gerektiği gibi çalıştırın. Geçerli değerleri göstermek için Get-MDIConfiguration komutunu kullanın. Değerlerin doğru yapılandırılıp yapılandırılmadığına ilişkin bir true veya false yanıt almak için Test-MDIConfiguration komutunu kullanın.

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Where:

  • Mod, Etki Alanı veya LocalMachine modunu kullanmak isteyip istemediğinizi belirtir. Etki alanı modunda, ayarlar Grup İlkesi nesnelerinden toplanır. LocalMachine modunda, ayarlar yerel makineden toplanır.

  • Yapılandırma , hangi yapılandırmanın alınacak olduğunu belirtir. Tüm yapılandırmaları almak için kullanın All .

Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Where:

  • Mod, Etki Alanı veya LocalMachine modunu kullanmak isteyip istemediğinizi belirtir. Etki alanı modunda, ayarlar Grup İlkesi nesnelerinden toplanır. LocalMachine modunda, ayarlar yerel makineden toplanır.

  • Yapılandırma , test etmek istediğiniz yapılandırmayı belirtir. Tüm yapılandırmaları test etmek için kullanın All .

Daha fazla bilgi için aşağıdaki DefenderForIdentity PowerShell başvurularına bakın:

NTLM denetimini yapılandırma

Bu bölümde, Olay Kimliği 8004'i denetlemek için gereken ek yapılandırma adımları açıklanmaktadır.

Not

  • Windows Olay 8004'i toplamak için etki alanı grubu ilkeleri yalnızca etki alanı denetleyicilerine uygulanmalıdır.
  • Windows Olay 8004, Kimlik Algılayıcısı için Defender tarafından ayrıştırıldığında, Kimlik için Defender NTLM kimlik doğrulama etkinlikleri sunucuya erişilen verilerle zenginleştirilmiştir.

  1. İlk adımları izleyerek Grup İlkesi Yönetimi'ni açın ve Varsayılan Etki Alanı Denetleyicileri İlkesi>Yerel İlkeler>Güvenlik Seçenekleri'ne gidin.

  2. Güvenlik Seçenekleri'nin altında, belirtilen güvenlik ilkelerini aşağıdaki gibi yapılandırın:

    Güvenlik ilkesi ayarı Değer
    Ağ güvenliği: NTLM'yi kısıtlama: Uzak sunuculara giden NTLM trafiği Tümünü denetle
    Ağ güvenliği: NTLM'i kısıtla: Bu etki alanında NTLM kimlik doğrulamayı denetle Tümünü etkinleştir
    Ağ güvenliği: NTLM'i kısıtlama: Gelen NTLM Trafiğini Denetleme Tüm hesaplar için denetimi etkinleştirme

Örneğin, Uzak sunuculara Giden NTLM trafiğini yapılandırmak için, Güvenlik Seçenekleri'nin altında Ağ güvenliği: NTLM'yi kısıtla: Uzak sunuculara giden NTLM trafiğini kısıtla'ya çift tıklayın ve ardından Tümünü denetle'yi seçin:

Screenshot of the Audit Outgoing NTLM traffic to remote servers configuration.

Etki alanı nesnesi denetimini yapılandırma

Olay 4662 gibi nesne değişikliklerine yönelik olayları toplamak için kullanıcı, grup, bilgisayar ve diğer nesneler üzerinde nesne denetimini de yapılandırmanız gerekir. Bu yordamda Active Directory etki alanında denetimin nasıl etkinleştirileceği açıklanır.

Önemli

Etki alanı denetleyicilerinin gerekli olayları kaydedecek şekilde düzgün yapılandırıldığından emin olmak için olay koleksiyonunu etkinleştirmeden önce denetim ilkelerinizi gözden geçirmeyi ve doğrulamayı unutmayın. Düzgün yapılandırıldıysa, bu denetimin sunucu performansı üzerinde en az etkisi olmalıdır.

  1. Active Directory Kullanıcıları ve Bilgisayarları konsoluna gidin.

  2. Denetlemek istediğiniz etki alanını seçin.

  3. Görünüm menüsünü seçin ve Gelişmiş Özellikler'i seçin.

  4. Etki alanına sağ tıklayın ve Özellikler'i seçin. Örneğin:

    Screenshot of the container properties option.

  5. Güvenlik sekmesine gidin ve Gelişmiş'i seçin. Örneğin:

    Screenshot of the advanced security properties dialog.

  6. Gelişmiş Güvenlik Ayarlar Denetimsekmesini ve ardından Ekle'yi seçin. Örneğin:

    Screenshot of the Advanced Security Settings Auditing tab.

  7. Sorumlu seç'i seçin. Örneğin:

    Screenshot of the Select a principal option.

  8. Seçecek nesne adını girin'in altında Herkes yazın ve Adları>Denetle Tamam'ı seçin. Örneğin:

    Screenshot of the Select everyone settings.

  9. Ardından Denetim Girdisi'ne dönersiniz. Aşağıdakiler arasından seçim yapın:

    1. Tür için Başarılı'ya tıklayın.

    2. Alt Kullanıcı nesnelerini seçmek için Geçerlidir için.

    3. İzinler'in altında aşağı kaydırın ve Tümünü temizle düğmesini seçin. Örneğin:

      Screenshot of selecting Clear all.

    4. Ekranı yukarı kaydırın ve Tam Denetim'i seçin. Tüm izinler seçilir.

    5. Liste içeriği, Tüm özellikleri oku ve İzinleri okuma izinlerinin seçimini temizleyin ve Tamam'ı seçin. Bu, tüm Özellikler ayarlarını Yazma olarak ayarlar. Örneğin:

      Screenshot of selecting permissions.

      Artık tetiklendiğinde dizin hizmetlerindeki tüm ilgili değişiklikler olay olarak 4662 görünür.

  10. Bu yordamdaki adımları yineleyin, ancak Uygulandığı yer için aşağıdaki nesne türlerini seçin:

    • Alt Grup Nesneleri
    • Alt Bilgisayar Nesneleri
    • Descendant msDS-GroupManagedServiceAccount Nesneleri
    • Descendant msDS-ManagedServiceAccount Nesneleri

Not

Tüm alt nesnelerde denetim izinlerini atamak da işe yarar, ancak yalnızca son adımda ayrıntılı olarak açıklandığı gibi nesne türlerini zorunlu kılarız.

Active Directory Federasyon Hizmetleri (AD FS) denetimi yapılandırma (AD FS)

  1. Active Directory Kullanıcıları ve Bilgisayarları konsoluna gidin ve günlükleri etkinleştirmek istediğiniz etki alanını seçin.

  2. Program Data>Microsoft ADFS'ye> gidin. Örneğin:

    Screenshot of an ADFS container.

  3. ADFS'ye sağ tıklayın ve Özellikler'i seçin.

  4. Güvenlik sekmesine gidin ve Gelişmiş>Gelişmiş Güvenlik Ayarlar> Auditing sekmesi> Ekle Sorumlu seçin'i>seçin.

  5. Seçecek nesne adını girin alanına Herkes yazın.

  6. Adları>Denetle Tamam'ı seçin.

  7. Ardından Denetim Girdisi'ne dönersiniz. Aşağıdakiler arasından seçim yapın:

    • Tür için Tümü'nü seçin.
    • Bu nesne ve tüm alt nesneler'i seçmek için Geçerlidir için.
    • İzinler'in altında aşağı kaydırın ve Tümünü temizle'yi seçin. Ekranı yukarı kaydırın ve Tüm özellikleri oku ve Tüm özellikleri yaz'ı seçin.

    Örneğin:

    Screenshot of the auditing settings for ADFS.

  8. Tamam'ı seçin.

Active Directory Sertifika Hizmetleri (AD CS) için denetimi yapılandırma

Active Directory Sertifika Hizmetleri (AD CS) yapılandırılmış ayrılmış bir sunucuyla çalışıyorsanız, ayrılmış uyarıları ve Güvenli Puan raporlarını görüntülemek için denetimi aşağıdaki gibi yapılandırdığınızdan emin olun:

  1. AD CS sunucunuza uygulanacak bir grup ilkesi oluşturun. Düzenleyin ve aşağıdaki denetim ayarlarını yapılandırın:

    1. Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Güvenlik Ayarlar\Gelişmiş Denetim İlkesi Yapılandırması\Denetim İlkeleri\Nesne Erişimi\Denetim Sertifikasyon Hizmetleri'ne gidin ve iki kez seçin.

    2. Denetim olaylarını Başarılı ve Başarısız olarak yapılandırmak için seçin. Örneğin:

      Screenshot of the Group Policy Management Editor.

  2. Aşağıdaki yöntemlerden birini kullanarak sertifika yetkilisinde (CA) denetimi yapılandırın:

    • Komut satırını kullanarak CA denetimini yapılandırmak için şunu çalıştırın:

      certutil –setreg CA\AuditFilter 127 

net stop certsvc && net start certsvc

    • GUI kullanarak CA denetimini yapılandırmak için:

      1. Başlat -> Sertifika Yetkilisi (MMC Masaüstü uygulaması) öğesini seçin. CA'nızın adına sağ tıklayın ve Özellikler'i seçin. Örneğin:

        Screenshot of the Certification Authority dialog.

      2. Denetim sekmesini seçin, denetlemek istediğiniz tüm olayları seçin ve ardından Uygula'yı seçin. Örneğin:

        Screenshot of the Properties Auditing tab.

Not

Active Directory Sertifika Hizmetlerini Başlat ve Durdur olay denetiminin yapılandırılması, büyük bir AD CS veritabanıyla ilgilenirken yeniden başlatma gecikmelerine neden olabilir. Veritabanından ilgisiz girdileri kaldırmayı göz önünde bulundurun veya alternatif olarak, bu belirli olay türünü etkinleştirmekten kaçının.

Yapılandırma kapsayıcısı üzerinde denetimi yapılandırma

  1. Çalıştırmayı Başlat'ı >seçerek ADSI Düzenle'yi açın. Girin ADSIEdit.msc ve Tamam'ı seçin.

  2. Eylem menüsünde Bağlan seçin.

  3. Bağlan ion Ayarlar iletişim kutusunda, İyi bilinen bir Adlandırma Bağlamı seçin'in altında Yapılandırma>Tamam'ı seçin.

  4. Yapılandırma kapsayıcısını genişleterek "CN=Configuration,DC=..." ile başlayan Yapılandırma düğümünü görüntüleyin

  5. Yapılandırma düğümüne sağ tıklayın ve Özellikler'i seçin. Örneğin:

    Screenshot of the Configuration node properties.

  6. Güvenlik sekmesi Gelişmiş'i> seçin.

  7. Gelişmiş Güvenlik Ayarlar Denetim sekmesini >Ekle'yi seçin.

  8. Sorumlu seç'i seçin.

  9. Seçecek nesne adını girin'in altında Herkes yazın ve Adları>Denetle Tamam'ı seçin.

  10. Ardından Denetim Girdisi'ne dönersiniz. Aşağıdakiler arasından seçim yapın:

    • Tür için Tümü'nü seçin.
    • Bu nesne ve tüm alt nesneler'i seçmek için Geçerlidir için.
    • İzinler'in altında aşağı kaydırın ve Tümünü temizle'yi seçin. Yukarı kaydırın ve Tüm özellikleri yaz'ı seçin.

    Örneğin:

    Screenshot of the auditing settings for the Configuration container.

  11. Tamam'ı seçin.

Eski yapılandırmalar

Önemli

Kimlik için Defender artık 1644 olaylarının günlüğe kaydedilmesini gerektirmez. Bu kayıt defteri ayarını etkinleştirdiyseniz, kaldırabilirsiniz.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

İlgili içerik

Daha fazla bilgi için bkz . Windows güvenlik denetimi.

Sonraki adım

Kimlik için Defender rolleri ve izinleri nelerdir? »