Windows olay günlükleri için denetim ilkelerini yapılandırma
Kimlik için Microsoft Defender algılama, algılamaları geliştirmek ve NTLM oturum açmaları ve güvenlik grubu değişiklikleri gibi belirli eylemleri gerçekleştiren kullanıcılara ek bilgi sağlamak için belirli Windows Olay günlüğü girişlerine dayanır.
Doğru olayların denetlenip Windows Olay Günlüğü'ne dahil edilmesi için etki alanı denetleyicileriniz belirli Windows server Gelişmiş Denetim İlkesi ayarları gerektirir. Yanlış yapılandırılmış Gelişmiş Denetim İlkesi ayarları, Olay Günlüğü'nde boşluklara ve Kimlik için Defender kapsamının tamamlanmamışmasına neden olabilir.
Bu makalede, Kimlik için Defender algılayıcısı ve belirli olay türlerine yönelik diğer yapılandırmalar için Gelişmiş Denetim İlkesi ayarlarınızın gerektiği şekilde nasıl yapılandırıldığı açıklanmaktadır.
Daha fazla bilgi için Windows belgelerindeki Kimlik için Defender ve Gelişmiş güvenlik denetimi ilkeleri için Windows olay koleksiyonu nedir? konusuna bakın.
PowerShell aracılığıyla geçerli yapılandırmalarla rapor oluşturma
Önkoşullar: Kimlik için Defender PowerShell komutlarını çalıştırmadan önce Kimlik için Defender PowerShell modülünü indirdiğinizden emin olun.
Yeni olay ve denetim ilkeleri oluşturmaya başlamadan önce, geçerli etki alanı yapılandırmalarınızın raporunu oluşturmak için aşağıdaki PowerShell komutunu çalıştırmanızı öneririz:
New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]
Where:
- Yol , raporların kaydedilecek yolu belirtir
- Mod, Etki Alanı veya LocalMachine modunu kullanmak isteyip istemediğinizi belirtir. Etki alanı modunda, ayarlar Grup İlkesi nesnelerinden toplanır. LocalMachine modunda, ayarlar yerel makineden toplanır.
- OpenHtmlReport , rapor oluşturulduktan sonra HTML raporunu açar
Örneğin, bir rapor oluşturmak ve raporu varsayılan tarayıcınızda açmak için aşağıdaki komutu çalıştırın:
New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport
Daha fazla bilgi için bkz . DefenderforIdentity PowerShell başvurusu.
İpucu
Mod Domain
raporu yalnızca etki alanında grup ilkeleri olarak ayarlanan yapılandırmaları içerir. Etki Alanı Denetleyicilerinizde yerel olarak tanımlanmış ayarlarınız varsa Test-MdiReadiness.ps1 betiğini de çalıştırmanızı öneririz.
Etki alanı denetleyicileri için denetimi yapılandırma
Bir etki alanı denetleyicisiyle çalışırken, Gelişmiş Denetim İlkesi ayarlarınızı ve kullanıcılar, gruplar, bilgisayarlar ve daha fazlası gibi belirli olaylar ve olay türleri için ek yapılandırmaları güncelleştirmeniz gerekir. Etki alanı denetleyicileri için denetim yapılandırmaları şunlardır:
Gelişmiş Denetim İlkesi ayarlarını yapılandırma
Bu yordam, kimlik için Defender için gerektiğinde etki alanı denetleyicinizin Gelişmiş Denetim İlkelerini nasıl değiştirebileceğinizi açıklar.
Sunucuda Etki Alanı Yönetici istrator olarak oturum açın.
Sunucu Yöneticisi> Tools>Grup İlkesi Yönetimi'nden Grup İlkesi Yönetimi Düzenleyicisi'ni açın.
Etki Alanı Denetleyicileri Kuruluş Birimleri'ni genişletin, Varsayılan Etki Alanı Denetleyicileri İlkesi'ne sağ tıklayın ve düzenle'yi seçin. Örneğin:
Not
Bu ilkeleri ayarlamak için Varsayılan Etki Alanı Denetleyicileri İlkesi'ni veya ayrılmış bir GPO'yu kullanın.
Açılan pencerede Windows Ayarlar Güvenlik Ayarlar'ne>>> gidin ve etkinleştirmek istediğiniz ilkeye bağlı olarak aşağıdakileri yapın:
Gelişmiş Denetim İlkesi Yapılandırma>Denetim İlkeleri'ne gidin. Örneğin:
Denetim İlkeleri'nin altında aşağıdaki ilkelerin her birini düzenleyin ve Hem Başarı hem de Başarısızlık olayları için aşağıdaki denetim olaylarını yapılandır'ı seçin.
Denetim ilkesi Alt kategori Olay kimliklerini tetikler Hesap Oturum Açma Kimlik Bilgisi Doğrulamayı Denetleme 4776 Hesap Yönetimi Bilgisayar Hesabı Yönetimini Denetleme * 4741, 4743 Hesap Yönetimi Dağıtım Grubu Yönetimini Denetleme 4753, 4763 Hesap Yönetimi Güvenlik Grubu Yönetimini Denetleme * 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758 Hesap Yönetimi Kullanıcı Hesabı Yönetimini Denetleme 4726 DS Erişimi Dizin Hizmeti Değişikliklerini Denetleme 5136 Sistem Güvenlik Sistemi Uzantısını Denetle * 7045 DS Erişimi Dizin Hizmeti Erişimini Denetleme 4662 - Bu olay için etki alanı nesnesi denetimini de yapılandırmanız gerekir. Not
* Not edilen alt kategoriler hata olaylarını desteklemez. Ancak, gelecekte uygulanmaları durumunda bunları denetim amacıyla eklemenizi öneririz. Daha fazla bilgi için bkz . Bilgisayar Hesabı Yönetimini Denetleme, Güvenlik Grubu Yönetimini Denetleme ve Güvenlik Sistemi Uzantısını Denetleme.
Örneğin, Denetim Güvenlik Grubu Yönetimi'ni yapılandırmak için Hesap Yönetimi'nin altında Denetim Güvenlik Grubu Yönetimi'ne çift tıklayın ve ardından Hem Başarı hem de Başarısızlık olayları için aşağıdaki denetim olaylarını yapılandır'ı seçin:
Yükseltilmiş bir komut isteminden yazın
gpupdate
.İlkeyi GPO aracılığıyla uyguladıktan sonra, yeni olaylar Olay Görüntüleyicisi, Windows Günlükleri ->Güvenlik altında görünür.
Denetim ilkelerini komut satırından test edin
Denetim ilkelerinizi komut satırından test etmek için aşağıdaki komutu çalıştırın:
auditpol.exe /get /category:*
Daha fazla bilgi için auditpol başvuru belgelerine bakın.
PowerShell kullanarak denetim ilkelerini yapılandırma, alma ve test edin
PowerShell kullanarak denetim ilkelerini yapılandırmak için aşağıdaki komutu çalıştırın:
Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]
Where:
Mod, Etki Alanı veya LocalMachine modunu kullanmak isteyip istemediğinizi belirtir. Etki alanı modunda, ayarlar Grup İlkesi nesnelerinden toplanır. LocalMachine modunda, ayarlar yerel makineden toplanır.
Yapılandırma , ayarlanacağı yapılandırmayı belirtir. Tüm yapılandırmaları ayarlamak için kullanın
All
.CreateGpoDisabled , GPO'ların oluşturulup oluşturulmayacağını ve devre dışı olarak tutulup tutulmadığını belirtir.
SkipGpoLink , GPO bağlantılarının oluşturulmadığını belirtir.
Zorlama , yapılandırmanın ayarlandığını veya GPO'ların geçerli durum doğrulanmadan oluşturulduğunu belirtir.
PowerShell kullanarak denetim ilkelerinizi görüntülemek veya test etmek için aşağıdaki komutları gerektiği gibi çalıştırın. Geçerli değerleri göstermek için Get-MDIConfiguration komutunu kullanın. Değerlerin doğru yapılandırılıp yapılandırılmadığına ilişkin bir true
veya false
yanıt almak için Test-MDIConfiguration komutunu kullanın.
Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>
Where:
Mod, Etki Alanı veya LocalMachine modunu kullanmak isteyip istemediğinizi belirtir. Etki alanı modunda, ayarlar Grup İlkesi nesnelerinden toplanır. LocalMachine modunda, ayarlar yerel makineden toplanır.
Yapılandırma , hangi yapılandırmanın alınacak olduğunu belirtir. Tüm yapılandırmaları almak için kullanın
All
.
Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>
Where:
Mod, Etki Alanı veya LocalMachine modunu kullanmak isteyip istemediğinizi belirtir. Etki alanı modunda, ayarlar Grup İlkesi nesnelerinden toplanır. LocalMachine modunda, ayarlar yerel makineden toplanır.
Yapılandırma , test etmek istediğiniz yapılandırmayı belirtir. Tüm yapılandırmaları test etmek için kullanın
All
.
Daha fazla bilgi için aşağıdaki DefenderForIdentity PowerShell başvurularına bakın:
NTLM denetimini yapılandırma
Bu bölümde, Olay Kimliği 8004'i denetlemek için gereken ek yapılandırma adımları açıklanmaktadır.
Not
- Windows Olay 8004'i toplamak için etki alanı grubu ilkeleri yalnızca etki alanı denetleyicilerine uygulanmalıdır.
- Windows Olay 8004, Kimlik Algılayıcısı için Defender tarafından ayrıştırıldığında, Kimlik için Defender NTLM kimlik doğrulama etkinlikleri sunucuya erişilen verilerle zenginleştirilmiştir.
İlk adımları izleyerek Grup İlkesi Yönetimi'ni açın ve Varsayılan Etki Alanı Denetleyicileri İlkesi>Yerel İlkeler>Güvenlik Seçenekleri'ne gidin.
Güvenlik Seçenekleri'nin altında, belirtilen güvenlik ilkelerini aşağıdaki gibi yapılandırın:
Güvenlik ilkesi ayarı Değer Ağ güvenliği: NTLM'yi kısıtlama: Uzak sunuculara giden NTLM trafiği Tümünü denetle Ağ güvenliği: NTLM'i kısıtla: Bu etki alanında NTLM kimlik doğrulamayı denetle Tümünü etkinleştir Ağ güvenliği: NTLM'i kısıtlama: Gelen NTLM Trafiğini Denetleme Tüm hesaplar için denetimi etkinleştirme
Örneğin, Uzak sunuculara Giden NTLM trafiğini yapılandırmak için, Güvenlik Seçenekleri'nin altında Ağ güvenliği: NTLM'yi kısıtla: Uzak sunuculara giden NTLM trafiğini kısıtla'ya çift tıklayın ve ardından Tümünü denetle'yi seçin:
Etki alanı nesnesi denetimini yapılandırma
Olay 4662 gibi nesne değişikliklerine yönelik olayları toplamak için kullanıcı, grup, bilgisayar ve diğer nesneler üzerinde nesne denetimini de yapılandırmanız gerekir. Bu yordamda Active Directory etki alanında denetimin nasıl etkinleştirileceği açıklanır.
Önemli
Etki alanı denetleyicilerinin gerekli olayları kaydedecek şekilde düzgün yapılandırıldığından emin olmak için olay koleksiyonunu etkinleştirmeden önce denetim ilkelerinizi gözden geçirmeyi ve doğrulamayı unutmayın. Düzgün yapılandırıldıysa, bu denetimin sunucu performansı üzerinde en az etkisi olmalıdır.
Active Directory Kullanıcıları ve Bilgisayarları konsoluna gidin.
Denetlemek istediğiniz etki alanını seçin.
Görünüm menüsünü seçin ve Gelişmiş Özellikler'i seçin.
Etki alanına sağ tıklayın ve Özellikler'i seçin. Örneğin:
Güvenlik sekmesine gidin ve Gelişmiş'i seçin. Örneğin:
Gelişmiş Güvenlik Ayarlar Denetimsekmesini ve ardından Ekle'yi seçin. Örneğin:
Sorumlu seç'i seçin. Örneğin:
Seçecek nesne adını girin'in altında Herkes yazın ve Adları>Denetle Tamam'ı seçin. Örneğin:
Ardından Denetim Girdisi'ne dönersiniz. Aşağıdakiler arasından seçim yapın:
Tür için Başarılı'ya tıklayın.
Alt Kullanıcı nesnelerini seçmek için Geçerlidir için.
İzinler'in altında aşağı kaydırın ve Tümünü temizle düğmesini seçin. Örneğin:
Ekranı yukarı kaydırın ve Tam Denetim'i seçin. Tüm izinler seçilir.
Liste içeriği, Tüm özellikleri oku ve İzinleri okuma izinlerinin seçimini temizleyin ve Tamam'ı seçin. Bu, tüm Özellikler ayarlarını Yazma olarak ayarlar. Örneğin:
Artık tetiklendiğinde dizin hizmetlerindeki tüm ilgili değişiklikler olay olarak
4662
görünür.
Bu yordamdaki adımları yineleyin, ancak Uygulandığı yer için aşağıdaki nesne türlerini seçin:
- Alt Grup Nesneleri
- Alt Bilgisayar Nesneleri
- Descendant msDS-GroupManagedServiceAccount Nesneleri
- Descendant msDS-ManagedServiceAccount Nesneleri
Not
Tüm alt nesnelerde denetim izinlerini atamak da işe yarar, ancak yalnızca son adımda ayrıntılı olarak açıklandığı gibi nesne türlerini zorunlu kılarız.
Active Directory Federasyon Hizmetleri (AD FS) denetimi yapılandırma (AD FS)
Active Directory Kullanıcıları ve Bilgisayarları konsoluna gidin ve günlükleri etkinleştirmek istediğiniz etki alanını seçin.
Program Data>Microsoft ADFS'ye> gidin. Örneğin:
ADFS'ye sağ tıklayın ve Özellikler'i seçin.
Güvenlik sekmesine gidin ve Gelişmiş>Gelişmiş Güvenlik Ayarlar> Auditing sekmesi> Ekle Sorumlu seçin'i>seçin.
Seçecek nesne adını girin alanına Herkes yazın.
Adları>Denetle Tamam'ı seçin.
Ardından Denetim Girdisi'ne dönersiniz. Aşağıdakiler arasından seçim yapın:
- Tür için Tümü'nü seçin.
- Bu nesne ve tüm alt nesneler'i seçmek için Geçerlidir için.
- İzinler'in altında aşağı kaydırın ve Tümünü temizle'yi seçin. Ekranı yukarı kaydırın ve Tüm özellikleri oku ve Tüm özellikleri yaz'ı seçin.
Örneğin:
Tamam'ı seçin.
Active Directory Sertifika Hizmetleri (AD CS) için denetimi yapılandırma
Active Directory Sertifika Hizmetleri (AD CS) yapılandırılmış ayrılmış bir sunucuyla çalışıyorsanız, ayrılmış uyarıları ve Güvenli Puan raporlarını görüntülemek için denetimi aşağıdaki gibi yapılandırdığınızdan emin olun:
AD CS sunucunuza uygulanacak bir grup ilkesi oluşturun. Düzenleyin ve aşağıdaki denetim ayarlarını yapılandırın:
Bilgisayar Yapılandırması\İlkeler\Windows Ayarlar\Güvenlik Ayarlar\Gelişmiş Denetim İlkesi Yapılandırması\Denetim İlkeleri\Nesne Erişimi\Denetim Sertifikasyon Hizmetleri'ne gidin ve iki kez seçin.
Denetim olaylarını Başarılı ve Başarısız olarak yapılandırmak için seçin. Örneğin:
Aşağıdaki yöntemlerden birini kullanarak sertifika yetkilisinde (CA) denetimi yapılandırın:
Komut satırını kullanarak CA denetimini yapılandırmak için şunu çalıştırın:
certutil –setreg CA\AuditFilter 127 net stop certsvc && net start certsvc
GUI kullanarak CA denetimini yapılandırmak için:
Başlat -> Sertifika Yetkilisi (MMC Masaüstü uygulaması) öğesini seçin. CA'nızın adına sağ tıklayın ve Özellikler'i seçin. Örneğin:
Denetim sekmesini seçin, denetlemek istediğiniz tüm olayları seçin ve ardından Uygula'yı seçin. Örneğin:
Not
Active Directory Sertifika Hizmetlerini Başlat ve Durdur olay denetiminin yapılandırılması, büyük bir AD CS veritabanıyla ilgilenirken yeniden başlatma gecikmelerine neden olabilir. Veritabanından ilgisiz girdileri kaldırmayı göz önünde bulundurun veya alternatif olarak, bu belirli olay türünü etkinleştirmekten kaçının.
Yapılandırma kapsayıcısı üzerinde denetimi yapılandırma
Çalıştırmayı Başlat'ı >seçerek ADSI Düzenle'yi açın. Girin
ADSIEdit.msc
ve Tamam'ı seçin.Eylem menüsünde Bağlan seçin.
Bağlan ion Ayarlar iletişim kutusunda, İyi bilinen bir Adlandırma Bağlamı seçin'in altında Yapılandırma>Tamam'ı seçin.
Yapılandırma kapsayıcısını genişleterek "CN=Configuration,DC=..." ile başlayan Yapılandırma düğümünü görüntüleyin
Yapılandırma düğümüne sağ tıklayın ve Özellikler'i seçin. Örneğin:
Güvenlik sekmesi Gelişmiş'i> seçin.
Gelişmiş Güvenlik Ayarlar Denetim sekmesini >Ekle'yi seçin.
Sorumlu seç'i seçin.
Seçecek nesne adını girin'in altında Herkes yazın ve Adları>Denetle Tamam'ı seçin.
Ardından Denetim Girdisi'ne dönersiniz. Aşağıdakiler arasından seçim yapın:
- Tür için Tümü'nü seçin.
- Bu nesne ve tüm alt nesneler'i seçmek için Geçerlidir için.
- İzinler'in altında aşağı kaydırın ve Tümünü temizle'yi seçin. Yukarı kaydırın ve Tüm özellikleri yaz'ı seçin.
Örneğin:
Tamam'ı seçin.
Eski yapılandırmalar
Önemli
Kimlik için Defender artık 1644 olaylarının günlüğe kaydedilmesini gerektirmez. Bu kayıt defteri ayarını etkinleştirdiyseniz, kaldırabilirsiniz.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001
İlgili içerik
Daha fazla bilgi için bkz . Windows güvenlik denetimi.