为 Windows 事件日志配置审核策略

项目
02/19/2024

Microsoft Defender for Identity 检测依赖特定的 Windows 事件日志条目来增强检测，并提供有关执行了特定操作的用户的额外信息，例如 NTLM 登录和安全组修改。

为了审核正确的事件并将其包含在 Windows 事件日志中，域控制器需要特定的 Windows 服务器高级审核策略设置。错误配置的高级审核策略设置可能会导致事件日志中出现空白，以及 Defender for Identity 覆盖范围不完整。

本文章介绍了如何根据需要为 Defender for Identity 传感器配置高级审核策略设置，以及为特定事件类型配置其他配置。

有关更多信息，请参阅 Windows 文档中的 Defender for Identity 的 Windows 事件集合是什么和高级安全审核策略。

通过 PowerShell 生成附带当前配置的报表

先决条件：在运行 Defender for Identity PowerShell 命令之前，请确保已下载 Defender for Identity PowerShell 模块。

在开始创建新的事件和审核策略之前，建议运行以下 PowerShell 命令来生成当前域配置的报表：

New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]

其中：

路径指定保存报表的路径
模式指定是要使用域模式还是 LocalMachine 模式。在域模式下，从组策略对象中收集这些设置。在 LocalMachine 模式下，从本地计算机收集这些设置。
生成报表后，OpenHtmlReport 将打开 HTML 报表

例如，若要生成报表并在默认浏览器中打开报表，请运行以下命令：

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

有关详细信息，请参阅 DefenderforIdentity PowerShell 参考：

提示

Domain 模式报表仅包括在域上设置为组策略的配置。如果在域控制器上在本地定义了设置，建议同时运行 Test-MdiReadiness.ps1 脚本。

为域控制器配置审核

使用域控制器时，需要针对特定事件和事件类型（如用户、组、计算机等）更新高级审核策略设置和额外配置。域控制器的审核配置包含：

高级审核策略设置
NTLM 审核
域对象审核

配置高级审核策略设置

此过程描述了如何根据 Defender for Identity 的需要修改域控制器的高级审核策略。

以域管理员身份登录服务器。
从服务器管理器>工具>组策略管理打开组策略管理编辑器。
展开“域控制器组织单位”，右键单击“默认域控制器策略”，然后选择“编辑”。例如：

注意

使用默认域控制器策略或专用 GPO 来设置这些策略。

从打开的窗口中，转到计算机配置>策略>Windows 设置>安全设置，并根据要启用的策略执行以下操作：

转到高级审核策略配置>审核策略。例如：

在审核策略下，编辑以下每个策略，并选择为成功和失败事件配置以下审核事件。

审核策略	Subcategory	触发器事件 ID
帐户登录	审核凭据验证	4776
帐户管理	审核计算机帐户管理^*	4741，4743
帐户管理	审核通讯组管理	4753，4763
帐户管理	审核安全组管理^*	4728，4729，4730，4732，4733，4756，4757，4758
帐户管理	审核用户帐户管理	4726
DS 访问	审核目录服务更改	5136
系统	审核安全系统扩展^*	7045
DS 访问	审核目录服务访问	4662 - 对于此事件，你还必须配置域对象审核。

注意

* 指出的子类别不支持失败事件。但是，建议添加它们以备将来实现时进行审核。有关详细信息，请参阅审核计算机帐户管理、审核安全组管理和审核安全系统扩展。

例如，要配置审核安全组管理，请在帐户管理下连按审核安全组管理，然后选择为成功和失败事件配置以下审核事件：

Screenshot of the Audit Security Group Management dialog.

从提升的命令提示符，键入 gpupdate。
通过 GPO 应用策略后，新事件将显示在事件查看器中的“Windows 日志”>“安全性”下。

从命令行测试审核策略

若要从命令行测试审核策略，请运行以下命令：

auditpol.exe /get /category:*

有关详细信息，请参阅 auditpol 参考文档。

使用 PowerShell 配置、获取和测试审核策略

若要使用 PowerShell 配置审核策略，请运行以下命令：

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

其中：

模式指定是要使用域模式还是 LocalMachine 模式。在域模式下，从组策略对象中收集这些设置。在 LocalMachine 模式下，从本地计算机收集这些设置。
配置指定要设置的配置。使用 All 设置所有配置。
CreateGpoDisabled 指定是否创建 GPO 并将其保留为禁用状态。
SkipGpoLink 指定不创建 GPO 链接。
Force 指定在不验证当前状态的情况下设置配置或创建 GPO。

若要使用 PowerShell 查看或测试审核策略，请根据需要运行以下命令。使用 Get-MDIConfiguration 命令显示当前值。使用 Test-MDIConfiguration 命令获取 true 或值是否配置正确的 false 响应。

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

其中：

模式指定是要使用域模式还是 LocalMachine 模式。在域模式下，从组策略对象中收集这些设置。在 LocalMachine 模式下，从本地计算机收集这些设置。
配置指定要获取的配置。使用 All 获取所有配置。

Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

其中：

模式指定是要使用域模式还是 LocalMachine 模式。在域模式下，从组策略对象中收集这些设置。在 LocalMachine 模式下，从本地计算机收集这些设置。
配置指定要测试的配置。使用 All 测试所有配置。

有关详细信息，请参阅以下 DefenderForIdentity PowerShell 参考：

配置 NTLM 审核

本节介绍了审核事件 ID 8004 所需的额外配置步骤。

注意

收集 Windows 事件 8004 的域组策略应仅应用于域控制器。
当 Defender for Identity 传感器分析 Windows 事件 8004 时，Defender for Identity NTLM 身份验证活动将使用服务器访问的数据进行扩充。

按照最初的步骤，打开组策略管理，然后转到默认域控制器策略>本地策略>安全选项。

在安全选项下，按如下方式配置指定的安全策略：

安全策略设置	值
网络安全: 限制 NTLM: 到远程服务器的传出 NTLM 流量	全部审核
网络安全: 限制 NTLM: 审核此域中的 NTLM 身份验证	全部启用
网络安全: 限制 NTLM:审核传入的 NTLM 流量	对所有帐户启用审核

例如，要配置到远程服务器的传出 NTLM 流量，请在安全选项下，连按网络安全: 限制 NTLM: 到远程服务器的传出 NTLM 流量，然后选择全部审核：

Screenshot of the Audit Outgoing NTLM traffic to remote servers configuration.

配置域对象审核

要收集对象更改的事件，例如事件 4662，还必须在用户、组、计算机和其他对象上配置对象审核。本过程描述了如何在 Active Directory 域中启用审核。

重要

在启用事件收集之前，请确保检查和验证审核策略，以确保域控制器已正确配置为记录必要的事件。如果配置正确，此审核对服务器性能的影响应该最小。

转到 “Active Directory 用户和计算机” 控制台。
选择要审核的域。
选择查看菜单，然后选择高级功能。
右键单击该域并选择属性。例如：
转到安全选项卡，选择高级。例如：
在高级安全设置中，选择审核选项卡，然后选择添加。例如：
选择选择主体。例如：
在输入要选择的对象名称下，输入 Everyone，然后选择检查名称>确定。例如：
然后，返回到审核项。进行以下选择：
1. 类型选择成功。
2. 应用于选择子级用户对象。
3. 在权限下，向下滚动并选择全部清除按钮。例如：
4. 向上滚动并选择完全控制。所有权限都已选择。
5. 清除列表内容、读取所有属性和读取权限权限的选择，然后选择确定。这会将所有属性设置设置为写入。例如：
  
  现在，当触发时，对目录服务的所有相关更改都会显示为 4662 事件。
重复此过程中的步骤，但对于适用于，请选择以下对象类型：
- 后代组对象
- 后代计算机对象
- 后代 msDS-GroupManagedServiceAccount 对象
- 后代 msDS-ManagedServiceAccount 对象

注意

对所有后代对象分配审核权限也可以，但我们只需要最后一步中详述的对象类型。

在 Active Directory 联合身份验证服务 (AD FS) 上配置审核

转到 Active Directory 用户和计算机主机，然后选择要启用日志的域。
转到程序数据>Microsoft>ADFS。例如：
右键单击 ADFS，然后选择属性。
转到“安全性”选项卡，然后选择“高级”>“高级安全设置”>“审核”选项卡>“添加”>“选择主体”。
在输入要选择的对象名称下，输入 Everyone。
选择“检查名称”>“确定”。
然后，返回到审核项。进行以下选择：
- 对于类型，请选择全部。
- 对于应用对象，请选择此对象和所有后代对象。
- 在权限下，向下滚动并选择全部清除。向上滚动并选择读取所有属性和写入所有属性。
例如：
选择“确定”。

为 Active Directory 证书服务（AD CS）配置审核

如果你使用的是配置了 Active Directory 证书服务 (AD CS) 的专用服务器，请确保按以下方式配置审核以查看专用警报和安全功能分数报告：

创建一个组策略以应用于你的 AD CS 服务器。编辑并配置以下审核设置：
1. 转到计算机配置\策略\Windows 设置\安全设置\高级审核策略配置\审核策略\对象访问\审核证书服务并双击选择。
2. 选择为成功和失败配置审核事件。例如：
使用以下方法之一对证书颁发机构 (CA) 配置审核：
- 要使用命令行配置 CA 审核，请运行：
```
certutil –setreg CA\AuditFilter 127 

net stop certsvc && net start certsvc
```
- 要使用 GUI 配置 CA 审核，请执行以下操作：
  1. 选择开始 -> 证书颁发机构（MMC 桌面应用程序）。右键单击 CA 名称并选择属性。例如：
  2. 选择审核选项卡，选择要审核的所有事件，然后选择应用。例如：

注意

配置启动和停止 Active Directory 证书服务事件审核可能会导致处理大型 AD CS 数据库时重启延迟。请考虑从数据库中删除不相关的条目，或者避免启用此特定类型的事件。

对配置容器配置审核

选择开始>运行打开 ADSI 编辑器。输入 ADSIEdit.msc 并选择确定。
在操作菜单上，选择连接到。
在连接设置对话框的选择已知命名上下文下，选择配置>确定。
展开配置容器以显示配置节点，从“CN=Configuration,DC=...”开始
右键单击配置节点，并选择属性。例如：
选择“安全性”选项卡>“高级”。
在高级安全设置中选择审核选项卡>添加。
选择选择主体。
在输入要选择的对象名称下，输入 Everyone，然后选择检查名称>确定。
然后，返回到审核项。进行以下选择：
- 对于类型，请选择全部。
- 对于应用对象，请选择此对象和所有后代对象。
- 在权限下，向下滚动并选择全部清除。向上滚动并选择写入所有属性。
例如：
选择“确定”。

旧配置选项

重要

Defender for Identity 不再需要记录 1644 事件。如果已启用此注册表设置，可以将其移除。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

有关详细信息，请参阅 Windows 安全审核。

下一步

什么是 Defender for Identity 角色和权限？ »