Udostępnij przez

Konfigurowanie zasad inspekcji dla dzienników zdarzeń systemu Windows

Wykrywanie usługi Defender for Identity polega na określonych wpisach dziennika zdarzeń systemu Windows w celu ulepszenia wykrywania i udostępnienia dodatkowych informacji o użytkownikach wykonujących określone akcje, takie jak logowania NTLM i modyfikacje grup zabezpieczeń. W tym artykule opisano sposób konfigurowania zaawansowanych ustawień zasad inspekcji w celu uniknięcia luk w dziennikach zdarzeń i niepełnego pokrycia usługi Defender for Identity.

Usługa Defender for Identity generuje alerty dotyczące kondycji po wykryciu nieprawidłowych konfiguracji inspekcji zdarzeń systemu Windows. Aby uzyskać więcej informacji, zobacz Microsoft Defender for Identity alerty dotyczące kondycji.

Wymagania wstępne

Jeśli używasz modułu programu PowerShell usługi Active Directory do konfigurowania kontrolera domeny, upewnij się, że pobrano moduł PowerShell usługi Defender for Identity.

Uwaga

Moduł Programu PowerShell usługi Active Directory jest wymagany tylko podczas konfigurowania usługi Defender for Identity na kontrolerach domeny. Nie jest to wymagane na serwerach usług AD CS z uruchomioną usługą roli urzędu certyfikacji.

Generowanie raportu bieżących konfiguracji przy użyciu programu PowerShell

Przed rozpoczęciem tworzenia nowych zasad zdarzeń i inspekcji zalecamy uruchomienie następującego polecenia programu PowerShell w celu wygenerowania raportu bieżących konfiguracji domeny:

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -Identity "DOMAIN\ServiceAccountName" -OpenHtmlReport

Gdzie:

  • Path określa ścieżkę do zapisywania raportów.

  • Mode Określa, czy chcesz użyć Domain lub LocalMachine tryb. W Domain trybie ustawienia są zbierane z obiektów zasady grupy (GPO). W LocalMachine trybie ustawienia są zbierane z komputera lokalnego.

    Raport Domain trybu zawiera tylko konfiguracje ustawione jako zasady grupy w domenie. Jeśli masz ustawienia zdefiniowane lokalnie na kontrolerach domeny, zalecamy również uruchomienie skryptu Test-MdiReadiness.ps1 .

  • OpenHtmlReport powoduje otwarcie raportu HTML po wygenerowaniu raportu.

Uwaga

W przypadku korzystania z -Mode Domainpolecenia dołącz parametr , -Identity aby uniknąć interakcyjnego monitu. Aby uzyskać więcej informacji, zobacz: New-MDIConfigurationReport.

Aby na przykład wygenerować raport i otworzyć go w przeglądarce domyślnej, uruchom następujące polecenie:

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

Aby uzyskać więcej informacji, zobacz dokumentację programu PowerShell usługi Defender for Identity.

Konfigurowanie inspekcji zdarzeń systemu Windows dla kontrolerów domeny

Zaktualizuj ustawienia zaawansowanych zasad inspekcji i dodatkowe konfiguracje dla określonych zdarzeń i typów zdarzeń, takich jak użytkownicy, grupy, komputery i inne. Konfiguracje inspekcji dla kontrolerów domeny obejmują:

Aby uzyskać więcej informacji, zobacz Zaawansowane inspekcje zabezpieczeń — często zadawane pytania.

Inspekcję na kontrolerach domeny można skonfigurować w portalu lub przy użyciu programu PowerShell.

Konfigurowanie ustawień zaawansowanych zasad inspekcji w portalu usługi Defender

W tej procedurze opisano sposób modyfikowania ustawień zaawansowanych zasad inspekcji kontrolera domeny zgodnie z potrzebami usługi Defender for Identity za pośrednictwem interfejsu użytkownika.

  1. Zaloguj się na serwerze jako administrator domeny.

  2. Otwórz edytor zarządzania zasady grupy z Menedżer serwera>Tools>zasady grupy Management.

  3. Rozwiń węzeł Jednostki organizacyjne kontrolerów domeny, kliknij prawym przyciskiem myszy pozycję Domyślne zasady kontrolerów domeny, a następnie wybierz pozycję Edytuj.

    Zrzut ekranu przedstawiający okienko do edytowania domyślnych zasad dla kontrolerów domeny.

    Uwaga

    Użyj domyślnych zasad kontrolerów domeny lub dedykowanego obiektu zasad grupy, aby ustawić te zasady.

  4. W wyświetlonym oknie przejdź do pozycji Zasady konfiguracji> komputeraUstawienia>zabezpieczeń ustawień>systemu Windows. W zależności od zasad, które chcesz włączyć, wykonaj następujące czynności:

    1. Przejdź do obszaru Zaawansowane zasady inspekcji konfiguracjizasad inspekcji>.

      Zrzut ekranu przedstawiający opcje otwierania zasad inspekcji.

    2. W obszarze Zasady inspekcji edytuj każdą z następujących zasad i wybierz pozycję Skonfiguruj następujące zdarzenia inspekcji dla zdarzeńpowodzenie i niepowodzenie .

      Zasady inspekcji Podkategorii Wyzwalacze identyfikatorów zdarzeń
      Logowanie do konta Sprawdzanie poprawności poświadczeń inspekcji 4776
      Zarządzanie kontami Inspekcja zarządzania kontami komputerów* 4741, 4743
      Zarządzanie kontami Inspekcja zarządzania grupą dystrybucyjną* 4753, 4763
      Zarządzanie kontami Inspekcja zarządzania grupami zabezpieczeń* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Zarządzanie kontami Inspekcja zarządzania kontami użytkowników 4726
      Dostęp DS Inspekcja zmian w usłudze katalogowej* 5136
      System Inspekcja rozszerzenia systemu zabezpieczeń* 7045
      Dostęp DS Inspekcja dostępu do usługi katalogowej 4662 — W przypadku tego zdarzenia należy również skonfigurować inspekcję obiektów domeny.

      Uwaga

      * Zanotowane podkategorie nie obsługują zdarzeń awarii. Zalecamy jednak dodanie ich do celów inspekcji na wypadek, gdyby zostały zaimplementowane w przyszłości. Aby uzyskać więcej informacji, zobacz Inspekcja zarządzania kontem komputera, Inspekcja zarządzania grupami zabezpieczeń i Inspekcja rozszerzenia systemu zabezpieczeń.

      Aby na przykład skonfigurować zarządzanie grupami zabezpieczeń inspekcji, w obszarze Zarządzanie kontami kliknij dwukrotnie pozycję Inspekcja zarządzania grupami zabezpieczeń, a następnie wybierz pozycję Skonfiguruj następujące zdarzenia inspekcji dla zdarzeńpowodzenie i niepowodzenie .

      Zrzut ekranu przedstawiający okno dialogowe Inspekcja właściwości zarządzania grupami zabezpieczeń.

  5. W wierszu polecenia z podwyższonym poziomem uprawnień wprowadź wartość gpupdate.

  6. Po zastosowaniu zasad za pośrednictwem obiektu zasad grupy upewnij się, że nowe zdarzenia są wyświetlane w Podgląd zdarzeń w obszarzeZabezpieczeniadzienników> systemu Windows.

    Aby przetestować zasady inspekcji z poziomu wiersza polecenia, uruchom następujące polecenie:

    auditpol.exe /get /category:*

Aby uzyskać więcej informacji, zobacz dokumentację referencyjną auditpol.

Konfigurowanie ustawień zaawansowanych zasad inspekcji przy użyciu programu PowerShell

Poniższe akcje opisują sposób modyfikowania ustawień zaawansowanych zasad inspekcji kontrolera domeny zgodnie z potrzebami usługi Defender for Identity przy użyciu programu PowerShell.

Następujące polecenie definiuje wszystkie ustawienia domeny, tworzy obiekty zasad grupy i łączy je.

Set-MDIConfiguration -Mode Domain -Configuration All

Aby skonfigurować ustawienia, uruchom polecenie:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

Gdzie:

  • Mode Określa, czy chcesz użyć Domain lub LocalMachine tryb. W Domain trybie ustawienia są zbierane z obiektów zasady grupy. W LocalMachine trybie ustawienia są zbierane z komputera lokalnego.
  • Configuration określa, którą konfigurację ustawić. Użyj polecenia All , aby ustawić wszystkie konfiguracje.
  • CreateGpoDisabled Określa, czy obiekty zasad grupy są tworzone i przechowywane jako wyłączone.
  • SkipGpoLink określa, że łącza obiektu zasad grupy nie są tworzone.
  • Force Określa, że konfiguracja jest ustawiona lub obiekty zasad grupy są tworzone bez weryfikowania bieżącego stanu.

Aby wyświetlić zasady inspekcji Get-MDIConfiguration , użyj polecenia , aby wyświetlić bieżące wartości:

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Gdzie:

  • Mode Określa, czy chcesz użyć Domain lub LocalMachine tryb. W Domain trybie ustawienia są zbierane z obiektów zasady grupy. W LocalMachine trybie ustawienia są zbierane z komputera lokalnego.
  • Configuration Określa, która konfiguracja ma zostać pobrana. Użyj polecenia All , aby uzyskać wszystkie konfiguracje.

Aby przetestować zasady inspekcji, użyj Test-MDIConfiguration polecenia , aby uzyskać true odpowiedź lub false na pytanie, czy wartości są poprawnie skonfigurowane:

Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Gdzie:

  • Mode Określa, czy chcesz użyć Domain lub LocalMachine tryb. W Domain trybie ustawienia są zbierane z obiektów zasady grupy. W LocalMachine trybie ustawienia są zbierane z komputera lokalnego.
  • Configuration określa konfigurację do przetestowania. Służy All do testowania wszystkich konfiguracji.

Aby uzyskać więcej informacji, zobacz następujące odwołania do programu PowerShell DefenderForIdentity:

Konfigurowanie inspekcji NTLM

Gdy czujnik usługi Defender for Identity analizuje zdarzenie systemu Windows 8004, działania uwierzytelniania NTLM usługi Defender for Identity są wzbogacane o dane dostępne dla serwera. W tej sekcji opisano dodatkowe kroki konfiguracji potrzebne do inspekcji zdarzenia systemu Windows 8004.

Uwaga

  • Zasady grupy domeny do zbierania zdarzeń systemu Windows 8004 powinny być stosowane tylko do kontrolerów domeny.

Aby skonfigurować inspekcję NTLM:

  1. Po skonfigurowaniu początkowych ustawień zaawansowanych zasad inspekcji w portalu usługi Defender lub przy użyciu programu PowerShell otwórz zasady grupy Management. Następnie przejdź do pozycji Domyślne zasady> kontrolerów domenyOpcje zabezpieczeń zasad >lokalnych.

  2. Skonfiguruj określone zasady zabezpieczeń w następujący sposób:

    Ustawienie zasad zabezpieczeń Value
    Zabezpieczenia sieci: ograniczanie ruchu NTLM: wychodzący ruch NTLM do serwerów zdalnych Przeprowadź inspekcję wszystkich
    Zabezpieczenia sieci: ograniczanie NTLM: inspekcja uwierzytelniania NTLM w tej domenie Włącz wszystkie
    Zabezpieczenia sieci: ograniczanie NTLM: inspekcja przychodzącego ruchu NTLM Włączanie inspekcji dla wszystkich kont

Aby na przykład skonfigurować wychodzący ruch NTLM do serwerów zdalnych, w obszarze Opcje zabezpieczeń kliknij dwukrotnie pozycję Zabezpieczenia sieci: Ogranicz NTLM: wychodzący ruch NTLM do serwerów zdalnych, a następnie wybierz pozycję Przeprowadź inspekcję wszystkich.

Zrzut ekranu przedstawiający konfigurację inspekcji wychodzącego ruchu NTLM do serwerów zdalnych.

Konfigurowanie inspekcji obiektów domeny

Aby zbierać zdarzenia dotyczące zmian obiektów, takich jak zdarzenie 4662, należy również skonfigurować inspekcję obiektów dla użytkownika, grupy, komputera i innych obiektów. W poniższej procedurze opisano sposób włączania inspekcji w domenie usługi Active Directory.

Aby upewnić się, że kontrolery domeny są prawidłowo skonfigurowane do rejestrowania niezbędnych zdarzeń, przejrzyj i przejrzyj zasady w portalu usługi Defender lub użyj programu PowerShell przed włączeniem zbierania zdarzeń. Jeśli inspekcja jest prawidłowo skonfigurowana, ma minimalny wpływ na wydajność serwera.

Aby skonfigurować inspekcję obiektów domeny:

  1. Przejdź do konsoli Użytkownicy i komputery usługi Active Directory.

  2. Wybierz domenę, którą chcesz poddać inspekcji.

  3. Wybierz menu Widok , a następnie wybierz pozycję Funkcje zaawansowane.

  4. Kliknij prawym przyciskiem myszy domenę i wybierz pozycję Właściwości.

    Zrzut ekranu przedstawiający opcje otwierania właściwości kontenera.

  5. Przejdź do karty Zabezpieczenia , a następnie wybierz pozycję Zaawansowane.

    Zrzut ekranu przedstawiający okno dialogowe otwierania zaawansowanych właściwości zabezpieczeń.

  6. W obszarze Zaawansowane ustawienia zabezpieczeń wybierz kartę Inspekcja , a następnie wybierz pozycję Dodaj.

    Zrzut ekranu przedstawiający kartę Inspekcja w oknie dialogowym Zaawansowane ustawienia zabezpieczeń.

  7. Wybierz pozycję Wybierz podmiot zabezpieczeń.

    Zrzut ekranu przedstawiający przycisk wybierania podmiotu zabezpieczeń.

  8. W obszarze Wprowadź nazwę obiektu do wybrania wprowadź wartość Wszyscy. Następnie wybierz pozycję Sprawdź nazwy>OK.

    Zrzut ekranu przedstawiający wprowadzanie nazwy obiektu Wszyscy.

  9. Wstecz do pozycji Inspekcja i dokonaj następujących wyborów:

    1. W polu Typ wybierz pozycję Powodzenie.

    2. W polu Dotyczy wybierz pozycję Obiekty użytkownika potomnego.

    3. W obszarze Uprawnienia przewiń w dół i wybierz przycisk Wyczyść wszystko.

      Zrzut ekranu przedstawiający przycisk umożliwiający wyczyszczenie wszystkich uprawnień.

    4. Przewiń ponownie w górę i wybierz pozycję Pełna kontrola. Wszystkie uprawnienia są zaznaczone.

    5. Wyczyść zaznaczenie pozycji Zawartość listy, Odczyt wszystkich właściwości i Uprawnienia do odczytu , a następnie wybierz przycisk OK. Ten krok powoduje ustawienie wszystkich ustawień właściwości na wartość Zapis.

      Zrzut ekranu przedstawiający wybieranie uprawnień.

      Teraz wszystkie istotne zmiany w usługach katalogowych są wyświetlane jako zdarzenia 4662 po ich wyzwoleniu.

  10. Powtórz kroki opisane w tej procedurze, ale w polu Dotyczy wybierz następujące typy obiektów 1

    • Obiekty grupy elementów potomnych
    • Obiekty komputera potomnego
    • Obiekty podrzędne msDS-GroupManagedServiceAccount
    • Obiekty podrzędne msDS-ManagedServiceAccount
    • Obiekty podrzędne msDS-DelegatedManagedServiceAccount Objects2

Uwaga

  • Można również przypisać uprawnienia inspekcji dla wszystkich obiektów potomnych, używając tylko typów obiektów opisanych w ostatnim kroku.
  • Klasa msDS-DelegatedManagedServiceAccount jest odpowiednia tylko dla domen z co najmniej jednym kontrolerem domeny Windows Server 2025 r.

Konfigurowanie inspekcji w usługach AD FS

Aby skonfigurować inspekcję na Active Directory Federation Services (AD FS):

  1. Przejdź do konsoli Użytkownicy i komputery usługi Active Directory i wybierz domenę, w której chcesz włączyć dzienniki.

  2. Przejdź do obszaru Dane> programuMicrosoft>ADFS.

    Zrzut ekranu przedstawiający kontener dla Active Directory Federation Services.

  3. Kliknij prawym przyciskiem myszy usługę ADFS i wybierz pozycję Właściwości.

  4. Przejdź do karty Zabezpieczenia i wybierz pozycję Zaawansowane>ustawienia zabezpieczeń. Następnie przejdź do karty Inspekcja i wybierz pozycję Dodaj>Wybierz jednostkę.

  5. W obszarze Wprowadź nazwę obiektu do wybrania wprowadź wartość Wszyscy. Następnie wybierz pozycję Sprawdź nazwy>OK.

  6. Następnie wrócisz do pozycji Inspekcja. Wybierz następujące opcje:

    • W polu Typ wybierz pozycję Wszystkie.
    • W polu Dotyczy wybierz pozycję Ten obiekt i wszystkie obiekty podrzędne.
    • W obszarze Uprawnienia przewiń w dół i wybierz pozycję Wyczyść wszystko. Przewiń w górę i wybierz pozycję Odczyt wszystkich właściwości i Zapisz wszystkie właściwości.

    Zrzut ekranu przedstawiający ustawienia inspekcji dla Active Directory Federation Services.

  7. Wybierz przycisk OK.

Konfigurowanie pełnego rejestrowania zdarzeń usług AD FS

Czujniki działające na serwerach usług AD FS muszą mieć poziom inspekcji ustawiony na Pełne dla odpowiednich zdarzeń. Na przykład użyj następującego polecenia, aby skonfigurować poziom inspekcji na pełne:

Set-AdfsProperties -AuditLevel Verbose

Konfigurowanie inspekcji w usłudze AD CS

Jeśli pracujesz z dedykowanym serwerem z skonfigurowanymi usługami certyfikatów Active Directory (AD CS), skonfiguruj inspekcję w następujący sposób, aby wyświetlać dedykowane alerty i raporty bezpiecznego wyniku:

  1. Utwórz zasady grupy do zastosowania na serwerze usługi AD CS. Edytuj go i skonfiguruj następujące ustawienia inspekcji:

    1. Przejdź do pozycji Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Konfiguracja zaawansowanych zasad inspekcji\Zasady inspekcji\Dostęp do obiektów\Inspekcja usług certyfikacji.

    2. Zaznacz pola wyboru, aby skonfigurować zdarzenia inspekcji pod kątem powodzenia i niepowodzenia.

      Zrzut ekranu przedstawiający konfigurowanie zdarzeń inspekcji dla usług certyfikatów Active Directory w Edytorze zarządzania zasady grupy.

  2. Skonfiguruj inspekcję urzędu certyfikacji przy użyciu jednej z następujących metod:

    • Aby skonfigurować inspekcję urzędu certyfikacji przy użyciu wiersza polecenia, uruchom polecenie:

      certutil –setreg CA\AuditFilter 127 
net stop certsvc && net start certsvc

    - To configure CA auditing in the Defender portal:

 1. Select **Start** > **Certification Authority (MMC Desktop application)**. Right-click your CA's name and select **Properties**.

    :::image type="content" source="../media/configure-windows-event-collection/certification-authority.png" alt-text="Screenshot of the Certification Authority dialog.":::

 1. Select the **Auditing** tab, select all the events that you want to audit, and then select **Apply**.

    :::image type="content" source="../media/configure-windows-event-collection/auditing.png" alt-text="Screenshot of the Auditing tab for certificate authority properties.":::

Uwaga

Konfigurowanie uruchamiania i zatrzymywania inspekcji zdarzeń usług certyfikatów Active Directory może powodować opóźnienia ponownego uruchamiania, gdy masz do czynienia z dużą bazą danych usługi AD CS. Rozważ usunięcie nieistotnych wpisów z bazy danych. Możesz też powstrzymać się od włączania tego konkretnego typu zdarzenia.

Konfigurowanie inspekcji w programie Microsoft Entra Connect

Aby skonfigurować inspekcję na serwerach programu Microsoft Entra Connect:

  • Utwórz zasady grupy do zastosowania do serwerów Microsoft Entra Connect. Edytuj go i skonfiguruj następujące ustawienia inspekcji:

    1. Przejdź do pozycji Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Konfiguracja zaawansowanych zasad inspekcji\Zasady inspekcji\Logowanie/Logowanie\Inspekcja logowania.

    2. Zaznacz pola wyboru, aby skonfigurować zdarzenia inspekcji pod kątem powodzenia i niepowodzenia.

Zrzut ekranu przedstawiający edytor zarządzania zasady grupy.

Konfigurowanie inspekcji w kontenerze konfiguracji

Inspekcja kontenera konfiguracji jest wymagana tylko w środowiskach, w których obecnie lub wcześniej był używany program Microsoft Exchange, ponieważ te środowiska mają kontener programu Exchange znajdujący się w sekcji Konfiguracja domeny.

  1. Otwórz narzędzie DO EDYCJI ADSI. Wybierz pozycję Uruchom,> wprowadźADSIEdit.msc , a następnie wybierz przycisk OK.

  2. W menu Akcja wybierz pozycję Połącz z.

  3. W oknie dialogowym Ustawienia połączenia w obszarze Wybierz dobrze znany kontekst nazewnictwa wybierz pozycję Konfiguracja>OK.

  4. Rozwiń kontener Konfiguracja , aby wyświetlić węzeł Konfiguracja , który zaczyna się od "CN=Configuration,DC=...".

    Zrzut ekranu przedstawiający opcje otwierania właściwości węzła konfiguracji cn.

  5. Kliknij prawym przyciskiem myszy węzeł Konfiguracja i wybierz pozycję Właściwości.

    Zrzut ekranu przedstawiający opcje otwierania właściwości węzła Konfiguracja.

  6. Wybierz kartę Zabezpieczenia , a następnie wybierz pozycję Zaawansowane.

  7. W obszarze Zaawansowane ustawienia zabezpieczeń wybierz kartę Inspekcja , a następnie wybierz pozycję Dodaj.

  8. Wybierz pozycję Wybierz podmiot zabezpieczeń.

  9. W obszarze Wprowadź nazwę obiektu do wybrania wprowadź wartość Wszyscy. Następnie wybierz pozycję Sprawdź nazwy>OK.

  10. Następnie wrócisz do pozycji Inspekcja. Wybierz następujące opcje:

    • W polu Typ wybierz pozycję Wszystkie.
    • W polu Dotyczy wybierz pozycję Ten obiekt i wszystkie obiekty podrzędne.
    • W obszarze Uprawnienia przewiń w dół i wybierz pozycję Wyczyść wszystko. Przewiń w górę i wybierz pozycję Zapisz wszystkie właściwości.

    Zrzut ekranu przedstawiający ustawienia inspekcji dla kontenera konfiguracji.

  11. Wybierz przycisk OK.

Aktualizowanie starszych konfiguracji

Usługa Defender for Identity nie wymaga już rejestrowania 1644 zdarzeń. Jeśli masz włączone jedno z następujących ustawień, możesz je usunąć z rejestru.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Zawartość pokrewna

Więcej informacji można znaleźć w następujących artykułach:

Następny krok

Co to są role i uprawnienia usługi Defender for Identity?

  • Last updated on