Compartilhar via

Configurar políticas de auditoria para registos de eventos do Windows

As deteções do Defender para Identidade dependem de entradas específicas do registo de eventos do Windows para melhorar as deteções e fornecer informações adicionais sobre os utilizadores que efetuam ações específicas, como inícios de sessão NTLM e modificações de grupos de segurança. Este artigo descreve como configurar as definições avançadas da política de auditoria para evitar lacunas nos registos de eventos e cobertura incompleta do Defender para Identidade.

O Defender para Identidade gera alertas de estado de funcionamento quando deteta configurações de auditoria de eventos incorretas do Windows. Para obter mais informações, veja Microsoft Defender para Identidade alertas de estado de funcionamento.

Pré-requisitos

Se estiver a utilizar o módulo do PowerShell do Active Directory para configurar um controlador de domínio, certifique-se de que transfere o módulo do PowerShell do Defender para Identidade.

Observação

O módulo do PowerShell do Active Directory só é necessário ao configurar o Defender para Identidade em controladores de domínio. Não é necessário em servidores do AD CS que executem o Serviço de Função de Autoridade de Certificação.

Gerar um relatório de configurações atuais com o PowerShell

Antes de começar a criar novas políticas de eventos e auditorias, recomendamos que execute o seguinte comando do PowerShell para gerar um relatório das suas configurações de domínio atuais:

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -Identity "DOMAIN\ServiceAccountName" -OpenHtmlReport

Onde:

  • Path especifica o caminho para guardar os relatórios.

  • Mode especifica se pretende utilizar Domain ou LocalMachine modo. No Domain modo, as definições são recolhidas a partir dos objetos Política de Grupo (GPOs). No LocalMachine modo, as definições são recolhidas a partir do computador local.

    O Domain relatório de modo inclui apenas configurações definidas como políticas de grupo no domínio. Se tiver definições definidas localmente nos controladores de domínio, recomendamos que execute também o scriptTest-MdiReadiness.ps1 .

  • OpenHtmlReport abre o relatório HTML depois de o relatório ser gerado.

Observação

Ao utilizar -Mode Domain, inclua o -Identity parâmetro para evitar um pedido interativo. Para obter mais informações, consulte: New-MDIConfigurationReport.

Por exemplo, para gerar um relatório e abri-lo no browser predefinido, execute o seguinte comando:

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

Para obter mais informações, veja a referência do PowerShell do Defender para Identidade.

Configurar a auditoria de eventos do Windows para controladores de domínio

Atualize as definições da Política de Auditoria Avançada e configurações adicionais para eventos e tipos de eventos específicos, como utilizadores, grupos, computadores e muito mais. As configurações de auditoria para controladores de domínio incluem:

Para obter mais informações, veja FAQ sobre auditoria de segurança avançada.

Pode configurar a auditoria nos controladores de domínio no portal ou através do PowerShell.

Configurar as definições da Política de Auditoria Avançada no portal do Defender

Este procedimento descreve como modificar as definições da Política de Auditoria Avançada do controlador de domínio, conforme necessário para o Defender para Identidade através da IU.

  1. Inicie sessão no servidor como Administrador de Domínio.

  2. Abra o Editor de Gestão de Política de Grupo a partir do Gerenciador do Servidor>Tools>Política de Grupo Management.

  3. Expanda Unidades Organizacionais de Controladores de Domínio, clique com o botão direito do rato em Política de Controladores de Domínio Predefinidos e, em seguida, selecione Editar.

    Captura de ecrã do painel para editar a política predefinida para controladores de domínio.

    Observação

    Utilize a política Controladores de Domínio Predefinidos ou um GPO dedicado para definir estas políticas.

  4. Na janela que é aberta, aceda aPolíticas> de Configuração> do ComputadorDefinições>de Segurança do Windows. Consoante a política que pretende ativar, faça o seguinte:

    1. Aceda a Políticas de Auditoria de Configuração> dePolíticas de Auditoria Avançadas.

      Captura de ecrã das seleções para abrir políticas de auditoria.

    2. Em Políticas de Auditoria, edite cada uma das seguintes políticas e selecione Configurar os seguintes eventos de auditoria para eventos de Êxito e Falha .

      Política de Auditoria Subcategoria Aciona IDs de eventos
      Início de Sessão da Conta Validação de Credenciais de Auditoria 4776
      Gestão de Contas Auditar a Gestão de Contas de Computador* 4741, 4743
      Gestão de Contas Auditar Gestão de Grupos de Distribuição* 4753, 4763
      Gestão de Contas Auditar a Gestão de Grupos de Segurança* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Gestão de Contas Auditar a Gestão de Contas de Utilizador 4726
      Acesso ao DS Auditar Alterações do Serviço de Diretório* 5136
      Sistema Auditar Extensão do Sistema de Segurança* 7045
      Acesso ao DS Auditar o Acesso ao Serviço de Diretório 4662 – para este evento, também tem de configurar a auditoria de objetos de domínio.

      Observação

      * As subcategorias notadas não suportam eventos de falha. No entanto, recomendamos que as adicione para fins de auditoria, caso sejam implementadas no futuro. Para obter mais informações, veja Auditar Gestão de Contas de Computador, Auditar Gestão de Grupos de Segurança e Auditar Extensão do Sistema de Segurança.

      Por exemplo, para configurar a Gestão de Grupos de Segurança de Auditoria, em Gestão de Contas, faça duplo clique em Auditar Gestão de Grupos de Segurança e, em seguida, selecione Configurar os seguintes eventos de auditoria para eventosde Êxito e Falha .

      Captura de ecrã a mostrar a caixa de diálogo Auditar Propriedades de Gestão de Grupos de Segurança.

  5. A partir de uma linha de comandos elevada, introduza gpupdate.

  6. Depois de aplicar a política através de GPO, confirme que os novos eventos aparecem no Visualizador de Eventos, emSegurança de Registos> do Windows.

    Para testar as políticas de auditoria a partir da linha de comandos, execute o seguinte comando:

    auditpol.exe /get /category:*

Para obter mais informações, veja a documentação de referência auditpol.

Configurar definições de Políticas de Auditoria Avançadas com o PowerShell

As ações seguintes descrevem como modificar as definições da Política de Auditoria Avançada do controlador de domínio, conforme necessário para o Defender para Identidade com o PowerShell.

O comando seguinte define todas as definições para o domínio, cria objetos de política de grupo e liga-os.

Set-MDIConfiguration -Mode Domain -Configuration All

Para configurar as definições, execute:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

Onde:

  • Mode especifica se pretende utilizar Domain ou LocalMachine modo. No Domain modo, as definições são recolhidas a partir dos objetos Política de Grupo. No LocalMachine modo, as definições são recolhidas a partir do computador local.
  • Configuration especifica a configuração a definir. Utilize All para definir todas as configurações.
  • CreateGpoDisabled especifica se os GPOs são criados e mantidos como desativados.
  • SkipGpoLink especifica que as ligações GPO não são criadas.
  • Force especifica que a configuração está definida ou os GPOs são criados sem validar o estado atual.

Para ver as políticas de auditoria, utilize o Get-MDIConfiguration comando para mostrar os valores atuais:

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Onde:

  • Mode especifica se pretende utilizar Domain ou LocalMachine modo. No Domain modo, as definições são recolhidas a partir dos objetos Política de Grupo. No LocalMachine modo, as definições são recolhidas a partir do computador local.
  • Configuration especifica a configuração a obter. Utilize All para obter todas as configurações.

Para testar as políticas de auditoria, utilize o Test-MDIConfiguration comando para obter uma true resposta ou false sobre se os valores estão configurados corretamente:

Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Onde:

  • Mode especifica se pretende utilizar Domain ou LocalMachine modo. No Domain modo, as definições são recolhidas a partir dos objetos Política de Grupo. No LocalMachine modo, as definições são recolhidas a partir do computador local.
  • Configuration especifica a configuração a testar. Utilize All para testar todas as configurações.

Para obter mais informações, veja as seguintes referências do PowerShell defenderForIdentity:

Configurar a auditoria NTLM

Quando um sensor do Defender para Identidade analisa o evento 8004 do Windows, as atividades de autenticação NTLM do Defender para Identidade são melhoradas com os dados acedidos pelo servidor. Esta secção descreve os passos de configuração adicionais de que precisa para auditar o evento 8004 do Windows.

Observação

  • As políticas de grupo de domínio para recolher o evento 8004 do Windows devem ser aplicadas apenas aos controladores de domínio.

Para configurar a auditoria NTLM:

  1. Depois de configurar as definições iniciais da Política de Auditoria Avançada no portal do Defender ou através do PowerShell, abra o Política de Grupo Management. Em seguida, aceda a Opções de Segurança dePolíticas Locaisda Política > de Controladores de Domínio Predefinidas.>

  2. Configure as políticas de segurança especificadas da seguinte forma:

    Definição de política de segurança Valor
    Segurança de rede: Restringir o NTLM: tráfego NTLM de saída para servidores remotos Auditar tudo
    Segurança de rede: Restringir NTLM: auditar a autenticação NTLM neste domínio Ativar tudo
    Segurança de rede: Restringir NTLM: Auditar o Tráfego NTLM recebido Ativar a auditoria para todas as contas

Por exemplo, para configurar o tráfego NTLM de Saída para servidores remotos, em Opções de Segurança, faça duplo clique em Segurança de rede: Restringir NTLM: Tráfego NTLM de Saída para servidores remotos e, em seguida, selecione Auditar tudo.

Captura de ecrã da configuração de auditoria do tráfego NTLM de saída para servidores remotos.

Configurar a auditoria de objetos de domínio

Para recolher eventos para alterações de objetos, como para o evento 4662, também tem de configurar a auditoria de objetos no utilizador, grupo, computador e outros objetos. O procedimento seguinte descreve como ativar a auditoria no domínio do Active Directory.

Para garantir que os controladores de domínio estão configurados corretamente para registar os eventos necessários, reveja e audite as suas políticas no portal do Defender ou com o PowerShell antes de ativar a recolha de eventos. Se a auditoria estiver configurada corretamente, tem um efeito mínimo no desempenho do servidor.

Para configurar a auditoria de objetos de domínio:

  1. Aceda à consola Usuários e Computadores do Active Directory.

  2. Selecione o domínio que pretende auditar.

  3. Selecione o menu Ver e, em seguida, selecione Funcionalidades Avançadas.

  4. Clique com o botão direito do rato no domínio e selecione Propriedades.

    Captura de ecrã das seleções para abrir as propriedades do contentor.

  5. Aceda ao separador Segurança e, em seguida, selecione Avançadas.

    Captura de ecrã da caixa de diálogo para abrir propriedades de segurança avançadas.

  6. Em Definições de Segurança Avançadas, selecione o separador Auditoria e, em seguida, selecione Adicionar.

    Captura de ecrã do separador Auditoria na caixa de diálogo Definições de Segurança Avançadas.

  7. Selecione Selecionar um principal.

    Captura de ecrã do botão para selecionar um principal.

  8. Em Introduza o nome do objeto a selecionar, introduza Todos. Em seguida, selecione Verificar Nomes>OK.

    Captura de ecrã a mostrar a introdução de um nome de objeto de Todos.

  9. Voltar à Entrada de Auditoria e faça as seguintes seleções:

    1. Em Tipo, selecione Êxito.

    2. Em Aplica-se a, selecione Objetos de Utilizador Descendente.

    3. Em Permissões, desloque-se para baixo e selecione o botão Limpar tudo .

      Captura de ecrã do botão para limpar todas as permissões.

    4. Desloque-se para cima e selecione Controlo Total. Todas as permissões estão selecionadas.

    5. Desmarque a seleção para as permissões Listar conteúdo, Ler todas as propriedades e Permissões de leitura e, em seguida, selecione OK. Este passo define todas as definições de Propriedades como Escrita.

      Captura de ecrã a mostrar a seleção de permissões.

      Agora, todas as alterações relevantes aos serviços de diretório são apresentadas como 4662 eventos quando são acionados.

  10. Repita os passos neste procedimento, mas em Aplica-se a, selecione os seguintes tipos de objeto 1

    • Objetos de Grupo Descendentes
    • Objetos de Computador Descendente
    • Objetos descendentes msDS-GroupManagedServiceAccount
    • Objetos descendentes msDS-ManagedServiceAccount
    • Objetos Descendentes msDS-DelegatedManagedServiceAccount2

Observação

  • Também pode atribuir permissões de auditoria em Todos os objetos descendentes, utilizando apenas os tipos de objeto detalhados no último passo.
  • A classe msDS-DelegatedManagedServiceAccount é relevante apenas para domínios com, pelo menos, um controlador de domínio Windows Server 2025.

Configurar a auditoria no AD FS

Para configurar a auditoria no Serviços de Federação do Active Directory (AD FS) (AD FS):

  1. Aceda à consola Usuários e Computadores do Active Directory e selecione o domínio onde pretende ativar os registos.

  2. Aceda a Dados> do ProgramaMicrosoft>ADFS.

    Captura de ecrã de um contentor para Serviços de Federação do Active Directory (AD FS).

  3. Clique com o botão direito do rato em ADFS e selecione Propriedades.

  4. Aceda ao separador Segurança e selecioneDefinições avançadas> de segurança. Em seguida, aceda ao separador Auditoria e selecione Adicionar>Selecionar um principal.

  5. Em Introduza o nome do objeto a selecionar, introduza Todos. Em seguida, selecione Verificar Nomes>OK.

  6. Em seguida, regresse à Entrada de Auditoria. Efetue as seguintes seleções:

    • Em Tipo, selecione Tudo.
    • Em Aplica-se a, selecione Este objeto e todos os objetos descendentes.
    • Em Permissões, desloque-se para baixo e selecione Limpar tudo. Desloque-se para cima e selecione Ler todas as propriedades e Escrever todas as propriedades.

    Captura de ecrã das definições de auditoria do Serviços de Federação do Active Directory (AD FS).

  7. Selecione OK.

Configurar o registo Verboso para eventos do AD FS

Os sensores em execução nos servidores do AD FS têm de ter o nível de auditoria definido como Verboso para eventos relevantes. Por exemplo, utilize o seguinte comando para configurar o nível de auditoria para Verboso:

Set-AdfsProperties -AuditLevel Verbose

Configurar a auditoria no AD CS

Se estiver a trabalhar com um servidor dedicado que tenha os Serviços de Certificados do Active Directory (AD CS) configurados, configure a auditoria da seguinte forma para ver alertas dedicados e relatórios de Classificação de Segurança:

  1. Crie uma política de grupo para aplicar ao servidor do AD CS. Edite-o e configure as seguintes definições de auditoria:

    1. Aceda a Configuração do Computador\Políticas\Definições do Windows\Definições de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Acesso a Objetos\Serviços de Certificação de Auditoria.

    2. Selecione as caixas de verificação para configurar eventos de auditoria para Êxito e Falha.

      Captura de ecrã a mostrar a configuração de eventos de auditoria para os Serviços de Certificados do Active Directory no Editor de Gestão de Política de Grupo.

  2. Configure a auditoria na autoridade de certificação (AC) através de um dos seguintes métodos:

    • Para configurar a auditoria de AC com a linha de comandos, execute:

      certutil –setreg CA\AuditFilter 127 
net stop certsvc && net start certsvc

    - To configure CA auditing in the Defender portal:

 1. Select **Start** > **Certification Authority (MMC Desktop application)**. Right-click your CA's name and select **Properties**.

    :::image type="content" source="../media/configure-windows-event-collection/certification-authority.png" alt-text="Screenshot of the Certification Authority dialog.":::

 1. Select the **Auditing** tab, select all the events that you want to audit, and then select **Apply**.

    :::image type="content" source="../media/configure-windows-event-collection/auditing.png" alt-text="Screenshot of the Auditing tab for certificate authority properties.":::

Observação

Configurar a auditoria de eventos dos Serviços de Certificados do Active Directory e Iniciar e Parar pode causar atrasos de reinício quando está a lidar com uma base de dados do AD CS grande. Considere remover entradas irrelevantes da base de dados. Em alternativa, abstenha-se de ativar este tipo específico de evento.

Configurar a auditoria no Microsoft Entra Connect

Para configurar a auditoria em servidores do Microsoft Entra Connect:

  • Crie uma política de grupo para aplicar aos servidores do Microsoft Entra Connect. Edite-o e configure as seguintes definições de auditoria:

    1. Aceda a Configuração do Computador\Políticas\Definições do Windows\Definições de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Início de Sessão/Início de Sessão\Auditoria.

    2. Selecione as caixas de verificação para configurar eventos de auditoria para Êxito e Falha.

Captura de ecrã do Editor de Gestão de Política de Grupo.

Configurar a auditoria no contentor de configuração

A auditoria do contentor de configuração é necessária apenas para ambientes que tenham ou anteriormente o Microsoft Exchange, uma vez que estes ambientes têm um contentor do Exchange localizado na secção Configuração do domínio.

  1. Abra a ferramenta de Edição ADSI. Selecione Iniciar>Execução, introduza ADSIEdit.msce, em seguida, selecione OK.

  2. No menu Ação , selecione Ligar a.

  3. Na caixa de diálogo Definições de Ligação , em Selecionar um Contexto de Nomenclatura bem conhecido, selecione Configuração>OK.

  4. Expanda o contentor Configuração para mostrar o nó Configuração , que começa com "CN=Configuração,DC=...".

    Captura de ecrã das seleções para abrir propriedades para o nó Configuração CN.

  5. Clique com o botão direito do rato no nó Configuração e selecione Propriedades.

    Captura de ecrã das seleções para abrir as propriedades do nó Configuração.

  6. Selecione o separador Segurança e, em seguida, selecione Avançadas.

  7. Em Definições de Segurança Avançadas, selecione o separador Auditoria e, em seguida, selecione Adicionar.

  8. Selecione Selecionar um principal.

  9. Em Introduza o nome do objeto a selecionar, introduza Todos. Em seguida, selecione Verificar Nomes>OK.

  10. Em seguida, regresse à Entrada de Auditoria. Efetue as seguintes seleções:

    • Em Tipo, selecione Tudo.
    • Em Aplica-se a, selecione Este objeto e todos os objetos descendentes.
    • Em Permissões, desloque-se para baixo e selecione Limpar tudo. Desloque-se para cima e selecione Escrever todas as propriedades.

    Captura de ecrã a mostrar as definições de auditoria do contentor de Configuração.

  11. Selecione OK.

Atualizar configurações legadas

O Defender para Identidade já não requer o registo de 1644 eventos. Se tiver uma das seguintes definições ativadas, pode removê-las do registo.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Conteúdo relacionado

Para saber mais, confira:

Próxima etapa

O que são funções e permissões do Defender para Identidade?

  • Last updated on