Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Настройте аудит событий Windows, чтобы включить обнаружения Defender for Identity. Датчик анализирует определенные журналы событий Windows с контроллеров домена, серверов AD FS, серверов AD CS и серверов Microsoft Entra Connect. Для аудита правильных событий и их включения в журнал событий Windows на этих серверах требуются правильные расширенные параметры политики аудита.
Настройте аудит с помощью одного из следующих методов:
- Автоматическая настройка датчика версии 3.x на контроллерах домена (рекомендуется)
- Настройка вручную для датчика версии 2.x, серверов, которые не являются контроллерами домена, или если вы отказались от автоматического аудита
- Конфигурация PowerShell
- Обязательные события Windows для всех типов серверов
Microsoft Defender for Identity формирует оповещения о работоспособности при обнаружении неверных параметров аудита событий Windows. Дополнительные сведения см. в разделе Оповещения о работоспособности Microsoft Defender для удостоверений.
При правильной настройке аудита Windows аудит событий оказывает минимальное влияние на производительность сервера.
Настройте Defender for Identity для автоматического сбора событий Windows
Если вы развертываете датчик версии 3.x на контроллерах домена, используйте автоматический аудит Windows. Это рекомендуемый подход; он не требует ручной настройки и обрабатывает все параметры аудита за вас.
Включение автоматического аудита Windows
- На портале Microsoft Defender перейдите в раздел Параметры, а затем — Удостоверения.
- В разделе Общие выберите Дополнительные функции.
- Включите автоматическую настройку аудита Windows.
Что настраивает автоматический аудит
Если этот параметр включен, датчик автоматически:
- Проверяет текущую конфигурацию аудита событий Windows.
- Определяет все пробелы в конфигурации.
- Применяет все необходимые изменения, включая все действия в настройке вручную:
- Расширенный аудит служб каталогов. Добавляет записи аудита в список системных контроль доступа (SACL) корневого объекта домена, чтобы включить необходимый аудит службы каталогов.
- Аудит NTLM. Для настройки необходимых значений реестра NTLM используются стандартные API реестра Windows.
- Аудит объектов домена: изменяет SACL в разделе конфигурации для регистрации изменений объектов конфигурации службы каталогов.
- Аудит AD FS: Добавляет записи аудита в системный список управления доступом (SACL) объекта для контейнера конфигурации AD FS, чтобы включить аудит объектов каталога, связанных с AD FS.
- Политика аудита Windows. Настраивает локальные политики аудита Windows с помощью API политики аудита локального центра безопасности Windows (LSA).
- Применяет параметры аудита непосредственно к локальной системной политике контроллера домена.
- Отправляет оповещения о состоянии конфигурации.
- Выполняется каждые 24 часа.
Примечание.
- Автоматический аудит событий Windows поддерживается только для контроллеров домена с датчиком Defender for Identity версии 3.x. Он не применяется к контроллерам домена версии 2.x или к серверам AD FS, AD CS и Microsoft Entra Connect, которые не являются контроллерами домена. Для этих серверов настройте аудит событий Windows вручную.
- Если вы не включаете автоматический аудит Windows, необходимонастроить аудит событий Windows вручную или настроить коллекцию событий Windows с помощью PowerShell.
- Параметры GPO могут конфликтовать с локальными параметрами, заданными сенсором.
Обязательные события Windows
В этом разделе перечислены события Windows, необходимые датчику Defender for Identity. Конкретные события зависят от типа сервера, на котором установлен датчик.
Обязательные события AD FS
Для серверов AD FS требуются следующие события:
- 1202: служба федерации проверила новые учетные данные
- 1203: службе федерации не удалось проверить новые учетные данные
- 4624: Выполнен успешный вход в учетную запись
- 4625: не удалось войти в учетную запись
Дополнительные сведения см. в разделе Настройка аудита на сервере AD FS.
Обязательные события AD CS
Для серверов AD CS требуются следующие события:
- 4870: службы сертификатов отозвали сертификат
- 4882: изменены разрешения безопасности для служб сертификатов
- 4885: изменен фильтр аудита для служб сертификатов
- 4887: службы сертификатов утвердили запрос на сертификат и выдали сертификат.
- 4888: службы сертификатов отклонили запрос на сертификат
- 4890: изменены параметры диспетчера сертификатов для служб сертификатов.
- 4896: одна или несколько строк были удалены из базы данных сертификатов.
Дополнительные сведения см. в разделе Настройка аудита на сервере AD CS.
Обязательные события Microsoft Entra Connect
Для серверов Microsoft Entra Connect требуется следующее событие:
- 4624: Выполнен успешный вход в учетную запись
Дополнительные сведения см. в разделе Настройка аудита в Microsoft Entra Connect.
Другие необходимые события Windows
Для всех сенсоров Defender for Identity на контроллерах домена требуются следующие общие события Windows:
- 4662: операция была выполнена с объектом
- 4726: учетная запись пользователя удалена
- 4728: участник добавлен в глобальную группу безопасности
- 4729: участник удален из глобальной группы безопасности
- 4730: удалена глобальная группа безопасности
- 4732: участник добавлен в локальную группу безопасности
- 4733: участник удален из локальной группы безопасности
- 4741: добавлена учетная запись компьютера
- 4743: удалена учетная запись компьютера
- 4753: удалена глобальная группа рассылки
- 4756: участник добавлен в универсальную группу безопасности
- 4757: член удален из универсальной группы безопасности
- 4758: удалена универсальная группа безопасности
- 4763: удалена универсальная группа рассылки
- 4776: контроллер домена пытается проверить учетные данные для учетной записи (NTLM)
- 5136: объект службы каталогов был изменен
- 7045: новая служба установлена
- 8004: проверка подлинности NTLM
Дополнительные сведения см. в разделах Настройка аудита NTLM и Настройка аудита объектов домена.
Коллекция событий для автономных датчиков
Если вы работаете с автономным датчиком Defender for Identity, настройте сбор событий вручную, используя один из следующих методов:
- Отслеживайте события системы управления событиями и информацией безопасности (SIEM) на автономном сенсоре Defender for Identity. Microsoft Defender for Identity поддерживает UDP-трафик от вашей SIEM-системы или сервера syslog.
- Настройте пересылку событий Windows на автономный датчик Defender for Identity. При пересылке данных системного журнала на автономный датчик убедитесь, что не пересылайте все данные системного журнала на датчик.
Важно!
Автономные датчики Defender for Identity не поддерживают сбор записей Event Tracing for Windows (ETW), которые используются для получения данных, необходимых для нескольких срабатываний. Чтобы обеспечить полное покрытие вашей среды, разверните датчик Defender for Identity.
Дополнительные сведения см. в документации по продукту для системы SIEM или сервера системного журнала.
Проверка текущей конфигурации
Перед тем как вручную настраивать сбор событий Windows, можно запустить сценарий PowerShell, чтобы проверить текущую конфигурацию и создать отчет о необходимых изменениях, которые нужно внести:
Запустите модуль PowerShell Defender for Identity
New-MDIConfigurationReport, чтобы создать отчет о текущей конфигурации аудита событий в Windows.New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -Identity "DOMAIN\ServiceAccountName" -OpenHtmlReportГде:
-
Path— это каталог, в котором сохраняется отчет. -
Modeуказывает, из чего собираются параметры.- В режиме
Domainпараметры собираются из объектов групповой политики (GPO). При использовании-Mode Domainвключите параметр-Identity, чтобы избежать интерактивного приглашения. - В
LocalMachineрежиме параметры собираются с локального компьютера.
- В режиме
-
OpenHtmlReportоткрывает HTML-отчет после создания отчета. Например, чтобы создать отчет и открыть его в браузере по умолчанию, выполните следующую команду:
New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReportДополнительные сведения см. в разделе New-MDIConfigurationReport.
-
Просмотрите отчет и внесите необходимые корректировки перед настройкой сбора событий Windows.
Настройка сбора событий Windows вручную
В этом разделе содержатся инструкции по настройке коллекции событий Windows вручную. Выполните следующие действия, если вы развертываете сенсор версии 2.x, выполняете развертывание на серверах AD FS, AD CS или Entra Connect, которые не являются контроллерами домена, либо если вы отключили автоматический аудит для сенсора версии 3.x.
Примечание.
Известная проблема: В некоторых средах с датчиками v3 предупреждения о состоянии, связанные с аудитом событий Windows, могут сохраняться, даже если аудит настроен корректно. В основном это происходит при ручной настройке параметров аудита, например, с помощью групповой политики или PowerShell. Датчик остается работоспособным и обнаружения не затрагиваются. Чтобы устранить эту проблему, включите автоматическую настройку аудита Windows на портале Defender для удостоверений в разделе Параметры>Дополнительные функции.
В следующих разделах описывается конфигурация для каждого типа сервера:
- Настройка аудита на контроллере домена
- Настройка аудита на сервере AD FS
- Настройка аудита на сервере AD CS
- Настройка аудита в Microsoft Entra Connect
- Настройка аудита в контейнере конфигурации
Настройка аудита на контроллере домена
Чтобы настроить аудит на контроллере домена, выполните следующие действия.
- Настройка расширенного аудита служб каталогов
- Настройка аудита NTLM
- Настройка аудита объектов домена
- Настройка аудита на уровне объектов в папке конфигурации AD FS
Настройка расширенного аудита служб каталогов
В этом разделе описывается, как изменить параметры политики аудита (Premium) контроллера домена для Microsoft Defender for Identity.
Войдите на сервер с правами администратора домена.
Откройте редактор управления групповыми политиками через Диспетчер серверов>Средства>Управление групповыми политиками.
Разверните Организационные единицы контроллеров домена, щелкните правой кнопкой мыши Политика контроллеров домена по умолчанию, а затем выберите Изменить.
Примечание.
Используйте политику контроллеров домена по умолчанию или выделенный объект групповой политики, чтобы задать эти политики.
Перейдите в Конфигурация компьютера>Политики>Параметры Windows>Параметры безопасности. В зависимости от политики, которую вы хотите включить, выполните следующие действия.
Перейдите в Конфигурация расширенной политики аудита>Политики аудита.
В разделе Политики аудита измените каждую из следующих политик и выберите Настроить следующие события аудита для событий успешного и неудачного выполнения .
Политика аудита Подкатегория Идентификаторы событий для триггеров Вход в учетную запись Проверка учетных данных для аудита 4776 Управление учетными записями Аудит управления учетными записями компьютеровСм. примечание 4741, 4743 Управление учетными записями Аудит управления группами рассылкиСм. примечание 4753, 4763 Управление учетными записями Аудит управления группами безопасностиСм. примечание 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758 Управление учетными записями Аудит управления учетными записями пользователей 4726 DS Access Сведения об изменениях службы каталогов аудитасм. в заметке 5136 Система Расширение системы безопасности аудитаСм. примечание 7045 DS Access Аудит доступа к службе каталогов 4662 — для этого события необходимо также настроить аудит объектов домена. Примечание.
* Эти подкатегории не поддерживают события сбоя. Добавьте их в целях аудита на случай, если они будут реализованы в будущем. Дополнительные сведения см. в разделах Аудит управления учетными записями компьютера, Аудит управления группами безопасности и Аудит расширения системы безопасности.
Чтобы настроить управление группами безопасности аудита, в разделе Управление учетными записями выберите Аудит управления группами безопасности, а затем выберите Настроить следующие события аудита для событий успешного и неудачного выполнения .
В командной строке с повышенными привилегиями введите
gpupdate.После применения политики через GPO убедитесь, что новые события появились в Просмотре событий в разделе Журналы Windows>Безопасность.
Чтобы протестировать политики аудита из командной строки, выполните следующую команду:
auditpol.exe /get /category:*
Дополнительные сведения см. в справочной документации auditpol.
Настройка аудита NTLM
Когда датчик Defender для идентификации анализирует событие Windows 8004, он дополняет сведения о действиях аутентификации NTLM в Defender для идентификации данными о сервере, к которому был выполнен доступ. В этом разделе описаны шаги по настройке для аудита события Windows 8004.
Примечание.
Примените групповые политики домена для сбора события Windows 8004 только на контроллерах домена.
Чтобы настроить аудит NTLM, выполните следующие действия.
Откройте Управление групповой политикой, разверните Организационные единицы контроллеров домена, щелкните правой кнопкой мыши Политика контроллеров домена по умолчанию, а затем выберите Изменить.
Перейдите в раздел Политика контроллеров домена по умолчанию>Локальные политики>Параметры безопасности.
Настройте указанные политики безопасности следующим образом:
Параметр политики безопасности Значение Сетевая безопасность: ограничение NTLM: исходящий трафик NTLM на удаленные серверы Проверить все Сетевая безопасность: ограничение NTLM: аудит проверки подлинности NTLM в этом домене Включить все Сетевая безопасность: ограничение NTLM: аудит входящего трафика NTLM Включение аудита для всех учетных записей Чтобы настроить исходящий трафик NTLM на удаленные серверы, в разделе Параметры безопасности дважды щелкните Безопасность сети: ограничение NTLM: исходящий трафик NTLM к удаленным серверам, а затем выберите Аудит всех.
Настройка аудита объектов домена
Чтобы собирать события изменения объекта, например для события 4662, необходимо также настроить аудит объектов для пользователя, группы, компьютера и других объектов. В следующей процедуре описывается включение аудита в домене Active Directory.
Чтобы настроить аудит объектов домена, выполните следующие действия.
Откройте консоль Пользователи и компьютеры Active Directory.
Выберите домен, который требуется выполнить аудит.
Выберите меню Вид , а затем — Дополнительные функции.
Щелкните правой кнопкой мыши домен и выберите Свойства.
Перейдите на вкладку Безопасность и выберите Дополнительно.
В разделе Дополнительные параметры безопасности перейдите на вкладку Аудит и нажмите кнопку Добавить.
Выберите субъект.
В разделе Введите имя выбранного объекта введите Все. Затем нажмите кнопку Проверить имена>ОК.
Вернуться к записи аудита. Необходимо создать отдельную запись аудита для каждого из следующих типов объектов:
- Дочерние пользовательские объекты
- Объекты дочерних групп
- Дочерние объекты компьютеров
- Дочерние объекты msDS-GroupManagedServiceAccount
- Дочерние объекты msDS-ManagedServiceAccount
- Дочерние объекты msDS-DelegatedManagedServiceAccount1
Важно!
Аудит необходимо настроить для всех перечисленных типов объектов, а не только для пользовательских объектов. Настройка аудита только для одного типа объектов приводит к неполному охвату обнаружения.
Для каждого типа объекта сделайте следующее:
В поле Тип выберите Успешно.
Для параметра Область применения выберите тип объекта из списка.
В разделе Разрешения прокрутите вниз и нажмите кнопку Очистить все .
Прокрутите обратно вверх и выберите Полный доступ. Выбраны все разрешения.
Снимите флажки у разрешений «Содержимое списка», «Чтение всех свойств» и «Чтение разрешений», а затем нажмите кнопку ОК. На этом шаге для всех параметров свойств будет задано значение Запись.
Теперь все соответствующие изменения в службах каталогов отображаются как 4662 события при их активации.
Примечание.
- Разрешения на аудит можно назначить всем объектам-потомкам, используя только типы объектов, описанные на предыдущем шаге.
- Класс msDS-DelegatedManagedServiceAccount относится только к доменам с по крайней мере одним контроллером домена Windows Server 2025.
Настройка аудита на уровне объектов в папке конфигурации AD FS
Перейдите в консоль Пользователи и компьютеры Active Directory и выберите домен, в котором нужно включить журналы.
Перейдите в раздел Программные данные>Microsoft>ADFS.
Щелкните правой кнопкой мыши ADFS и выберите Свойства.
Перейдите на вкладку Безопасность и выберите Дополнительные>параметры безопасности. Затем перейдите на вкладку Аудит и выберите Добавить>Выберите субъект.
В разделе Введите имя выбранного объекта введите Все. Затем нажмите кнопку Проверить имена>ОК.
Вернитесь к записи аудита. Сделайте следующий выбор:
- В поле Тип выберите Все.
- Для параметра Область применения выберите Этот объект и все объекты-потомки.
- В разделе Разрешения прокрутите вниз и выберите Очистить все. Прокрутите вверх и выберите Прочитать все свойства и Записать все свойства.
Нажмите OK.
Настройка аудита на сервере AD FS
В этом разделе описано, как изменить конфигурации аудита службы федерации Active Directory (AD FS) (AD FS) для Defender for Identity.
Настройте групповую политику для аудита событий
Создайте групповую политику, которая будет применяться к службам федерации Active Directory (AD FS).
Настройте следующие параметры аудита:
Перейдите в раздел Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Расширенная конфигурация политики аудита\Политики аудита\Доступ к объекту\Аудит созданного приложения.
Установите флажки, чтобы настроить события аудита для успешного и неудачного выполнения.
Настройка аудита событий AD FS в службе управления AD FS
Выберите Пуск>Программы>Администрирование>Управление AD FS.
Перейдите в раздел Действия>Изменение свойств службы федерации.
Перейдите на вкладку События .
Установите флажки Успешные проверки и Неудачные проверки.
Нажмите OK.
Настройте подробное ведение журнала для событий AD FS
На серверах AD FS, где работают датчики, уровень аудита для соответствующих событий должен быть установлен в значение Verbose.
Используйте следующую команду PowerShell, чтобы настроить уровень аудита на Verbose:
Set-AdfsProperties -AuditLevel Verbose
Настройка аудита на сервере AD CS
Если вы работаете с выделенным сервером с настроенными службами сертификатов Active Directory (AD CS), настройте аудит следующим образом, чтобы просмотреть выделенные оповещения и отчеты оценки безопасности:
Создайте групповую политику для применения к серверу AD CS. Измените его и настройте следующие параметры аудита:
Перейдите в раздел Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Расширенная конфигурация политики аудита\Политики аудита\Доступ к объектам\Службы сертификации аудита.
Установите флажки, чтобы настроить события аудита для успешного и неудачного выполнения.
Настройте аудит в центре сертификации (ЦС) одним из следующих методов:
- Чтобы настроить аудит ЦС с помощью PowerShell, выполните следующую команду:
certutil -setreg CA\AuditFilter 127
Restart-Service certsvc
Эта команда обновляет параметры аудита ЦС и перезапускает службу служб сертификатов, чтобы изменения вступили в силу.
Чтобы настроить аудит ЦС на портале Defender, выполните следующие действия.
Выберите Пуск>Центр сертификации (классическое приложение MMC). Щелкните правой кнопкой мыши на имени вашего ЦС и выберите Свойства.
Перейдите на вкладку Аудит , выберите все события, которые требуется выполнить аудит, а затем нажмите кнопку Применить.
Примечание.
Настройка аудита событий запуска и остановки служб сертификатов Active Directory может привести к задержкам перезапуска при работе с большой базой данных AD CS. Рассмотрите возможность удаления ненужных записей из базы данных. Кроме того, не включайте события этого конкретного типа.
Настройка аудита в Microsoft Entra Connect
Чтобы настроить аудит на серверах Microsoft Entra Connect, выполните следующие действия.
Создайте групповую политику для применения к серверам Microsoft Entra Connect.
Измените групповую политику и настройте следующие параметры аудита:
Перейдите в раздел Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Расширенная конфигурация политики аудита\Политики аудита\Вход/Выход\Аудит входа.
Установите флажки, чтобы настроить события аудита для успешного и неудачного выполнения.
Настройка аудита в контейнере конфигурации
Аудит контейнера конфигурации требуется только для сред, в которых в настоящее время или ранее был Microsoft Exchange. В этих средах есть контейнер Exchange, расположенный в разделе Конфигурация домена.
Откройте средство редактирования ADSI.
Выберите Запустить>запуск, введите
ADSIEdit.msc, а затем нажмите кнопку ОК.В меню Действие выберите Подключиться к.
Перейдите в Параметры подключения>Выберите стандартный контекст именования, >Конфигурация и нажмите ОК.
Разверните контейнер Конфигурация , чтобы отобразить узел Конфигурация , который начинается с "CN=Configuration,DC=...".
Щелкните правой кнопкой мыши узел Конфигурация и выберите Свойства.
Перейдите на вкладку Безопасность и выберите Дополнительно.
В разделе Дополнительные параметры безопасности перейдите на вкладку Аудит и нажмите кнопку Добавить.
Выберите субъект.
В разделе Введите имя выбранного объекта введите Все. Затем нажмите кнопку Проверить имена>ОК.
Вернитесь к записи аудита. Сделайте следующий выбор:
- В поле Тип выберите Все.
- Для параметра Область применения выберите Этот объект и все объекты-потомки.
- В разделе Разрешения прокрутите вниз и выберите Очистить все. Прокрутите вверх и выберите Записать все свойства.
Нажмите OK.
Настройка сбора событий Windows с помощью PowerShell
Дополнительные сведения см. в справочнике по PowerShell для Defender для идентификации:
Следующие команды показывают, как с помощью PowerShell изменить параметры политики Audit (Premium) на контроллере вашего домена для Microsoft Defender for Identity.
Чтобы просмотреть политики аудита, выполните следующие действия.
Используйте командлет Get-MDIConfiguration, чтобы получить текущие значения конфигурации Defender for Identity в режиме домена или локального компьютера:
Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>
Где:
-
Modeуказывает, следует ли использоватьDomainрежим илиLocalMachine. ВDomainрежиме параметры поступают из объектов групповой политики. ВLocalMachineрежиме параметры поступают с локального компьютера. -
Configurationуказывает, какую конфигурацию следует получить. ИспользуйтеAllдля получения всех конфигураций.
Чтобы настроить параметры, выполните следующие действия.
Используйте следующий синтаксис для применения одной или нескольких конфигураций Defender for Identity в режиме домена или локального компьютера:
Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]
Где:
-
Modeуказывает, следует ли использоватьDomainрежим илиLocalMachine. ВDomainрежиме параметры поступают из объектов групповой политики. ВLocalMachineрежиме параметры поступают с локального компьютера. -
Configurationуказывает, какую конфигурацию следует задать. ИспользуйтеAllдля задания всех конфигураций. -
CreateGpoDisabledуказывает, следует ли создавать объекты групповой политики и оставлять их отключенными. -
SkipGpoLinkуказывает, что ссылки GPO не создаются. -
Forceуказывает, что конфигурация задана или объекты групповой политики создаются без проверки текущего состояния.
В следующем примере применяется полный рекомендуемый набор параметров конфигурации Defender for Identity с помощью групповой политики в режиме домена, создаются объекты групповой политики и связываются между собой:
Set-MDIConfiguration -Mode Domain -Configuration All
Обновление устаревших конфигураций
Defender for Identity больше не требует регистрации событий 1644. Если вы включили один из следующих параметров, удалите их из реестра. Эти значения реестра настроили уровни ведения журнала диагностики NTDS и пороговые значения поиска, которые ранее требовались для коллекции событий 1644, но больше не нужны.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001
Связанные материалы
Дополнительные сведения см. в разделе: