Поделиться через

Настройка аудита событий Windows

В этой статье описывается настройка аудита событий Windows.

Defender для удостоверений использует записи журнала событий Windows для обнаружения определенных действий. Эти данные используются в различных сценариях обнаружения и могут использоваться в расширенных запросах охоты. Для оптимальной защиты и мониторинга убедитесь, что коллекция событий Windows настроена правильно.

Defender для удостоверений создает оповещения о работоспособности при обнаружении неправильных конфигураций аудита событий Windows. Дополнительные сведения см. в разделе Microsoft Defender для удостоверений оповещений о работоспособности.

Если аудит настроен правильно, это минимально влияет на производительность сервера.

Подготовка к работе

Прежде чем приступить к настройке коллекции событий Windows, рекомендуется запустить сценарий PowerShell, чтобы проверка текущей кофигурации и создать отчет о любых необходимых изменениях:

  1. Скачайте модуль PowerShell Defender для удостоверений.

  2. Запустите модуль PowerShell Defender для удостоверений New-MDIConfigurationReport в

    Используйте следующий формат для создания отчета:

        New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -Identity "DOMAIN\ServiceAccountName" -OpenHtmlReport

    Где:

    • Path — это каталог, в котором сохраняется отчет.
    • Mode указывает, из чего собираются параметры.
      • В Domain режиме параметры собираются из объектов групповая политика (GPO). При использовании -Mode Domainвключите параметр , -Identity чтобы избежать интерактивного запроса.
      • В LocalMachine режиме параметры собираются с локального компьютера.
    • OpenHtmlReport открывает HTML-отчет после создания отчета. Например, чтобы создать отчет и открыть его в браузере по умолчанию, выполните следующую команду:
    New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

    Дополнительные сведения см. в статье New-MDIConfigurationReport.

  3. Просмотрите отчет и внесите необходимые корректировки перед настройкой коллекции событий Windows.

Настройка Defender для удостоверений для автоматического сбора событий Windows (предварительная версия)

Примечание.

Автоматический аудит событий Windows поддерживается для контроллеров домена, использующих датчик Defender для удостоверений версии 3.x.

Автоматический аудит windows автоматически выполняет все задачи настройки:

  • Проверяет текущую конфигурацию аудита событий Windows.
  • Определяет все пробелы в конфигурации.
  • Датчик применяет все необходимые изменения, включая все действия в настройке вручную:
    • Расширенный аудит служб каталогов. Добавляет записи аудита в список системных контроль доступа (SACL) корневого объекта домена, чтобы включить необходимый аудит службы каталогов.
    • Аудит NTLM . Использует стандартные API реестра Windows для настройки необходимых значений реестра NTLM.
    • Аудит объектов домена — изменяет список SACL в разделе Configuration для записи изменений в объектах конфигурации службы каталогов.
    • Аудит ADFS— добавляет записи аудита в список системных контроль доступа объекта (SACL) контейнера конфигурации AD FS, чтобы включить аудит объектов каталогов, связанных с AD FS.
    • Политика аудита Windows . Настраивает локальные политики аудита Windows с помощью API политики аудита локального центра безопасности Windows (LSA).
  • Применяет параметры аудита непосредственно к локальной системной политике контроллера домена.
  • Отправляет оповещения о работоспособности о состоянии конфигурации.
  • Выполняется каждые 24 часа.

Примечание.

  • Если автоматический аудит Windows не включен, необходимо настроить аудит событий Windows вручную или с помощью PowerShell.
  • Параметры объекта групповой политики могут конфликтовать с локальными параметрами, заданными датчиком.

Включите автоматический аудит окон:

  1. На портале Microsoft Defender перейдите в раздел Параметры, а затем — Удостоверения.
  2. В разделе Общие выберите Дополнительные функции.
  3. Включите автоматическую настройку аудита Windows.

Настройка сбора событий Windows вручную

В этом разделе содержатся инструкции по настройке сбора событий Windows вручную в следующих случаях:

Настройка аудита на контроллерах домена

Чтобы настроить аудит на контроллере домена, необходимо:

Настройка расширенного аудита служб каталогов

В этом разделе описывается изменение параметров расширенной политики аудита контроллера домена для Defender для удостоверений.

  1. Войдите на сервер с правами администратора домена.

  2. Откройте редактор управления групповая политика в диспетчер сервера>Tools>групповая политика Management.

  3. Разверните узел Контроллеры домена Организационные единицы, щелкните правой кнопкой мыши пункт Политика контроллеров домена по умолчанию и выберите изменить.

    Снимок экрана: панель редактирования политики по умолчанию для контроллеров домена.

    Примечание.

    Используйте политику контроллеров домена по умолчанию или выделенный объект групповой политики, чтобы задать эти политики.

  4. В открывавшемся окне перейдите в разделПолитики>конфигурации>компьютера Параметры>Windows Параметры безопасности. В зависимости от политики, которую вы хотите включить, выполните следующие действия.

    1. Перейдите в раздел Расширенная политика аудита, конфигурация>политики аудита.

      Снимок экрана: выбор для открытия политик аудита.

    2. В разделе Политики аудита измените каждую из следующих политик и выберите Настроить следующие события аудита для событий успешного и неудачного выполнения .

      Политика аудита Подкатегория Идентификаторы событий триггеров
      Вход в учетную запись Проверка учетных данных аудита 4776
      Управление учетными записями Аудит управления учетными записями компьютера* 4741, 4743
      Управление учетными записями Аудит управления группами рассылки* 4753, 4763
      Управление учетными записями Аудит управления группами безопасности* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Управление учетными записями Аудит управления учетными записями пользователей 4726
      DS Access Аудит изменений службы каталогов* 5136
      Система Расширение системы безопасности аудита* 7045
      DS Access Аудит доступа к службе каталогов 4662 — для этого события необходимо также настроить аудит объектов домена.

      Примечание.

      * Эти подкатегории не поддерживают события сбоя. Однако мы рекомендуем добавлять их для аудита, если они будут реализованы в будущем. Дополнительные сведения см. в разделах Аудит управления учетными записями компьютера, Аудит управления группами безопасности и Аудит расширения системы безопасности.

      Например, чтобы настроить управление группами безопасности аудита, в разделе Управление учетными записями дважды щелкните Аудит управления группами безопасности, а затем выберите Настроить следующие события аудита для событий успешного и неудачного выполнения.

      Снимок экрана: диалоговое окно

  5. В командной строке с повышенными привилегиями введите gpupdate.

  6. После применения политики с помощью объекта групповой политики убедитесь, что новые события отображаются в Просмотр событий в разделеБезопасностьжурналов> Windows.

    Чтобы протестировать политики аудита из командной строки, выполните следующую команду:

    auditpol.exe /get /category:*

Дополнительные сведения см. в справочной документации auditpol.

Настройка аудита NTLM

Когда датчик Defender для удостоверений анализирует событие Windows 8004, действия проверки подлинности NTLM Defender для удостоверений обогащаются данными, к которым обращается сервер. В этом разделе описываются дополнительные действия по настройке, необходимые для аудита события Windows 8004.

Примечание.

Политики групп домена для сбора событий Windows 8004 должны применяться только к контроллерам домена.

Чтобы настроить аудит NTLM, выполните следующие действия.

  1. Откройте управление групповая политика и перейдите в разделПараметры безопасностилокальных политик>политики контроллеров> домена по умолчанию.

  2. Настройте указанные политики безопасности следующим образом:

    Параметр политики безопасности Значение
    Сетевая безопасность: ограничение NTLM: исходящий трафик NTLM на удаленные серверы Аудит всех
    Сетевая безопасность: ограничение NTLM: аудит проверки подлинности NTLM в этом домене Включить все
    Сетевая безопасность: ограничение NTLM: аудит входящего трафика NTLM Включение аудита для всех учетных записей

Например, чтобы настроить исходящий трафик NTLM к удаленным серверам, в разделе Параметры безопасности дважды щелкните Пункт Безопасность сети: ограничение NTLM: исходящий трафик NTLM для удаленных серверов, а затем выберите Аудит всех.

Снимок экрана: конфигурация аудита исходящего трафика NTLM на удаленные серверы.

Настройка аудита объектов домена

Чтобы собирать события изменения объекта, например для события 4662, необходимо также настроить аудит объектов для пользователя, группы, компьютера и других объектов. В следующей процедуре описывается включение аудита в домене Active Directory.

Чтобы настроить аудит объектов домена, выполните следующие действия.

  1. Перейдите в консоль Пользователи и компьютеры Active Directory.

  2. Выберите домен, который требуется выполнить аудит.

  3. Выберите меню Вид , а затем — Дополнительные функции.

  4. Щелкните правой кнопкой мыши домен и выберите Свойства.

    Снимок экрана: выбор для открытия свойств контейнера.

  5. Перейдите на вкладку Безопасность и выберите Дополнительно.

    Снимок экрана: диалоговое окно для открытия расширенных свойств безопасности.

  6. В разделе Дополнительные параметры безопасности перейдите на вкладку Аудит и нажмите кнопку Добавить.

    Снимок экрана: вкладка

  7. Выберите Выбрать субъект.

    Снимок экрана: кнопка для выбора субъекта.

  8. В разделе Введите имя выбранного объекта введите Все. Затем нажмите кнопку Проверить имена>ОК.

    Снимок экрана: ввод имени объекта

  9. Назад к записи аудита и сделайте следующее:

    1. В поле Тип выберите Успешно.

    2. Для параметра Применимо к выберите Объекты-потомки пользователей.

    3. В разделе Разрешения прокрутите вниз и нажмите кнопку Очистить все .

      Снимок экрана: кнопка для очистки всех разрешений.

    4. Прокрутите резервную копию вверх и выберите Полный доступ. Выбраны все разрешения.

    5. Снимите флажки для разрешений "Список", "Чтение всех свойств" и " Чтение разрешений ", а затем нажмите кнопку ОК. На этом шаге для всех параметров свойств будет задано значение Запись.

      Снимок экрана: выбор разрешений.

      Теперь все соответствующие изменения в службах каталогов отображаются как 4662 события при их активации.

  10. Повторите действия, описанные в этой процедуре, но для параметра Применимо к выберите следующие типы объектов 1.

    • Объекты-потомки групп
    • Дочерние объекты-компьютеры
    • Потомки объектов msDS-GroupManagedServiceAccount
    • Потомки объектов msDS-ManagedServiceAccount
    • Потомки msDS-DelegatedManagedServiceAccount Objects2

Примечание.

  • Вы можете назначить разрешения на аудит для всех объектов-потомков, используя только типы объектов, описанные на последнем шаге.
  • Класс msDS-DelegatedManagedServiceAccount относится только к доменам с по крайней мере одним контроллером домена Windows Server 2025.

Настройка аудита в AD FS

Чтобы настроить аудит в службы федерации Active Directory (AD FS) (AD FS), выполните следующие действия.

  1. Перейдите в консоль Пользователи и компьютеры Active Directory и выберите домен, в котором нужно включить журналы.

  2. Перейдите в раздел Программные данные>Microsoft>ADFS.

    Снимок экрана: контейнер для службы федерации Active Directory (AD FS).

  3. Щелкните правой кнопкой мыши ADFS и выберите Свойства.

  4. Перейдите на вкладку Безопасность и выберите Дополнительные>параметры безопасности. Затем перейдите на вкладку Аудит и выберите Добавить>Выберите субъект.

  5. В разделе Введите имя выбранного объекта введите Все. Затем нажмите кнопку Проверить имена>ОК.

  6. Затем вы вернеесь к записи аудита. Сделайте следующее:

    • В поле Тип выберите Все.
    • Для параметра Область применения выберите Этот объект и все объекты-потомки.
    • В разделе Разрешения прокрутите вниз и выберите Очистить все. Прокрутите вверх и выберите Прочитать все свойства и Записать все свойства.

    Снимок экрана: параметры аудита для службы федерации Active Directory (AD FS).

  7. Нажмите OK.

Настройка подробного ведения журнала для событий AD FS

Датчики, работающие на серверах AD FS, должны иметь уровень аудита , равный Подробный для соответствующих событий.

Вы можете использовать следующую команду PowerShell, чтобы настроить уровень аудита до подробного:

Set-AdfsProperties -AuditLevel Verbose

Настройка аудита в AD CS

Если вы работаете с выделенным сервером с настроенными службами сертификатов Active Directory (AD CS), настройте аудит следующим образом, чтобы просмотреть выделенные оповещения и отчеты оценки безопасности:

  1. Создайте групповую политику для применения к серверу AD CS. Измените его и настройте следующие параметры аудита:

    1. Перейдите в раздел Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Расширенная конфигурация политики аудита\Политики аудита\Доступ к объектам\Службы сертификации аудита.

    2. Установите флажки, чтобы настроить события аудита для успешного и неудачного выполнения.

    Снимок экрана: настройка событий аудита для служб сертификатов Active Directory в редакторе управления групповая политика.

  2. Настройте аудит в центре сертификации (ЦС) с помощью одного из следующих методов:

    • Чтобы настроить аудит ЦС с помощью командной строки, выполните следующую команду:
     certutil –setreg CA\AuditFilter 127 
 net stop certsvc && net start certsvc

    • Чтобы настроить аудит ЦС на портале Defender, выполните следующие действия.

      1. Выберите Запустить>центр сертификации (классическое приложение MMC). Щелкните правой кнопкой мыши имя ЦС и выберите Свойства.

        Снимок экрана: диалоговое окно центра сертификации.

      2. Перейдите на вкладку Аудит , выберите все события, которые требуется выполнить аудит, а затем нажмите кнопку Применить.

        Снимок экрана: вкладка

Примечание.

Настройка аудита событий запуска и остановки служб сертификатов Active Directory может привести к задержкам перезапуска при работе с большой базой данных AD CS. Рассмотрите возможность удаления ненужных записей из базы данных. Кроме того, воздержитесь от включения этого конкретного типа событий.

Настройка аудита в Microsoft Entra Connect

Чтобы настроить аудит на серверах Microsoft Entra Connect, выполните следующие действия.

  • Создайте групповую политику для применения к серверам Microsoft Entra Connect. Измените его и настройте следующие параметры аудита:

    1. Перейдите в раздел Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Расширенная конфигурация политики аудита\Политики аудита\Вход/Выход\Аудит входа.

    2. Установите флажки, чтобы настроить события аудита для успешного и неудачного выполнения.

Снимок экрана: редактор управления групповая политика.

Настройка аудита в контейнере конфигурации

Аудит контейнера конфигурации требуется только для сред, в которых в настоящее время или ранее используется Microsoft Exchange, так как в этих средах контейнер Exchange находится в разделе Конфигурация домена.

  1. Откройте средство редактирования ADSI. Выберите Запустить>запуск, введите ADSIEdit.msc, а затем нажмите кнопку ОК.

  2. В меню Действие выберите Подключиться к.

  3. В диалоговом окне Параметры подключения в разделе Выбор известного контекста именования выберите Конфигурация>ОК.

  4. Разверните контейнер Конфигурация , чтобы отобразить узел Конфигурация , который начинается с "CN=Configuration,DC=...".

    Снимок экрана: выбор для открытия свойств для узла конфигурации CN.

  5. Щелкните правой кнопкой мыши узел Конфигурация и выберите Свойства.

    Снимок экрана: выбор для открытия свойств для узла Конфигурации.

  6. Перейдите на вкладку Безопасность и выберите Дополнительно.

  7. В разделе Дополнительные параметры безопасности перейдите на вкладку Аудит и нажмите кнопку Добавить.

  8. Выберите Выбрать субъект.

  9. В разделе Введите имя выбранного объекта введите Все. Затем нажмите кнопку Проверить имена>ОК.

  10. Затем вы вернеесь к записи аудита. Сделайте следующее:

    • В поле Тип выберите Все.
    • Для параметра Область применения выберите Этот объект и все объекты-потомки.
    • В разделе Разрешения прокрутите вниз и выберите Очистить все. Прокрутите вверх и выберите Записать все свойства.

    Снимок экрана: параметры аудита для контейнера конфигурации.

  11. Нажмите OK.

Настройка сбора событий Windows с помощью PowerShell

Дополнительные сведения см. в справочнике По PowerShell для Defender для удостоверений:

В следующих командах описывается изменение параметров расширенной политики аудита контроллера домена при необходимости для Defender для удостоверений с помощью PowerShell.

Чтобы просмотреть политики аудита, выполните следующие действия.

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Где:

  • Mode указывает, нужно ли использовать Domain режим или LocalMachine . В Domain режиме параметры собираются из объектов групповая политика. В LocalMachine режиме параметры собираются с локального компьютера.
  • Configuration указывает, какую конфигурацию следует получить. Используйте All для получения всех конфигураций.

Чтобы настроить параметры, выполните следующие действия.

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

Где:

  • Mode указывает, нужно ли использовать Domain режим или LocalMachine . В Domain режиме параметры собираются из объектов групповая политика. В LocalMachine режиме параметры собираются с локального компьютера.
  • Configuration указывает, какую конфигурацию следует задать. Используйте All для задания всех конфигураций.
  • CreateGpoDisabled указывает, создаются ли объекты групповой политики и хранятся как отключенные.
  • SkipGpoLink указывает, что ссылки на объект групповой политики не создаются.
  • Force указывает, что конфигурация задана или объекты групповой политики создаются без проверки текущего состояния.

Следующая команда определяет все параметры для домена, создает объекты групповой политики и связывает их.

Set-MDIConfiguration -Mode Domain -Configuration All

Обновление устаревших конфигураций

Defender для удостоверений больше не требует ведения журнала 1644 событий. Если вы включили один из следующих параметров, их можно удалить из реестра.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Связанные материалы

Дополнительные сведения см. в разделе:

  • Last updated on