Condividi tramite

Configurare i criteri di controllo per i log eventi di Windows

I rilevamenti di Defender per identità si basano su voci specifiche del registro eventi di Windows per migliorare i rilevamenti e fornire informazioni aggiuntive sugli utenti che eseguono azioni specifiche, ad esempio gli accessi NTLM e le modifiche ai gruppi di sicurezza. Questo articolo descrive come configurare in modo ottimale le impostazioni dei criteri di controllo avanzati nei controller di dominio per evitare lacune nei log eventi e copertura incompleta di Defender per identità.

Configurare il controllo degli eventi di Windows con il sensore defender per identità v3.x

Defender per identity sensor v3.x può configurare automaticamente il controllo degli eventi di Windows nei controller di dominio, applicando le impostazioni di controllo degli eventi di Windows necessarie ai nuovi sensori e correggendo le configurazioni non corrette in quelle esistenti.

Per attivare il controllo automatico di Windows:

  1. Nel portale di Microsoft Defender passare a Impostazioni e quindi a Identità.
  2. Nella sezione Generale selezionare Funzionalità avanzate.
  3. Attivare la configurazione del controllo automatico di Windows.

Se non si seleziona la configurazione automatica del controllo di Windows, è necessario configurare manualmente il controllo degli eventi di Windows nel portale di Defender o usando PowerShell.

Configurare il controllo degli eventi di Windows con il sensore defender per identità v2.x

Configurare il controllo degli eventi di Windows nei controller di dominio per supportare i rilevamenti di Defender per identità. Defender per identità genera problemi di integrità per ognuno di questi scenari, se vengono rilevati. Per altre informazioni, vedere Microsoft Defender per identità problemi di integrità.

Prerequisiti

Nota

Il modulo PowerShell di Active Directory è necessario quando si configura Defender per identità nei controller di dominio. Non è necessario nei server ADCS che eseguono il servizio ruolo Autorità di certificazione.

Generare un report delle configurazioni correnti tramite PowerShell

Prima di iniziare a creare nuovi criteri di evento e controllo, è consigliabile eseguire il comando di PowerShell seguente per generare un report delle configurazioni di dominio correnti:

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -Identity "DOMAIN\ServiceAccountName" -OpenHtmlReport

Nota

Quando si usa -Mode Domain, includere il -Identity parametro per evitare un prompt interattivo. Per altre informazioni, vedere: New-MDIConfigurationReport.

Nel comando precedente:

  • Path specifica il percorso in cui salvare i report.
  • Mode specifica se si vuole usare Domain o LocalMachine la modalità. In Domain modalità, le impostazioni vengono raccolte dagli oggetti Criteri di gruppo . In LocalMachine modalità, le impostazioni vengono raccolte dal computer locale.
  • OpenHtmlReport apre il report HTML dopo la generazione del report.

Ad esempio, per generare un report e aprirlo nel browser predefinito, eseguire il comando seguente:

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

Per altre informazioni, vedere le informazioni di riferimento su PowerShell DefenderforIdentity.

Consiglio

Il Domain report modalità include solo le configurazioni impostate come criteri di gruppo nel dominio. Se sono state definite impostazioni in locale nei controller di dominio, è consigliabile eseguire anche lo script Test-MdiReadiness.ps1 .

Configurare il controllo degli eventi di Windows per i controller di dominio

Aggiornare le impostazioni dei criteri di controllo avanzati e le configurazioni aggiuntive per eventi e tipi di eventi specifici, ad esempio utenti, gruppi, computer e altro ancora. Le configurazioni di controllo per i controller di dominio includono:

Per altre informazioni, vedere Domande frequenti sul controllo di sicurezza avanzato.

Usare le procedure seguenti per configurare il controllo nei controller di dominio usati con Defender per identità.

Configurare le impostazioni dei criteri di controllo avanzati dall'interfaccia utente

Questa procedura descrive come modificare le impostazioni dei criteri di controllo avanzati del controller di dominio in base alle esigenze di Defender per identità tramite l'interfaccia utente.

Problema di integrità correlato:Il controllo avanzato di Servizi directory non è abilitato come richiesto

Per configurare le impostazioni dei criteri di controllo avanzati:

  1. Accedere al server come amministratore di dominio.

  2. Aprire Criteri di gruppo Management Editor da Server Manager Tools Criteri di gruppo Management.Open the Criteri di gruppo Management Editor from Server Manager>Tools> Criteri di gruppo Management.

  3. Espandere Controller di dominio Unità organizzative, fare clic con il pulsante destro del mouse su Criteri controller di dominio predefiniti e quindi scegliere Modifica.

    Screenshot del riquadro per la modifica dei criteri predefiniti per i controller di dominio.

    Nota

    Usare i criteri controller di dominio predefiniti o un oggetto Criteri di gruppo dedicato per impostare questi criteri.

  4. Nella finestra visualizzata passare aCriteri>di configurazione> computerImpostazioni di Windows Impostazioni>di sicurezza. A seconda dei criteri che si desidera abilitare, eseguire le operazioni seguenti:

    1. Passare a Advanced Audit Policy Configuration Audit Policies (Criteri di controllo di Configurazione> avanzata dei criteri dicontrollo).

      Screenshot delle selezioni per l'apertura dei criteri di controllo.

    2. In Criteri di controllo modificare ognuno dei criteri seguenti e selezionare Configura gli eventi di controllo seguenti per gli eventi Success e Failure .

      Criteri di controllo Sottocategoria Attiva gli ID evento
      Accesso all'account Controllare la convalida delle credenziali 4776
      Gestione account Audit Computer Account Management* 4741, 4743
      Gestione account Controllare la gestione dei gruppi di distribuzione* 4753, 4763
      Gestione account Controllare la gestione dei gruppi di sicurezza* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Gestione account Controllare la gestione degli account utente 4726
      Accesso DS Controllare le modifiche del servizio directory* 5136
      Sistema Controllare l'estensione del sistema di sicurezza* 7045
      Accesso DS Controllare l'accesso al servizio directory 4662 : per questo evento, è necessario configurare anche il controllo degli oggetti di dominio.

      Nota

      * Le sottocategorie annotate non supportano gli eventi di errore. Tuttavia, è consigliabile aggiungerli a scopo di controllo nel caso in cui vengano implementati in futuro. Per altre informazioni, vedere Audit Computer Account Management, Audit Security Group Management e Audit Security System Extension.For more information, see Audit Computer Account Management, Audit Security Group Management, and Audit Security System Extension.

      Ad esempio, per configurare Audit Security Group Management (Gestione gruppo di sicurezza di controllo), in Gestione account fare doppio clic su Audit Security Group Management (Controlla gestione gruppo di sicurezza) e quindi selezionare Configure the following audit events for both Success and Failure events (Configura gli eventi di controllo seguenti per gli eventi success e failure ).

      Screenshot della finestra di dialogo Controlla proprietà di gestione del gruppo di sicurezza.

  5. Da un prompt dei comandi con privilegi elevati immettere gpupdate.

  6. Dopo aver applicato i criteri tramite l'oggetto Criteri di gruppo, verificare che i nuovi eventi vengano visualizzati nella Visualizzatore eventi, inSicurezzadei log di> Windows.

    Per testare i criteri di controllo dalla riga di comando, eseguire il comando seguente:

    auditpol.exe /get /category:*

Per altre informazioni, vedere la documentazione di riferimento di auditpol.

Configurare le impostazioni dei criteri di controllo avanzati tramite PowerShell

Le azioni seguenti descrivono come modificare le impostazioni dei criteri di controllo avanzati del controller di dominio in base alle esigenze per Defender per identità usando PowerShell.

Problema di integrità correlato:Il controllo avanzato di Servizi directory non è abilitato come richiesto

Il comando seguente definisce tutte le impostazioni per il dominio, crea oggetti Criteri di gruppo e li collega.

Set-MDIConfiguration -Mode Domain -Configuration All

Per configurare le impostazioni, eseguire:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

Nel comando precedente:

  • Mode specifica se si vuole usare Domain o LocalMachine la modalità. In Domain modalità, le impostazioni vengono raccolte dagli oggetti Criteri di gruppo. In LocalMachine modalità, le impostazioni vengono raccolte dal computer locale.
  • Configuration specifica la configurazione da impostare. Usare All per impostare tutte le configurazioni.
  • CreateGpoDisabled specifica se gli oggetti Criteri di gruppo vengono creati e mantenuti disabilitati.
  • SkipGpoLink specifica che i collegamenti agli oggetti Criteri di gruppo non vengono creati.
  • Force specifica che la configurazione è impostata o che gli oggetti Criteri di gruppo vengono creati senza convalidare lo stato corrente.

Per visualizzare i criteri di controllo, usare il Get-MDIConfiguration comando per visualizzare i valori correnti:

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Nel comando precedente:

  • Mode specifica se si vuole usare Domain o LocalMachine la modalità. In Domain modalità, le impostazioni vengono raccolte dagli oggetti Criteri di gruppo. In LocalMachine modalità, le impostazioni vengono raccolte dal computer locale.
  • Configuration specifica la configurazione da ottenere. Usare All per ottenere tutte le configurazioni.

Per testare i criteri di controllo, usare il Test-MDIConfiguration comando per ottenere una true risposta o false per verificare se i valori sono configurati correttamente:

Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Nel comando precedente:

  • Mode specifica se si vuole usare Domain o LocalMachine la modalità. In Domain modalità, le impostazioni vengono raccolte dagli oggetti Criteri di gruppo. In LocalMachine modalità, le impostazioni vengono raccolte dal computer locale.
  • Configuration specifica la configurazione da testare. Usare All per testare tutte le configurazioni.

Per altre informazioni, vedere i riferimenti di PowerShell DefenderForIdentity seguenti:

Configurare il controllo NTLM

Questa sezione descrive i passaggi di configurazione aggiuntivi necessari per il controllo dell'evento Windows 8004.

Nota

  • I criteri dei gruppi di dominio per raccogliere l'evento 8004 di Windows devono essere applicati solo ai controller di dominio.
  • Quando un sensore Defender per identità analizza l'evento 8004 di Windows, le attività di autenticazione NTLM di Defender per identità vengono arricchite con i dati accessibili dal server.

Problema di integrità correlato:il controllo NTLM non è abilitato

Per configurare il controllo NTLM:

  1. Dopo aver configurato le impostazioni iniziali dei criteri di controllo avanzati (tramite l'interfaccia utente o PowerShell), aprire Criteri di gruppo Gestione. Passare quindi alleopzioni di sicurezza Dei criterilocali> dei >controller di dominio predefiniti.

  2. Configurare i criteri di sicurezza specificati come indicato di seguito:

    Impostazione dei criteri di sicurezza Valore
    Sicurezza di rete: Limita NTLM: traffico NTLM in uscita verso server remoti Controlla tutto
    Sicurezza di rete: Limitare NTLM: Controllare l'autenticazione NTLM in questo dominio Abilita tutto
    Sicurezza di rete: Limita NTLM: Controllare il traffico NTLM in ingresso Abilitare il controllo per tutti gli account

Ad esempio, per configurare il traffico NTLM in uscita verso server remoti, in Opzioni di sicurezza fare doppio clic su Sicurezza di rete: Limita NTLM: Traffico NTLM in uscita ai server remoti e quindi selezionare Controlla tutto.

Screenshot della configurazione di controllo per il traffico NTLM in uscita verso server remoti.

Configurare il controllo degli oggetti di dominio

Per raccogliere eventi per le modifiche agli oggetti, ad esempio per l'evento 4662, è anche necessario configurare il controllo degli oggetti nell'utente, nel gruppo, nel computer e in altri oggetti. La procedura seguente descrive come abilitare il controllo nel dominio di Active Directory.

Importante

Esaminare e controllare i criteri (tramite l'interfaccia utente o PowerShell) prima di abilitare la raccolta di eventi, per assicurarsi che i controller di dominio siano configurati correttamente per registrare gli eventi necessari. Se questo controllo è configurato correttamente, dovrebbe avere un effetto minimo sulle prestazioni del server.

Problema di integrità correlato:Il controllo degli oggetti di Servizi directory non è abilitato come richiesto

Per configurare il controllo degli oggetti di dominio:

  1. Passare alla console Utenti e computer di Active Directory.

  2. Selezionare il dominio da controllare.

  3. Selezionare il menu Visualizza e quindi Selezionare Funzionalità avanzate.

  4. Fare clic con il pulsante destro del mouse sul dominio e scegliere Proprietà.

    Screenshot delle selezioni per l'apertura delle proprietà del contenitore.

  5. Passare alla scheda Sicurezza e quindi selezionare Avanzate.

    Screenshot della finestra di dialogo per l'apertura di proprietà di sicurezza avanzate.

  6. In Impostazioni di sicurezza avanzate selezionare la scheda Controllo e quindi selezionare Aggiungi.

    Screenshot della scheda Controllo nella finestra di dialogo Impostazioni di sicurezza avanzate.

  7. Scegliere Seleziona un'entità.

    Screenshot del pulsante per la selezione di un'entità.

  8. In Immettere il nome dell'oggetto da selezionare immettere Tutti. Selezionare quindi Controlla nomi>OK.

    Screenshot dell'immissione di un nome di oggetto Everyone.

  9. Si torna quindi alla voce di controllo. Effettuare le selezioni seguenti:

    1. In Tipo selezionare Operazione riuscita.

    2. In Si applica a selezionare Oggetti utente discendente.

    3. In Autorizzazioni scorrere verso il basso e selezionare il pulsante Cancella tutto .

      Screenshot del pulsante per cancellare tutte le autorizzazioni.

    4. Scorrere verso l'alto e selezionare Controllo completo. Tutte le autorizzazioni sono selezionate.

    5. Deselezionare la selezione per elencare il contenuto, leggere tutte le proprietà e leggere le autorizzazioni e quindi selezionare OK. Questo passaggio imposta tutte le impostazioni proprietà su Scrittura.

      Screenshot della selezione delle autorizzazioni.

      A questo punto, tutte le modifiche pertinenti ai servizi directory vengono visualizzate come 4.662 eventi quando vengono attivate.

  10. Ripetere i passaggi in questa procedura, ma per Si applica a selezionare i tipi di oggetto 1 seguenti

    • Oggetti Gruppo discendente
    • Oggetti computer discendenti
    • Oggetti msDS-GroupManagedServiceAccount discendenti
    • Oggetti msDS-ManagedServiceAccount discendenti
    • Oggetti msDS-DelegatedManagedServiceAccountdiscendenti 2

Nota

  1. L'assegnazione delle autorizzazioni di controllo per tutti gli oggetti discendenti funziona anche, ma sono necessari solo i tipi di oggetto descritti in dettaglio nell'ultimo passaggio.
  2. La classe msDS-DelegatedManagedServiceAccount è rilevante solo per i domini che eseguono almeno un controller di dominio Windows Server 2025.

Configurare il controllo in AD FS

Problema di integrità correlato:il controllo nel contenitore AD FS non è abilitato come richiesto

Per configurare il controllo in Active Directory Federation Services (AD FS):

  1. Passare alla console Utenti e computer di Active Directory e selezionare il dominio in cui si desidera abilitare i log.

  2. Passare a Dati> programmaMicrosoft>ADFS.

    Screenshot di un contenitore per Active Directory Federation Services.

  3. Fare clic con il pulsante destro del mouse su ADFS e scegliere Proprietà.

  4. Passare alla scheda Sicurezza e selezionareImpostazioni di sicurezza avanzate>. Passare quindi alla scheda Controllo e selezionare Aggiungi>Selezionare un'entità.

  5. In Immettere il nome dell'oggetto da selezionare immettere Tutti. Selezionare quindi Controlla nomi>OK.

  6. Si torna quindi alla voce di controllo. Effettuare le selezioni seguenti:

    • In Tipo selezionare Tutto.
    • In Si applica a selezionare Questo oggetto e tutti gli oggetti discendenti.
    • In Autorizzazioni scorrere verso il basso e selezionare Cancella tutto. Scorrere verso l'alto e selezionare Leggi tutte le proprietà e Scrivi tutte le proprietà.

    Screenshot delle impostazioni di controllo per Active Directory Federation Services.

  7. Selezionare OK.

Configurare la registrazione dettagliata per gli eventi AD FS

I sensori in esecuzione nei server AD FS devono avere il livello di controllo impostato su Dettagliato per gli eventi pertinenti. Ad esempio, usare il comando seguente per configurare il livello di controllo su Verbose:

Set-AdfsProperties -AuditLevel Verbose

Configurare il controllo in Servizi certificati Active Directory

Se si usa un server dedicato con Servizi certificati Active Directory configurato, configurare il controllo come indicato di seguito per visualizzare gli avvisi dedicati e i report del punteggio di sicurezza:

  1. Creare criteri di gruppo da applicare al server di Servizi certificati Active Directory. Modificarlo e configurare le impostazioni di controllo seguenti:

    1. Passare a Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Advanced Audit Policy Configuration\Audit Policies\Object Access\Audit Certification Services.

    2. Selezionare le caselle di controllo per configurare gli eventi di controllo per Esito positivo e negativo.

      Screenshot della configurazione degli eventi di controllo per Servizi certificati Active Directory nell'editor di gestione Criteri di gruppo.

  2. Configurare il controllo nell'autorità di certificazione usando uno dei metodi seguenti:

    • Per configurare il controllo ca tramite la riga di comando, eseguire:

      certutil –setreg CA\AuditFilter 127 


net stop certsvc && net start certsvc

    • Per configurare il controllo ca usando l'interfaccia utente grafica:

      1. Selezionare Avvia>autorità di certificazione (applicazione MMC Desktop). Fare clic con il pulsante destro del mouse sul nome della CA e scegliere Proprietà.

        Screenshot della finestra di dialogo Autorità di certificazione.

      2. Selezionare la scheda Controllo , selezionare tutti gli eventi da controllare e quindi selezionare Applica.

        Screenshot della scheda Controllo per le proprietà dell'autorità di certificazione.

Nota

La configurazione del controllo degli eventi di Avvio e arresto di Servizi certificati Active Directory potrebbe causare ritardi di riavvio quando si gestisce un database di Servizi certificati Active Directory di grandi dimensioni. Prendere in considerazione la rimozione di voci irrilevanti dal database. In alternativa, evitare di abilitare questo tipo specifico di evento.

Configurare il controllo in Microsoft Entra Connect

Per configurare il controllo nei server Connect Microsoft Entra:

  • Creare criteri di gruppo da applicare ai server Microsoft Entra Connect. Modificarlo e configurare le impostazioni di controllo seguenti:

    1. Passare a Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Configurazione dei criteri di controllo avanzati\Criteri di controllo\Accesso/Disconnessione\Controlla accesso.

    2. Selezionare le caselle di controllo per configurare gli eventi di controllo per Esito positivo e negativo.

Screenshot dell'editor di gestione Criteri di gruppo.

Configurare il controllo nel contenitore di configurazione

Nota

Il controllo del contenitore di configurazione è necessario solo per gli ambienti che hanno attualmente o in precedenza Microsoft Exchange, in quanto questi ambienti hanno un contenitore di Exchange che si trova all'interno della sezione Configurazione del dominio.

Problema di integrità correlato:il controllo nel contenitore di configurazione non è abilitato come richiesto

  1. Aprire lo strumento MODIFICA ADSI. Selezionare Avvia>esecuzione, immettere ADSIEdit.msce quindi selezionare OK.

  2. Scegliere Connetti a dal menu Azione.

  3. Nella finestra di dialogo Impostazioni di connessione , in Selezionare un contesto di denominazione noto, selezionare Configurazione>OK.

  4. Espandere il contenitore Di configurazione per visualizzare il nodo Configurazione , che inizia con "CN=Configuration,DC=...".

    Screenshot delle selezioni per l'apertura delle proprietà per il nodo configurazione CN.

  5. Fare clic con il pulsante destro del mouse sul nodo Configurazione e scegliere Proprietà.

    Screenshot delle selezioni per l'apertura delle proprietà per il nodo Configurazione.

  6. Selezionare la scheda Sicurezza e quindi selezionare Avanzate.

  7. In Impostazioni di sicurezza avanzate selezionare la scheda Controllo e quindi selezionare Aggiungi.

  8. Scegliere Seleziona un'entità.

  9. In Immettere il nome dell'oggetto da selezionare immettere Tutti. Selezionare quindi Controlla nomi>OK.

  10. Si torna quindi alla voce di controllo. Effettuare le selezioni seguenti:

    • In Tipo selezionare Tutto.
    • In Si applica a selezionare Questo oggetto e tutti gli oggetti discendenti.
    • In Autorizzazioni scorrere verso il basso e selezionare Cancella tutto. Scorrere verso l'alto e selezionare Scrivi tutte le proprietà.

    Screenshot delle impostazioni di controllo per il contenitore Di configurazione.

  11. Selezionare OK.

Aggiornare le configurazioni legacy

Defender per identità non richiede più la registrazione di 1.644 eventi. Se è abilitata una delle impostazioni seguenti, è possibile rimuoverle dal Registro di sistema.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Contenuto correlato

Per altre informazioni, vedere:

Passaggio successivo

Che cosa sono i ruoli e le autorizzazioni di Defender per identità?

  • Last updated on