Compartilhar via

Configurar políticas de auditoria para logs de eventos do Windows

  • Artigo

Para aprimorar as detecções e coletar mais informações sobre as ações do usuário, como logons NTLM e alterações no grupo de segurança, o Microsoft Defender para Identidade depende de entradas específicas nos logs de eventos do Windows. A configuração adequada das definições da Política de Auditoria Avançada nos seus controladores de domínio é crucial para evitar lacunas nos registros de eventos e cobertura incompleta do Defender para Identidade.

Este artigo descreve como definir as configurações da Política de Auditoria Avançada conforme necessário para um sensor do Defender para Identidade. Ele também descreve outras configurações para tipos de eventos específicos.

O Defender for Identity gera problemas de integridade para cada um desses cenários se eles forem detectados. Para obter mais informações, consulte Problemas de integridade do Microsoft Defender for Identity.

Pré-requisitos

Gerar um relatório das configurações atuais por meio do PowerShell

Antes de começar a criar novas políticas de evento e auditoria, recomendamos que você execute o seguinte comando do PowerShell para gerar um relatório de suas configurações de domínio atuais:

New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]

No comando anterior:

  • Path especifica o caminho para salvar os relatórios.
  • Mode Especifica se você deseja usar o modo Domain ou o modo LocalMachine. No modo Domain as configurações são coletadas dos objetos de política de grupo (GPOs). No modo LocalMachine as configurações são coletadas do computador local.
  • OpenHtmlReport abre o relatório HTML depois que o relatório é gerado.

Por exemplo, para gerar um relatório e abri-lo no navegador padrão, execute o seguinte comando:

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

Para saber mais, consulte a referência do PowerShell do Defender para Identidade.

Dica

O Domain relatório de modo inclui apenas configurações definidas como políticas de grupo no domínio. Se tiver definições definidas localmente nos seus controladores de domínio, recomendamos que execute também o script Test-MdiReadiness.ps1.

Configurar auditoria para controladores de domínio

Atualize suas configurações de Política de Auditoria Avançada e configurações extras para eventos e tipos de eventos específicos, como usuários, grupos, computadores e muito mais. As configurações de auditoria para controladores de domínio incluem:

Use os procedimentos a seguir para configurar a auditoria nos controladores de domínio que você está usando com o Defender para Identidade.

Definir as configurações de Política de Auditoria Avançada a partir da IU

Este procedimento descreve como modificar as configurações da Política de Auditoria Avançada do seu controlador de domínio, conforme necessário, para o Defender para Identidade por meio da interface do usuário.

Problema de integridade relacionado: A auditoria avançada dos serviços de diretório não está habilitada conforme necessário

Para definir suas configurações de Política de Auditoria Avançada:

  1. Faça logon no servidor como Administrador de Domínio.

  2. Abra o Editor de Gerenciamento de Política de Grupo em Gerenciador de Servidores>Ferramentas>Gerenciamento de Política de Grupo.

  3. Expanda as Unidades Organizacionais de Controladores de Domínio, clique com botão direito do mouse em Política de Controladores de Domínio Padrão e em seguida, selecione Editar.

    Captura de tela do painel para editar a política padrão para controladores de domínio.

    Observação

    Use a política de Controladores de Domínio Padrão ou um GPO dedicado para definir essas políticas.

  4. Na janela que se abre, vá para Configuração do Computador>Políticas>Configurações do Windows>Configurações de segurança. Dependendo da política que você deseja habilitar, faça o seguinte:

    1. Vá para Configuração de Política de Auditoria Avançada>Políticas de Auditoria.

      Captura de tela das seleções para abrir políticas de auditoria.

    2. Em Políticas de Auditoria, edite cada uma das políticas a seguir e selecione Configurar estes eventos de auditoria para eventos no caso de Êxito e Falha.

      Política de auditoria Subcategoria Dispara IDs de evento
      Logon da conta Auditoria da Validação de Credenciais 4776
      Gerenciamento de Contas Auditoria do Gerenciamento de Contas de Computadores* 4741, 4743
      Gerenciamento de Contas Auditoria do Gerenciamento do Grupo de Distribuição* 4753, 4763
      Gerenciamento de Contas Auditoria do Gerenciamento do Grupo de Segurança* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Gerenciamento de Contas Auditoria do Gerenciamento de Contas de Usuário 4726
      Acesso DS Auditoria de Alterações no Serviço de Diretório 5136
      Sistema Auditoria da Extensão do Sistema de Segurança* 7045
      Acesso DS Auditoria do Acesso ao Serviço de Diretório 4662 (para este evento, você também precisa configurar a auditoria de objetos de domínio)

      Observação

      * As subcategorias observadas não oferecem suporte a eventos de falha. No entanto, recomendamos adicioná-los para fins de auditoria caso sejam implementados no futuro. Para obter mais informações, consulte Auditoria do Gerenciamento da Conta de Computador, Auditoria de Gerenciamento de Grupo de Segurança e Auditoria de Extensão de Sistema de Segurança.

      Por exemplo, para configurar o Gerenciamento de Grupo de Segurança de Auditoria, em Gerenciamento de Conta, clique duas vezes em Gerenciamento de Grupo de Segurança de Auditoria e selecione Configurar estes eventos de auditoria para eventos no caso de Êxito e Falha.

      Captura de tela da caixa de diálogo Propriedades de gerenciamento do grupo de segurança de auditoria.

  5. Em um prompt de comandos com privilégios elevados, insira gpupdate.

  6. Depois de aplicar a política por meio do GPO, verifique se os novos eventos aparecem no Visualizador de Eventos em logs do Windows>Segurança.

Para testar suas políticas de auditoria da linha de comando, execute o seguinte comando:

auditpol.exe /get /category:*

Para mais informações, consulte a documentação de referência de auditpol.

Configurar as definições da Política de Auditoria Avançada usando o PowerShell

As ações a seguir descrevem como modificar as configurações da Política de Auditoria Avançada do seu controlador de domínio conforme necessário para o Defender para Identidade usando o PowerShell.

Problema de integridade relacionado: A auditoria avançada dos serviços de diretório não está habilitada conforme necessário

Para definir suas configurações, execute:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

No comando anterior:

  • Mode Especifica se você deseja usar o modo Domain ou o modo LocalMachine. No modo Domain as configurações são coletadas dos objetos de política de grupo. No modo LocalMachine as configurações são coletadas do computador local.
  • Configuration especifica qual configuração definir. Use All para definir todas as configurações.
  • CreateGpoDisabled especifica se os GPOs são criados e mantidos como desabilitados.
  • SkipGpoLink especifica que os links de GPO não são criados.
  • Force especifica que a configuração está definida ou que os GPOs são criados sem validar o estado atual.

Para exibir suas políticas de auditoria, use o comando Get-MDIConfiguration para mostrar os valores atuais:

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

No comando anterior:

  • Mode Especifica se você deseja usar o modo Domain ou o modo LocalMachine. No modo Domain as configurações são coletadas dos objetos de política de grupo. No modo LocalMachine as configurações são coletadas do computador local.
  • Configuration especifica a configuração a ser obtida. Use All para obter todas as configurações.

Para testar suas políticas de auditoria, use o comando Test-MDIConfiguration para obter uma resposta true ou false sobre se os valores estão configurados corretamente:

Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

No comando anterior:

  • Mode Especifica se você deseja usar o modo Domain ou o modo LocalMachine. No modo Domain as configurações são coletadas dos objetos de política de grupo. No modo LocalMachine as configurações são coletadas do computador local.
  • Configuration especifica a configuração a ser testada. Use All para testar todas as configurações.

Para saber mais, consulte as seguintes referências do Defender para Identidade do PowerShell:

Configurar auditoria NTLM

Esta seção descreve as etapas de configuração adicionais necessárias para auditar o evento 8004 do Windows.

Observação

  • Devem ser aplicadas políticas de grupo de domínio para coletar o evento 8004 do Windows somente a controladores de domínio.
  • Quando um sensor do Defender para Identidade analisa o evento 8004 do Windows, as atividades de autenticação NTLM do Defender para Identidade são enriquecidas com os dados acessados pelo servidor.

Problema de integridade relacionado: A auditoria NTLM não está habilitada

Para configurar a auditoria NTLM:

  1. Depois de definir as configurações iniciais da Política de Auditoria Avançada (por meio da UI ou PowerShell), abra o Gerenciamento de Política de Grupo. Em seguida, vá para Política de Controladores de Domínio Padrão>Políticas Locais>Opções de Segurança.

  2. Configure as políticas de segurança especificadas da seguinte maneira:

    Configuração de política de segurança Valor
    Segurança de rede: Restringir NTLM: Tráfego NTLM de saída para servidores remotos Auditar tudo
    Segurança de rede: Restringir NTLM: Auditar autenticação NTLM neste domínio Habilitar tudo
    Segurança de rede: Restringir NTLM: Auditar o tráfego NTLM de entrada Habilitar auditoria para todas as contas

Por exemplo, para configurar o Tráfego NTLM de saída para servidores remotos, em Opções de Segurança, clique duas vezes em Segurança de rede: restringir NTLM: tráfego NTLM de saída para servidores remotos e selecione Auditar tudo.

Captura de tela da configuração de auditoria para o tráfego NTLM de saída para servidores remotos.

Configurar auditoria de objetos de domínio

Para coletar eventos de alterações de objeto, como o evento 4662, você também deve configurar a auditoria de objeto no usuário, grupo, computador e outros objetos. O procedimento a seguir descreve como habilitar a auditoria no domínio do Active Directory.

Importante

Revise e audite suas políticas (por meio da UI ou PowerShell) antes de habilitar a coleta de eventos, para garantir que os controladores de domínio estejam configurados corretamente para registrar os eventos necessários. Se essa auditoria for configurada corretamente, ela deverá ter um efeito mínimo no desempenho do servidor.

Problema de integridade relacionado:: A auditoria de objetos dos serviços de diretório não está habilitada conforme necessário

Para configurar a auditoria de objetos de domínio:

  1. Vá para o console Usuários e Computadores do Active Directory.

  2. Selecione o domínio que você deseja auditar.

  3. Selecione o menu Exibir e em seguida, selecione Recursos Avançados.

  4. Clique com o botão direito do mouse no domínio e selecione Propriedades.

    Captura de tela das seleções para abrir as propriedades do contêiner.

  5. Vá para a guia Segurança e em seguida, selecione Avançado.

    Captura de tela da caixa de diálogo para abrir as propriedades avançadas de segurança.

  6. Em Configurações de Segurança Avançadas, escolha a guia Auditoria e em seguida, escolha Adicionar.

    Captura de tela da guia Auditoria na caixa de diálogo Configurações avançadas de segurança.

  7. Escolha Selecionar uma entidade principal.

    Captura de tela do botão para selecionar um principal.

  8. Em Inserir o nome do objeto para selecionar, insira Todos. Em seguida Selecione Verificar Nomes>OK.

    Captura de tela da inserção de um nome de objeto de Todos.

  9. Em seguida, você retorna à Entrada de Auditoria. Faça as seguintes seleções:

    1. Em Tipo selecione Êxito.

    2. Para Aplica-se a, selecione Objetos de usuário descendentes.

    3. Em Permissões, role para baixo e selecione o botão Limpar tudo.

      Captura de tela do botão para limpar todas as permissões.

    4. Role de volta para cima e selecione Controle Total. Todas as permissões são selecionadas.

    5. Desmarque a seleção das permissões Listar conteúdo, Ler todas as propriedades e Permissões de leitura e em seguida, selecione OK. Essa etapa define todas as configurações de Propriedades para Gravação.

      Captura de tela da seleção de permissões.

      Agora, todas as alterações relevantes nos serviços de diretório aparecem como eventos 4662 quando são acionadas.

  10. Repita as etapas neste procedimento, mas para Aplica-se a, selecione os seguintes tipos de objeto:

    • Objetos de Grupos Descendentes
    • Objetos de Computadores Descendentes
    • Objetos msDS-GroupManagedServiceAccount descendentes
    • Objetos msDS-ManagedServiceAccount descendentes

Observação

A atribuição das permissões de auditoria em Todos os objetos descendentes também funcionaria, mas você precisa apenas dos tipos de objetos detalhados na última etapa.

Configurar auditoria no AD FS

Problema de integridade relacionado:: a auditoria no contêiner do AD FS não está habilitada conforme necessário

Para configurar auditoria nos Serviços de Federação do Active Directory (AD FS):

  1. Acesse o console de Usuários e Computadores do Active Directory e selecione o domínio onde deseja habilitar os registros.

  2. Vá para Dados do Programa>Microsoft>ADFS.

    Captura de tela de um contêiner para os Serviços de Federação do Active Directory.

  3. Clique com o botão direito do mouse em ADFS e selecione Propriedades.

  4. Vá para a guia Segurança e selecione Avançado>Configurações avançadas de segurança. Em seguida, vá para a guia Auditoria e selecione Adicionar>Selecione uma entidade.

  5. Em Inserir o nome do objeto para selecionar, insira Todos. Em seguida Selecione Verificar Nomes>OK.

  6. Em seguida, você retorna à Entrada de Auditoria. Faça as seguintes seleções:

    • Para Tipo, selecione Todos.
    • Em Aplica-se a selecione Este objeto e todos os objetos descendentes.
    • Em Permissões, role para baixo e selecione Limpar tudo. Role para cima e selecione Ler todas as propriedades e Gravar todas as propriedades.

    Captura de tela das configurações de auditoria dos Serviços de Federação do Active Directory.

  7. Selecione OK.

Configurar auditoria no AD CS

Se estiver trabalhando com um servidor dedicado que tenha o AD CS (Serviços de Certificados do Active Directory) configurado, configure a auditoria da seguinte forma para visualizar alertas dedicados e relatórios do Secure Score:

  1. Crie uma política de grupo para aplicar ao servidor do AD CS. Edite-a e defina as seguintes configurações de auditoria:

    1. Vá para Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração de Política de Auditoria Avançada\Políticas de Auditoria\Acesso a Objetos\Auditoria de Serviços de Certificados.

    2. Selecione as caixas de seleção para configurar eventos de auditoria no caso de Êxito e Falha.

      Captura de tela da configuração de eventos de auditoria para os Serviços de Certificados do Active Directory no Editor de Gerenciamento de Política de Grupo.

  2. Configure a auditoria na CA (autoridade de certificação) usando um dos seguintes métodos:

    • Para configurar a auditoria da CA usando a linha de comando, execute:

      certutil –setreg CA\AuditFilter 127 


net stop certsvc && net start certsvc

    • Para configurar a auditoria da CA usando a GUI:

      1. Selecione Iniciar>Autoridade de Certificação (aplicativo da área de trabalho MMC Desktop).. Clique com o botão direito do mouse no nome da Autoridade de Certificação e escolha Propriedades.

        Captura de tela da caixa de diálogo Autoridade de certificação.

      2. Escolha a guia Auditoria selecione todos os eventos que você deseja auditar e, em seguida, selecione Aplicar.

        Captura de tela da guia Auditoria para propriedades da autoridade de certificação.

Observação

Configurar a auditoria de eventos Iniciar e Parar os Serviços de Certificados do Active Directory pode causar atrasos de reinicialização quando se está lidando com um grande banco de dados do AD CS. Considere remover entradas irrelevantes do banco de dados. Como alternativa, evite habilitar esse tipo específico de evento.

Configurar a auditoria no Microsoft Entra Connect

Para configurar a auditoria em servidores do Microsoft Entra Connect:

  • Crie uma política de grupo para aplicar aos servidores do Microsoft Entra Connect. Edite-a e defina as seguintes configurações de auditoria:

    1. Vá para Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Logon/Logoff\Auditar o logon.

    2. Selecione as caixas de seleção para configurar eventos de auditoria no caso de Êxito e Falha.

Captura de tela do Editor de Gerenciamento de Política de Grupo.

Configurar auditoria no contêiner de configuração

Problema de integridade relacionado: A auditoria no contêiner de configuração não está habilitada conforme necessário

  1. Abra a ferramenta ADSI Edit. Selecione Iniciar>Executar, insira ADSIEdit.msc, e em seguida, selecione OK.

  2. No menu Ação, escolha Conectar a.

  3. Na caixa de diálogo Configurações de Conexão em Selecionar um Contexto de Nomenclatura conhecido, selecione Configuração>OK.

  4. Expanda o contêiner Configuração para mostrar o nó de Configuração, que começa com "CN=Configuration,DC=...".

  5. Clique com o botão direito do mouse no nó Configuração e escolha Propriedades.

    Captura de tela das seleções para abrir as propriedades do nó de Configuração.

  6. Selecione a guia Segurança e em seguida, selecione Avançado.

  7. Em Configurações de Segurança Avançadas, escolha a guia Auditoria e em seguida, escolha Adicionar.

  8. Escolha Selecionar uma entidade principal.

  9. Em Inserir o nome do objeto para selecionar, insira Todos. Em seguida Selecione Verificar Nomes>OK.

  10. Em seguida, você retorna à Entrada de Auditoria. Faça as seguintes seleções:

    • Para Tipo, selecione Todos.
    • Em Aplica-se a selecione Este objeto e todos os objetos descendentes.
    • Em Permissões, role para baixo e selecione Limpar tudo. Role para cima e selecione Gravar todas as propriedades.

    Captura de tela das configurações de auditoria para o contêiner de configuração.

  11. Selecione OK.

Atualizar as configurações herdadas

O Defender para Identidade não requer mais o registro em log de 1644 eventos. Se você tiver essa configuração do Registro habilitada, poderá removê-la.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Conteúdo relacionado

Para saber mais, veja:

Próxima etapa

O que são funções e permissões do Defender para Identidade?