Partilhar via

Configurar políticas de auditoria para registos de eventos do Windows

  • Artigo

Para melhorar as deteções e recolher mais informações sobre ações do utilizador, como inícios de sessão NTLM e alterações de grupos de segurança, Microsoft Defender para Identidade depende de entradas específicas nos registos de eventos do Windows. A configuração adequada das definições da Política de Auditoria Avançada nos controladores de domínio é crucial para evitar lacunas nos registos de eventos e cobertura incompleta do Defender para Identidade.

Este artigo descreve como configurar as definições da Política de Auditoria Avançada conforme necessário para um sensor do Defender para Identidade. Também descreve outras configurações para tipos de eventos específicos.

O Defender para Identidade gera problemas de estado de funcionamento para cada um destes cenários, caso sejam detetados. Para obter mais informações, veja Microsoft Defender para Identidade problemas de estado de funcionamento.

Pré-requisitos

Gerar um relatório de configurações atuais através do PowerShell

Antes de começar a criar novas políticas de eventos e auditorias, recomendamos que execute o seguinte comando do PowerShell para gerar um relatório das suas configurações de domínio atuais:

New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]

No comando anterior:

  • Path especifica o caminho para guardar os relatórios.
  • Mode especifica se pretende utilizar Domain ou LocalMachine modo. No Domain modo, as definições são recolhidas a partir dos objetos Política de Grupo (GPOs). No LocalMachine modo, as definições são recolhidas a partir do computador local.
  • OpenHtmlReport abre o relatório HTML depois de o relatório ser gerado.

Por exemplo, para gerar um relatório e abri-lo no browser predefinido, execute o seguinte comando:

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

Para obter mais informações, veja a referência do PowerShell defenderforIdentity.

Sugestão

O Domain relatório de modo inclui apenas configurações definidas como políticas de grupo no domínio. Se tiver definições definidas localmente nos controladores de domínio, recomendamos que execute também o scriptTest-MdiReadiness.ps1 .

Configurar a auditoria para controladores de domínio

Atualize as definições da Política de Auditoria Avançada e configurações adicionais para eventos e tipos de eventos específicos, como utilizadores, grupos, computadores e muito mais. As configurações de auditoria para controladores de domínio incluem:

Para obter mais informações, veja FAQ sobre auditoria de segurança avançada.

Utilize os seguintes procedimentos para configurar a auditoria nos controladores de domínio que está a utilizar com o Defender para Identidade.

Configurar as definições da Política de Auditoria Avançada a partir da IU

Este procedimento descreve como modificar as definições da Política de Auditoria Avançada do controlador de domínio, conforme necessário para o Defender para Identidade através da IU.

Problema de estado de funcionamento relacionado:A Auditoria Avançada dos Serviços de Diretório não está ativada conforme necessário

Para configurar as definições da Política de Auditoria Avançada:

  1. Inicie sessão no servidor como Administrador de Domínio.

  2. Abra o Revisor de Gestão de Política de Grupo a partir do Gestor de Servidor>Tools>Política de Grupo Management.

  3. Expanda Unidades Organizacionais de Controladores de Domínio, clique com o botão direito do rato em Política de Controladores de Domínio Predefinidos e, em seguida, selecione Editar.

    Captura de ecrã do painel para editar a política predefinida para controladores de domínio.

    Nota

    Utilize a política Controladores de Domínio Predefinidos ou um GPO dedicado para definir estas políticas.

  4. Na janela que é aberta, aceda aPolíticas> de Configuração> do ComputadorDefinições>de Segurança do Windows. Consoante a política que pretende ativar, faça o seguinte:

    1. Aceda a Políticas de Auditoria de Configuração> dePolíticas de Auditoria Avançadas.

      Captura de ecrã das seleções para abrir políticas de auditoria.

    2. Em Políticas de Auditoria, edite cada uma das seguintes políticas e selecione Configurar os seguintes eventos de auditoria para eventos de Êxito e Falha .

      Política de auditoria Subcategoria Aciona IDs de eventos
      Início de Sessão da Conta Validação de Credenciais de Auditoria 4776
      Gestão de Contas Auditar a Gestão de Contas de Computador* 4741, 4743
      Gestão de Contas Auditar Gestão de Grupos de Distribuição* 4753, 4763
      Gestão de Contas Auditar a Gestão de Grupos de Segurança* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Gestão de Contas Auditar a Gestão de Contas de Utilizador 4726
      Acesso ao DS Auditar Alterações do Serviço de Diretório* 5136
      Sistema Auditar Extensão do Sistema de Segurança* 7045
      Acesso ao DS Auditar o Acesso ao Serviço de Diretório 4662 – para este evento, também tem de configurar a auditoria de objetos de domínio.

      Nota

      * As subcategorias notadas não suportam eventos de falha. No entanto, recomendamos que as adicione para fins de auditoria, caso sejam implementadas no futuro. Para obter mais informações, veja Auditar Gestão de Contas de Computador, Auditar Gestão de Grupos de Segurança e Auditar Extensão do Sistema de Segurança.

      Por exemplo, para configurar a Gestão de Grupos de Segurança de Auditoria, em Gestão de Contas, faça duplo clique em Auditar Gestão de Grupos de Segurança e, em seguida, selecione Configurar os seguintes eventos de auditoria para eventosde Êxito e Falha .

      Captura de ecrã a mostrar a caixa de diálogo Auditar Propriedades de Gestão de Grupos de Segurança.

  5. A partir de uma linha de comandos elevada, introduza gpupdate.

  6. Depois de aplicar a política através de GPO, certifique-se de que os novos eventos são apresentados no Visualizador de Eventos, emSegurança de Registos> do Windows.

Para testar as políticas de auditoria a partir da linha de comandos, execute o seguinte comando:

auditpol.exe /get /category:*

Para obter mais informações, veja a documentação de referência auditpol.

Configurar as definições da Política de Auditoria Avançada com o PowerShell

As ações seguintes descrevem como modificar as definições da Política de Auditoria Avançada do controlador de domínio, conforme necessário para o Defender para Identidade com o PowerShell.

Problema de estado de funcionamento relacionado:A Auditoria Avançada dos Serviços de Diretório não está ativada conforme necessário

Para configurar as definições, execute:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

No comando anterior:

  • Mode especifica se pretende utilizar Domain ou LocalMachine modo. No Domain modo, as definições são recolhidas a partir dos objetos Política de Grupo. No LocalMachine modo, as definições são recolhidas a partir do computador local.
  • Configuration especifica a configuração a definir. Utilize All para definir todas as configurações.
  • CreateGpoDisabled especifica se os GPOs são criados e mantidos como desativados.
  • SkipGpoLink especifica que as ligações GPO não são criadas.
  • Force especifica que a configuração está definida ou os GPOs são criados sem validar o estado atual.

Para ver as políticas de auditoria, utilize o Get-MDIConfiguration comando para mostrar os valores atuais:

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

No comando anterior:

  • Mode especifica se pretende utilizar Domain ou LocalMachine modo. No Domain modo, as definições são recolhidas a partir dos objetos Política de Grupo. No LocalMachine modo, as definições são recolhidas a partir do computador local.
  • Configuration especifica a configuração a obter. Utilize All para obter todas as configurações.

Para testar as políticas de auditoria, utilize o Test-MDIConfiguration comando para obter uma true resposta ou false sobre se os valores estão configurados corretamente:

Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

No comando anterior:

  • Mode especifica se pretende utilizar Domain ou LocalMachine modo. No Domain modo, as definições são recolhidas a partir dos objetos Política de Grupo. No LocalMachine modo, as definições são recolhidas a partir do computador local.
  • Configuration especifica a configuração a testar. Utilize All para testar todas as configurações.

Para obter mais informações, veja as seguintes referências do PowerShell defenderForIdentity:

Configurar a auditoria NTLM

Esta secção descreve os passos de configuração adicionais de que precisa para auditar o evento 8004 do Windows.

Nota

  • As políticas de grupo de domínio para recolher o evento 8004 do Windows devem ser aplicadas apenas aos controladores de domínio.
  • Quando um sensor do Defender para Identidade analisa o evento 8004 do Windows, as atividades de autenticação NTLM do Defender para Identidade são melhoradas com os dados acedidos pelo servidor.

Problema de estado de funcionamento relacionado:a Auditoria NTLM não está ativada

Para configurar a auditoria NTLM:

  1. Depois de configurar as definições iniciais da Política de Auditoria Avançada (através da IU ou do PowerShell), abra a Gestão de Política de Grupo. Em seguida, aceda a Opções de Segurança dePolíticas Locaisda Política > de Controladores de Domínio Predefinidas.>

  2. Configure as políticas de segurança especificadas da seguinte forma:

    Definição de política de segurança Valor
    Segurança de rede: Restringir o NTLM: tráfego NTLM de saída para servidores remotos Auditar tudo
    Segurança de rede: Restringir NTLM: auditar a autenticação NTLM neste domínio Ativar tudo
    Segurança de rede: Restringir NTLM: Auditar o Tráfego NTLM recebido Ativar a auditoria para todas as contas

Por exemplo, para configurar o tráfego NTLM de Saída para servidores remotos, em Opções de Segurança, faça duplo clique em Segurança de rede: Restringir NTLM: Tráfego NTLM de Saída para servidores remotos e, em seguida, selecione Auditar tudo.

Captura de ecrã da configuração de auditoria do tráfego NTLM de saída para servidores remotos.

Configurar a auditoria de objetos de domínio

Para recolher eventos para alterações de objetos, como para o evento 4662, também tem de configurar a auditoria de objetos no utilizador, grupo, computador e outros objetos. O procedimento seguinte descreve como ativar a auditoria no domínio do Active Directory.

Importante

Reveja e audite as suas políticas (através da IU ou do PowerShell) antes de ativar a recolha de eventos, para garantir que os controladores de domínio estão configurados corretamente para registar os eventos necessários. Se esta auditoria estiver configurada corretamente, deverá ter um efeito mínimo no desempenho do servidor.

Problema de estado de funcionamento relacionado:A Auditoria de Objetos dos Serviços de Diretório não está ativada conforme necessário

Para configurar a auditoria de objetos de domínio:

  1. Aceda à consola do Utilizadores e Computadores do Active Directory.

  2. Selecione o domínio que pretende auditar.

  3. Selecione o menu Ver e, em seguida, selecione Funcionalidades Avançadas.

  4. Clique com o botão direito do rato no domínio e selecione Propriedades.

    Captura de ecrã das seleções para abrir as propriedades do contentor.

  5. Aceda ao separador Segurança e, em seguida, selecione Avançadas.

    Captura de ecrã da caixa de diálogo para abrir propriedades de segurança avançadas.

  6. Em Definições de Segurança Avançadas, selecione o separador Auditoria e, em seguida, selecione Adicionar.

    Captura de ecrã do separador Auditoria na caixa de diálogo Definições de Segurança Avançadas.

  7. Selecione Selecionar um principal.

    Captura de ecrã do botão para selecionar um principal.

  8. Em Introduza o nome do objeto a selecionar, introduza Todos. Em seguida, selecione Verificar Nomes>OK.

    Captura de ecrã a mostrar a introdução de um nome de objeto de Todos.

  9. Em seguida, regresse à Entrada de Auditoria. Efetue as seguintes seleções:

    1. Em Tipo, selecione Êxito.

    2. Em Aplica-se a, selecione Objetos de Utilizador Descendente.

    3. Em Permissões, desloque-se para baixo e selecione o botão Limpar tudo .

      Captura de ecrã do botão para limpar todas as permissões.

    4. Desloque-se para cima e selecione Controlo Total. Todas as permissões estão selecionadas.

    5. Desmarque a seleção para as permissões Listar conteúdo, Ler todas as propriedades e Permissões de leitura e, em seguida, selecione OK. Este passo define todas as definições de Propriedades como Escrita.

      Captura de ecrã a mostrar a seleção de permissões.

      Agora, todas as alterações relevantes aos serviços de diretório aparecem como eventos 4662 quando são acionados.

  10. Repita os passos neste procedimento, mas em Aplica-se a, selecione os seguintes tipos de objeto:

    • Objetos de Grupo Descendentes
    • Objetos de Computador Descendente
    • Objetos descendentes msDS-GroupManagedServiceAccount
    • Objetos descendentes msDS-ManagedServiceAccount

Nota

Atribuir as permissões de auditoria em Todos os objetos descendentes também funcionaria, mas só precisa dos tipos de objeto detalhados no último passo.

Configurar a auditoria no AD FS

Problema de estado de funcionamento relacionado:a auditoria no contentor do AD FS não está ativada conforme necessário

Para configurar a auditoria no Serviços de Federação do Active Directory (AD FS) (AD FS):

  1. Aceda à consola Utilizadores e Computadores do Active Directory e selecione o domínio onde pretende ativar os registos.

  2. Aceda a Dados> do ProgramaMicrosoft>ADFS.

    Captura de ecrã de um contentor para Serviços de Federação do Active Directory (AD FS).

  3. Clique com o botão direito do rato em ADFS e selecione Propriedades.

  4. Aceda ao separador Segurança e selecioneDefinições avançadas> de segurança. Em seguida, aceda ao separador Auditoria e selecione Adicionar>Selecionar um principal.

  5. Em Introduza o nome do objeto a selecionar, introduza Todos. Em seguida, selecione Verificar Nomes>OK.

  6. Em seguida, regresse à Entrada de Auditoria. Efetue as seguintes seleções:

    • Em Tipo, selecione Tudo.
    • Em Aplica-se a, selecione Este objeto e todos os objetos descendentes.
    • Em Permissões, desloque-se para baixo e selecione Limpar tudo. Desloque-se para cima e selecione Ler todas as propriedades e Escrever todas as propriedades.

    Captura de ecrã das definições de auditoria do Serviços de Federação do Active Directory (AD FS).

  7. Selecione OK.

Configurar o registo Verboso para eventos do AD FS

Os sensores em execução nos servidores do AD FS têm de ter o nível de auditoria definido como Verboso para eventos relevantes. Por exemplo, utilize o seguinte comando para configurar o nível de auditoria para Verboso:

Set-AdfsProperties -AuditLevel Verbose

Configurar a auditoria no AD CS

Se estiver a trabalhar com um servidor dedicado que tenha os Serviços de Certificados do Active Directory (AD CS) configurados, configure a auditoria da seguinte forma para ver alertas dedicados e relatórios de Classificação de Segurança:

  1. Crie uma política de grupo para aplicar ao servidor do AD CS. Edite-o e configure as seguintes definições de auditoria:

    1. Aceda a Configuração do Computador\Políticas\Definições do Windows\Definições de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Acesso a Objetos\Serviços de Certificação de Auditoria.

    2. Selecione as caixas de verificação para configurar eventos de auditoria para Êxito e Falha.

      Captura de ecrã a mostrar a configuração de eventos de auditoria para os Serviços de Certificados do Active Directory no Revisor de Gestão de Política de Grupo.

  2. Configure a auditoria na autoridade de certificação (AC) através de um dos seguintes métodos:

    • Para configurar a auditoria de AC com a linha de comandos, execute:

      certutil –setreg CA\AuditFilter 127 


net stop certsvc && net start certsvc

    • Para configurar a auditoria de AC com a GUI:

      1. Selecione Iniciar>Autoridade de Certificação (aplicação MMC desktop). Clique com o botão direito do rato no nome da AC e selecione Propriedades.

        Captura de ecrã a mostrar a caixa de diálogo Autoridade de Certificação.

      2. Selecione o separador Auditoria , selecione todos os eventos que pretende auditar e, em seguida, selecione Aplicar.

        Captura de ecrã do separador Auditoria das propriedades da autoridade de certificação.

Nota

Configurar a auditoria de eventos dos Serviços de Certificados do Active Directory e Iniciar e Parar pode causar atrasos de reinício quando está a lidar com uma base de dados do AD CS grande. Considere remover entradas irrelevantes da base de dados. Em alternativa, abstenha-se de ativar este tipo específico de evento.

Configurar a auditoria no Microsoft Entra Connect

Para configurar a auditoria em servidores do Microsoft Entra Connect:

  • Crie uma política de grupo para aplicar aos servidores do Microsoft Entra Connect. Edite-o e configure as seguintes definições de auditoria:

    1. Aceda a Configuração do Computador\Políticas\Definições do Windows\Definições de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Início de Sessão/Início de Sessão\Auditoria.

    2. Selecione as caixas de verificação para configurar eventos de auditoria para Êxito e Falha.

Captura de ecrã do Revisor de Gestão de Política de Grupo.

Configurar a auditoria no contentor de configuração

Nota

A auditoria do contentor de configuração é consultada novamente apenas para ambientes que tenham ou anteriormente o Microsoft Exchange, uma vez que estes ambientes têm um contentor do Exchange localizado na secção Configuração do domínio.

Problema de estado de funcionamento relacionado:a auditoria no contentor de Configuração não está ativada conforme necessário

  1. Abra a ferramenta de Edição ADSI. Selecione Iniciar>Execução, introduza ADSIEdit.msce, em seguida, selecione OK.

  2. No menu Ação , selecione Ligar a.

  3. Na caixa de diálogo Definições de Ligação , em Selecionar um Contexto de Nomenclatura bem conhecido, selecione Configuração>OK.

  4. Expanda o contentor Configuração para mostrar o nó Configuração , que começa com "CN=Configuração,DC=...".

  5. Clique com o botão direito do rato no nó Configuração e selecione Propriedades.

    Captura de ecrã das seleções para abrir as propriedades do nó Configuração.

  6. Selecione o separador Segurança e, em seguida, selecione Avançadas.

  7. Em Definições de Segurança Avançadas, selecione o separador Auditoria e, em seguida, selecione Adicionar.

  8. Selecione Selecionar um principal.

  9. Em Introduza o nome do objeto a selecionar, introduza Todos. Em seguida, selecione Verificar Nomes>OK.

  10. Em seguida, regresse à Entrada de Auditoria. Efetue as seguintes seleções:

    • Em Tipo, selecione Tudo.
    • Em Aplica-se a, selecione Este objeto e todos os objetos descendentes.
    • Em Permissões, desloque-se para baixo e selecione Limpar tudo. Desloque-se para cima e selecione Escrever todas as propriedades.

    Captura de ecrã a mostrar as definições de auditoria do contentor de Configuração.

  11. Selecione OK.

Atualizar configurações legadas

O Defender para Identidade já não requer o registo de 1644 eventos. Se tiver uma das seguintes definições ativadas, pode removê-las do registo.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Conteúdos relacionados

Para mais informações, consulte:

Passo seguinte

O que são funções e permissões do Defender para Identidade?