Configurer des stratégies d’audit pour les journaux d’événements Windows

Pour améliorer les détections et collecter plus d’informations sur les actions des utilisateurs, telles que les connexions NTLM et les modifications de groupes de sécurité, Microsoft Defender pour Identity repose sur des entrées spécifiques dans les journaux des événements Windows. Une configuration correcte des paramètres de la stratégie d’audit avancée sur vos contrôleurs de domaine est cruciale pour éviter les lacunes dans les journaux d’événements et une couverture incomplète de Defender pour Identity.

Cet article décrit comment configurer les paramètres de votre stratégie d’audit avancée selon les besoins pour un capteur Defender pour Identity. Il décrit également d’autres configurations pour certains types d’événements spécifiques.

Defender pour Identity génère des problèmes d’intégrité pour chacun de ces scénarios s’ils sont détectés. Pour en savoir plus, consultez Problèmes d’intégrité de Microsoft Defender pour Identity.

Prérequis

Générez un rapport des configurations actuelles via PowerShell.

Avant de commencer à créer de nouvelles stratégies d’événement et d’audit, nous vous recommandons d’exécuter la commande PowerShell suivante pour générer un rapport sur les configurations actuelles de votre domaine :

New-MDIConfigurationReport [-Path] <String> [-Mode] <String> [-OpenHtmlReport]

Dans la commande précédente :

  • Path spécifie le chemin d’enregistrement des rapports.
  • Mode spécifie si vous souhaitez utiliser le mode Domain ou LocalMachine. En mode Domain, les paramètres sont collectés à partir des objets de stratégie de groupe (GPO). En mode LocalMachine, les paramètres sont collectés à partir de la machine locale.
  • OpenHtmlReport ouvre le rapport HTML une fois le rapport généré.

Par exemple, pour générer un rapport et l’ouvrir dans votre navigateur par défaut, exécutez la commande suivante :

New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

Pour en savoir plus, consultez la Référence PowerShell DefenderForIdentity.

Conseil

Le rapport du mode Domain inclut uniquement les configurations définies en tant que stratégies de groupe sur le domaine. Si vous avez des paramètres définis localement sur vos contrôleurs de domaine, nous vous recommandons également d’exécuter le script Test-MdiReadiness.ps1.

Configurer l’audit pour les contrôleurs de domaine

Mettez à jour vos paramètres de stratégie d’audit avancée et les configurations supplémentaires pour des événements et des types d’événements spécifiques, notamment les utilisateurs, les groupes, les ordinateurs, etc. Les configurations d’audit pour les contrôleurs de domaine sont les suivantes :

Pour plus d’informations, consultez faq sur l’audit de sécurité avancé.

Utilisez les procédures suivantes pour configurer l’audit sur les contrôleurs de domaine que vous utilisez avec Defender pour Identity.

Configurer les paramètres de stratégie d’audit avancée à partir de l’interface utilisateur

Cette procédure décrit comment modifier les paramètres de la stratégie d’audit avancée de votre contrôleur de domaine selon les besoins pour Defender pour Identity via l’interface utilisateur.

Problème d’intégrité associé : l’audit avancé des services d’annuaire n’est pas activé comme il se doit

Pour configurer vos paramètres de stratégie d’audit avancée :

  1. Connectez-vous au serveur de en tant qu’Administrateur de domaine.

  2. Ouvrez l’Éditeur de gestion des stratégies de groupe à partir de Gestionnaire de serveur> Tools>Group Policy Management.

  3. Développez Unités d’organisation des contrôleurs de domaine, faites un clic droit sur Stratégie par défaut des contrôleurs de domaine, puis sélectionnez Modifier.

    Capture d’écran du volet de modification de la stratégie par défaut pour les contrôleurs de domaine.

    Remarque

    Utilisez la stratégie par défaut des contrôleurs de domaine ou un GPO dédié pour définir ces politiques.

  4. Dans la fenêtre qui s’ouvre, allez dans Configuration de l’ordinateur>Stratégies>Paramètres Windows>Paramètres de sécurité. Selon la politique que vous souhaitez activer, procédez comme suit :

    1. Accédez aux stratégies d’audit avancées de configuration de la stratégie>d’audit.

      Capture d’écran des sélections pour ouvrir les stratégies d’audit.

    2. Sous Stratégies d’audit, modifiez chacune des stratégies suivantes et sélectionnez Configurer les événements d’audit suivants pour les événements de réussite et d’échec .

      Stratégie d’audit Sous-catégorie Identifiants d’événement déclencheur
      Connexion de compte Auditer la validation des informations d’identification 4776
      Gestion de compte Auditer la gestion des comptes d’ordinateur* 4741, 4743
      Gestion de compte Auditer la gestion des groupes de distribution* 4753, 4763
      Gestion de compte Auditer la gestion des groupes de sécurité* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Gestion de compte Auditer la gestion des comptes d’utilisateur 4726
      Accès DS Auditer les modifications du service d’annuaire* 5136
      Système Auditer l’extension du système de sécurité* 7045
      Accès DS Auditer l’accès au service d’annuaire 4662 : pour cet événement, vous devez également configurer l’audit d’objet de domaine.

      Remarque

      * Les sous-catégories indiquées ne prennent pas en charge les événements d’échec. Toutefois, nous vous recommandons de les ajouter à des fins d’audit si elles doivent être implémentées à l’avenir. Pour en savoir plus, consultez Auditer la gestion des comptes d’ordinateur, Auditer la gestion des groupes de sécurité et Auditer l’extension du système de sécurité.

      Par exemple, pour configurer Audit de la gestion des groupes de sécurité, sous Gestion des comptes, double-cliquez sur Audit de la gestion des groupes de sécurité, puis sélectionnez Configurer les événements d’audit suivants pour les événements de Réussite et Échec.

      Capture d’écran de la boîte de dialogue Propriétés de l’audit de la gestion des groupes de sécurité.

  5. À partir d’une invite de commandes avec élévation de privilèges, saisissez gpupdate.

  6. Après avoir appliqué la politique via GPO, vérifiez que les nouveaux événements apparaissent dans le Visionneur d’événements, sous Journaux Windows>Sécurité.

Pour tester vos stratégies d’audit à partir de la ligne de commande, exécutez la commande suivante :

auditpol.exe /get /category:*

Pour plus d’informations, consultez la documentation de référence auditpol.

Configurer les paramètres de la stratégie d’audit avancée en utilisant PowerShell

Les actions suivantes décrivent comment modifier les paramètres de la stratégie d’audit avancée de votre contrôleur de domaine selon les besoins pour Defender pour Identity à l’aide de PowerShell.

Problème d’intégrité associé : l’audit avancé des services d’annuaire n’est pas activé comme il se doit

Pour configurer vos paramètres, exécutez :

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

Dans la commande précédente :

  • Mode spécifie si vous souhaitez utiliser le mode Domain ou LocalMachine. En mode Domain, les paramètres sont collectés à partir des objets de stratégie de groupe. En mode LocalMachine, les paramètres sont collectés à partir de la machine locale.
  • Configuration spécifie quelle configuration définir. Utilisez All pour définir toutes les configurations.
  • CreateGpoDisabled spécifie si les GPO sont créés et laissés désactivés.
  • SkipGpoLink spécifie que les liens GPO ne sont pas créés.
  • Force spécifie que la configuration est définie ou que les GPO sont créés sans valider l’état actuel.

Pour voir vos stratégies d’audit, utilisez la commande Get-MDIConfiguration pour afficher les valeurs actuelles :

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Dans la commande précédente :

  • Mode spécifie si vous souhaitez utiliser le mode Domain ou LocalMachine. En mode Domain, les paramètres sont collectés à partir des objets de stratégie de groupe. En mode LocalMachine, les paramètres sont collectés à partir de la machine locale.
  • Configuration spécifie quelle configuration obtenir. Utilisez All pour obtenir toutes les configurations.

Pour tester vos stratégies d’audit, utilisez la commande Test-MDIConfiguration pour obtenir une réponse true ou false indiquant si les valeurs sont correctement configurées :

Test-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Dans la commande précédente :

  • Mode spécifie si vous souhaitez utiliser le mode Domain ou LocalMachine. En mode Domain, les paramètres sont collectés à partir des objets de stratégie de groupe. En mode LocalMachine, les paramètres sont collectés à partir de la machine locale.
  • Configuration spécifie quelle configuration tester. Utilisez All pour tester toutes les configurations.

Pour plus d’informations, consultez les références PowerShell suivantes de DefenderForIdentity :

Configurer l’audit NTLM

Cette section décrit les étapes de configuration supplémentaires nécessaires pour l’audit de l’événement Windows 8004.

Remarque

  • Les stratégies de groupe de domaine pour collecter l’événement Windows 8004 doivent être appliquées uniquement aux contrôleurs de domaine.
  • Lorsqu’un capteur Defender pour Identity analyse l’événement Windows 8004, les activités d’authentification NTLM de Defender pour Identity sont enrichies avec les données des serveurs consultés.

Problème de santé lié : L’audit NTLM n’est pas activé.

Configurer l’audit NTLM :

  1. Après avoir configuré vos paramètres initiaux de stratégie d’audit avancée (via l’interface utilisateur ou PowerShell), ouvrez Gestion des stratégies de groupe. Puis allez dans Stratégie par défaut des contrôleurs de domaine>Politiques locales>Options de sécurité.

  2. Configurez les politiques de sécurité spécifiées comme suit :

    Paramètre de stratégie de sécurité Valeur
    Sécurité réseau : restreindre NTLM : trafic NTLM sortant vers des serveurs distants Auditer tout
    Sécurité réseau : restreindre NTLM : auditer l’authentification NTLM dans ce domaine Activer tout
    Sécurité réseau : restreindre NTLM : auditer le trafic NTLM entrant Activer l’audit pour tous les comptes

Par exemple, pour configurer Trafic NTLM sortant vers des serveurs distants, sous Options de sécurité, double-cliquez sur Sécurité réseau : Restreindre NTLM : Trafic NTLM sortant vers des serveurs distants, puis sélectionnez Auditer tout.

Capture d’écran de la configuration d’audit pour le trafic NTLM sortant vers des serveurs distants.

Configurer l’audit des objets de domaine

Pour collecter des événements pour les modifications d’objet, comme pour l’événement 4662, vous devez également configurer l’audit d’objet sur l’utilisateur, le groupe, l’ordinateur et d’autres objets. La procédure suivante décrit comment activer l’audit dans le domaine Active Directory.

Important

Examinez et auditez vos stratégies (via l’interface utilisateur ou PowerShell) avant d’activer la collecte des événements, afin de vous assurer que les contrôleurs de domaine sont correctement configurés pour enregistrer les événements nécessaires. Si cet audit est correctement configuré, il devrait avoir un impact minimal sur les performances du serveur.

Problème d’intégrité associé : l’audit d’objet des services d’annuaire n’est pas activé comme il se doit

Configurer l’audit d’objet de domaine :

  1. Consultez la console Utilisateurs et ordinateurs Active Directory.

  2. Sélectionnez le domaine que vous souhaitez auditer.

  3. Sélectionnez le menu Affichage, puis sélectionnez Fonctionnalités avancées.

  4. Faites un clic droit sur le domaine et sélectionnez Propriétés.

    Capture d’écran des sélections pour ouvrir les propriétés du conteneur.

  5. Allez dans l’onglet Sécurité, puis sélectionnez Avancé.

    Capture d’écran de la boîte de dialogue pour ouvrir les propriétés de sécurité avancées.

  6. Dans Paramètres de sécurité avancés, sélectionnez l’onglet Audit, puis sélectionnez Ajouter.

    Capture d’écran de l’onglet Audit dans la boîte de dialogue Paramètres de sécurité avancés.

  7. Choisissez Sélectionner un principal.

    Capture d’écran du bouton pour sélectionner un principal.

  8. Sous Entrez le nom de l’objet à sélectionner, entrez Tout le monde. Puis sélectionnez Vérifier les noms>OK.

    Capture d’écran de la saisie d’un nom d’objet pour Tout le monde.

  9. Revenez ensuite à Entrée d’audit. Effectuez les sélections suivantes :

    1. Pour Type, sélectionnez Succès.

    2. Pour S’applique à, sélectionnez Objets utilisateurs descendants.

    3. Sous Autorisations, faites défiler vers le bas et sélectionnez le bouton Effacer tout.

      Capture d’écran du bouton pour effacer toutes les autorisations.

    4. Faites défiler vers le haut et sélectionnez Contrôle total. Toutes les autorisations sont sélectionnées.

    5. Effacez la sélection pour les autorisations Afficher le contenu, Lire toutes les propriétés, et Lire les autorisations, puis sélectionnez OK. Cette étape définit tous les paramètres Propriétés sur Écriture.

      Capture d’écran de la sélection des autorisations.

      Désormais, toutes les modifications pertinentes apportées aux services d’annuaire apparaissent comme événements 4662 lorsqu’elles sont déclenchées.

  10. Répétez les étapes de cette procédure, mais pour s’appliquer à, sélectionnez les types d’objets suivants :

    • Objets groupe descendants
    • Objets ordinateur descendants
    • Objets msDS-GroupManagedServiceAccount descendants
    • Objets msDS-ManagedServiceAccount descendants

Remarque

Attribuer les autorisations d’audit sur Tous les objets descendants fonctionnerait également, mais seuls les types d’objets détaillés dans la dernière étape sont nécessaires.

Configurer l’audit sur AD FS

Problème de santé lié : L’audit sur le conteneur AD FS n’est pas activé comme requis.

Pour configurer l’audit sur les services de fédération Active Directory (AD FS) :

  1. Accédez à la console Utilisateurs et ordinateurs Active Directory, et sélectionnez le domaine où vous souhaitez activer les journaux.

  2. Accédez à Program Data>Microsoft>ADFS.

    Capture d’écran d’un conteneur pour les services de fédération Active Directory.

  3. Faites un clic droit sur ADFS, puis sélectionnez Propriétés.

  4. Allez dans l’onglet Sécurité et sélectionnez Avancé>Paramètres de sécurité avancés. Accédez ensuite à l’onglet Audit et sélectionnez Ajouter>un principal.

  5. Sous Entrez le nom de l’objet à sélectionner, entrez Tout le monde. Puis sélectionnez Vérifier les noms>OK.

  6. Revenez ensuite à Entrée d’audit. Effectuez les sélections suivantes :

    • Pour Type, sélectionnez Tout.
    • Pour S’applique à, sélectionnez Cet objet et tous les objets descendants.
    • Sous Autorisations, faites défiler vers le bas et sélectionnez Effacer tout. Faites défiler vers le haut et sélectionnez Lire toutes les propriétés et Écrire toutes les propriétés.

    Capture d’écran des paramètres d’audit pour les services de fédération Active Directory.

  7. Cliquez sur OK.

Configurer la journalisation détaillée pour les événements AD FS

Les capteurs s’exécutant sur des serveurs AD FS doivent avoir le niveau d’audit défini sur Verbose pour les événements pertinents. Par exemple, utilisez la commande suivante pour configurer le niveau d’audit sur Verbose :

Set-AdfsProperties -AuditLevel Verbose

Configurer l’audit sur AD CS

Si vous travaillez avec un serveur dédié ayant les services de certificats Active Directory (AD CS) configurés, configurez l’audit comme suit pour afficher les alertes dédiées et les rapports Secure Score :

  1. Créez une stratégie de groupe à appliquer à votre serveur AD CS. Modifiez-le et configurez les paramètres d’audit suivants :

    1. Allez dans Configuration de l’ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration des stratégies d’audit avancées\Stratégies d’audit\Accès aux objets\Audit des services de certification.

    2. Sélectionnez les cases pour configurer les événements d’audit pour Succès et Échec.

      Capture d’écran de la configuration des événements d’audit pour les services de certificats Active Directory dans l’Éditeur de gestion des stratégies de groupe.

  2. Configurer l’audit sur l’autorité de certification (CA) en utilisant l’une des méthodes suivantes :

    • Pour configurer l’audit de la CA via la ligne de commande, exécutez :

      certutil –setreg CA\AuditFilter 127 
      
      
      net stop certsvc && net start certsvc
      
    • Pour configurer l’audit de la CA via l’interface graphique :

      1. Sélectionnez Démarrer>Autorité de certification (application de bureau MMC). Faites un clic droit sur le nom de l’autorité de certification et sélectionnez Propriétés.

        Capture d’écran de la boîte de dialogue « Autorité de certification ».

      2. Sélectionnez l’onglet Audit, sélectionnez tous les événements que vous souhaitez auditer, puis sélectionnez Appliquer.

        Capture d’écran de l’onglet Audit pour les propriétés de l’autorité de certification.

Remarque

La configuration de l’audit des événements Démarrer et arrêter les services de certificats Active Directory pourrait provoquer des délais de redémarrage lorsque vous traitez avec une grande base de données AD CS. Envisagez de supprimer les entrées non pertinentes de la base de données. Sinon, évitez d’activer ce type d’événement spécifique.

Configurer l’audit sur Microsoft Entra Connect

Pour configurer l’audit sur les serveurs Microsoft Entra Connect :

  • Créez une stratégie de groupe à appliquer à vos serveurs Microsoft Entra Connect. Modifiez-le et configurez les paramètres d’audit suivants :

    1. Allez dans Configuration de l’ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration des stratégies d’audit avancées\Stratégies d’audit\Ouverture/Fermeture de session\Audit de connexion.

    2. Sélectionnez les cases pour configurer les événements d’audit pour Succès et Échec.

Capture d’écran de l’Éditeur de gestion des stratégies de groupe.

Configurer l’audit sur le conteneur de configuration

Remarque

L’audit du conteneur de configuration est réécrit uniquement pour les environnements qui ont ou ont déjà utilisé Microsoft Exchange, car ces environnements ont un conteneur Exchange situé dans la section Configuration du domaine.

Problème d’intégrité associé : l’audit sur le conteneur de configuration n’est pas activé comme il se doit

  1. Ouvrez l’outil ADSI Edit. Sélectionnez Démarrer>Exécuter, entrez ADSIEdit.msc, puis sélectionnez OK.

  2. Dans le menu Action, sélectionnez Se connecter à.

  3. Dans la boîte de dialogue Paramètres de connexion, sous Sélectionner un contexte de nommage bien connu, sélectionnez Configuration>OK.

  4. Développez le conteneur Configuration pour afficher le nœud Configuration, qui commence par « CN=Configuration,DC=... ».

  5. Faites un clic droit sur le nœud Configuration, puis sélectionnez Propriétés.

    Capture d’écran des sélections pour ouvrir les propriétés du nœud Configuration.

  6. Sélectionnez l’onglet Sécurité, puis sélectionnez Avancé.

  7. Dans Paramètres de sécurité avancés, sélectionnez l’onglet Audit, puis sélectionnez Ajouter.

  8. Choisissez Sélectionner un principal.

  9. Sous Entrez le nom de l’objet à sélectionner, entrez Tout le monde. Puis sélectionnez Vérifier les noms>OK.

  10. Revenez ensuite à Entrée d’audit. Effectuez les sélections suivantes :

    • Pour Type, sélectionnez Tout.
    • Pour S’applique à, sélectionnez Cet objet et tous les objets descendants.
    • Sous Autorisations, faites défiler vers le bas et sélectionnez Effacer tout. Faites défiler vers le haut et sélectionnez Écrire toutes les propriétés.

    Capture d’écran des paramètres d’audit du conteneur de configuration.

  11. Cliquez sur OK.

Mettre à jour les configurations héritées

Defender pour Identity n’a plus besoin de journaliser les événements 1644. Si l’un des paramètres suivants est activé, vous pouvez les supprimer du Registre.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Pour plus d’informations, consultez l’article suivant :

Étape suivante