Configuración de la auditoría de eventos de Windows

Configure la auditoría de eventos de Windows para habilitar las detecciones de Defender for Identity. El sensor analiza registros de eventos específicos de Windows desde los controladores de dominio, los servidores de AD FS, los servidores de AD CS y los servidores de Microsoft Entra Connect. Para que los eventos correctos se audite e incluyan en el registro de eventos de Windows, estos servidores necesitan la configuración de directiva de auditoría avanzada correcta.

Configure la auditoría mediante uno de estos métodos:

Defender for Identity genera alertas de estado cuando detecta configuraciones incorrectas de auditoría de eventos de Windows. Para obtener más información, consulte Microsoft Defender for Identity alertas de estado.

Si configura la auditoría correctamente, tiene un efecto mínimo en el rendimiento del servidor.

Configuración de Defender for Identity para recopilar eventos de Windows automáticamente

Si va a implementar el sensor v3.x en controladores de dominio, use la auditoría automática de Windows. Este es el enfoque recomendado; no requiere ninguna configuración manual y controla todas las opciones de auditoría automáticamente.

Activar la auditoría automática de Windows

  1. En el portal de Microsoft Defender, vaya a Configuración y, a continuación, Identidades.
  2. En la sección General , seleccione Características avanzadas.
  3. Active la configuración de auditoría automática de Windows.

Qué configura la auditoría automática

Cuando está habilitado, el sensor automáticamente:

  • Comprueba la configuración actual de auditoría de eventos de Windows.
  • Identifica los huecos en la configuración.
  • Aplica los cambios necesarios, incluidos todos los pasos de la configuración manual:
    • Auditoría avanzada de servicios de directorio: agrega entradas de auditoría a la lista de Access Control del sistema (SACL) del objeto raíz del dominio para habilitar la auditoría del servicio de directorio necesaria.
    • Auditoría NTLM: usa las API estándar del Registro de Windows para configurar los valores del Registro de auditoría NTLM necesarios.
    • Auditoría de objetos de dominio: modifica la SACL en la partición de configuración para capturar los cambios en los objetos de configuración del servicio de directorio.
    • Auditoría de ADFS: agrega entradas de auditoría a la lista de Access Control del sistema (SACL) del objeto del contenedor de configuración de AD FS para habilitar la auditoría de objetos de directorio relacionados con AD FS.
    • Directiva de auditoría de Windows: configura las directivas de auditoría de Windows locales mediante las API de directiva de auditoría de la Autoridad de seguridad local (LSA) de Windows.
  • Aplica la configuración de auditoría directamente a la directiva del sistema local del controlador de dominio.
  • Envía alertas de estado sobre el estado de configuración.
  • Se ejecuta una vez cada 24 horas.

Nota:

  • La auditoría automática de eventos de Windows es compatible con controladores de dominio que usan solo la versión 3.x del sensor de Defender for Identity. No se aplica a los controladores de dominio v2.x ni a los servidores de AD FS, AD CS y Microsoft Entra Connect que no son controladores de dominio. Para esos servidores, configure manualmente la auditoría de eventos de Windows.
  • Si no activa la auditoría automática de Windows, debe configurar la auditoría de eventos de Windows manualmente o mediante PowerShell.
  • La configuración de GPO puede entrar en conflicto con la configuración local establecida por el sensor.

Eventos de Windows necesarios

En esta sección se enumeran los eventos de Windows que requiere el sensor de Defender for Identity. Los eventos específicos dependen del tipo de servidor donde está instalado el sensor.

Eventos de AD FS necesarios

Los siguientes eventos son necesarios para los servidores de AD FS:

  • 1202: El servicio de federación validó una nueva credencial
  • 1203: El servicio de federación no pudo validar una nueva credencial
  • 4624: Una cuenta se ha iniciado sesión correctamente
  • 4625: No se pudo iniciar sesión en una cuenta

Para obtener más información, vea Configurar la auditoría en un servidor de AD FS.

Eventos de AD CS necesarios

Los siguientes eventos son necesarios para los servidores de AD CS:

  • 4870: Certificate Services revoca un certificado
  • 4882: Los permisos de seguridad de Certificate Services han cambiado
  • 4885: Se ha cambiado el filtro de auditoría de Servicios de certificados.
  • 4887: Certificate Services aprobó una solicitud de certificado y emitió un certificado.
  • 4888: Servicios de certificado denegado una solicitud de certificado
  • 4890: Se ha cambiado la configuración del administrador de certificados para Servicios de certificados.
  • 4896: Se han eliminado una o varias filas de la base de datos de certificados

Para obtener más información, consulte Configuración de la auditoría en un servidor de AD CS.

Eventos Microsoft Entra Connect necesarios

El siguiente evento es necesario para los servidores de Microsoft Entra Connect:

  • 4624: Una cuenta se ha iniciado sesión correctamente

Para obtener más información, vea Configurar la auditoría en Microsoft Entra Connect.

Otros eventos de Windows necesarios

Los siguientes eventos generales de Windows son necesarios para todos los sensores de Defender for Identity en controladores de dominio:

  • 4662: Se realizó una operación en un objeto
  • 4726: Cuenta de usuario eliminada
  • 4728: Miembro agregado al grupo de seguridad global
  • 4729: Miembro quitado del grupo de seguridad global
  • 4730: Grupo de seguridad global eliminado
  • 4732: Miembro agregado al grupo de seguridad local
  • 4733: Miembro quitado del grupo de seguridad local
  • 4741: Cuenta de equipo agregada
  • 4743: Cuenta de equipo eliminada
  • 4753: Grupo de distribución global eliminado
  • 4756: Miembro agregado al grupo de seguridad universal
  • 4757: Miembro quitado del grupo de seguridad universal
  • 4758: Grupo de seguridad universal eliminado
  • 4763: Grupo de distribución universal eliminado
  • 4776: El controlador de dominio intentó validar las credenciales de una cuenta (NTLM)
  • 5136: Se modificó un objeto de servicio de directorio
  • 7045: Nuevo servicio instalado
  • 8004: Autenticación NTLM

Para obtener más información, vea Configurar la auditoría NTLM y Configurar la auditoría de objetos de dominio.

Colección de eventos para sensores independientes

Si está trabajando con un sensor independiente de Defender for Identity, configure la recopilación de eventos manualmente mediante uno de los métodos siguientes:

Importante

Los sensores independientes de Defender for Identity no admiten la recopilación de entradas de registro de Seguimiento de eventos para Windows (ETW) que proporcionan los datos para varias detecciones. Para obtener una cobertura completa del entorno, implemente el sensor de Defender for Identity.

Para obtener más información, consulte la documentación del producto para el sistema SIEM o el servidor syslog.

Comprobación de la configuración actual

Antes de configurar manualmente la recopilación de eventos de Windows, puede ejecutar un script de PowerShell para comprobar la configuración actual y generar un informe de los ajustes que necesite realizar:

  1. Descargue el módulo de PowerShell de Defender for Identity.

  2. Ejecute el módulo de PowerShell de Defender for Identity New-MDIConfigurationReport para generar un informe de la configuración de auditoría de eventos de Windows actual.

        New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -Identity "DOMAIN\ServiceAccountName" -OpenHtmlReport

    Donde:

    • Path es el directorio donde se guarda el informe.
    • Mode indica de dónde se recopila la configuración.
      • En Domain el modo , la configuración se recopila de los objetos directiva de grupo (GPO). Al usar -Mode Domain, incluya el -Identity parámetro para evitar una solicitud interactiva.
      • En LocalMachine el modo , la configuración se recopila de la máquina local.
    • OpenHtmlReport abre el informe HTML después de generar el informe. Por ejemplo, para generar un informe y abrirlo en el explorador predeterminado, ejecute el siguiente comando:
    New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

    Para obtener más información, vea New-MDIConfigurationReport.

  3. Revise el informe y realice los ajustes necesarios antes de configurar la colección de eventos de Windows.

Configuración manual de la colección de eventos de Windows

En esta sección se incluyen instrucciones para configurar manualmente la colección de eventos de Windows. Siga estos pasos si va a implementar el sensor v2.x, la implementación en AD FS, AD CS o Entra servidores Connect que no son controladores de dominio, o si ha optado por no realizar la auditoría automática para el sensor v3.x.

Nota:

Problema conocido: En algunos entornos de sensor v3, las alertas de estado sobre la auditoría de eventos de Windows pueden persistir incluso cuando la auditoría está configurada correctamente. Esto se produce principalmente con la configuración de auditoría manual, como el uso de directiva de grupo o PowerShell. El sensor permanece en buen estado y las detecciones no se ven afectadas. Para resolverlo, habilite la configuración de auditoría automática de Windows en el portal de Defender for Identity en Configuración>Características avanzadas.

En las secciones siguientes se describe la configuración de cada tipo de servidor:

Configuración de la auditoría en un controlador de dominio

Para configurar la auditoría en un controlador de dominio, siga estos pasos:

Configuración de la auditoría avanzada de Directory Services

En esta sección se describe cómo modificar la configuración de la directiva de auditoría (Premium) del controlador de dominio para Defender for Identity.

  1. Inicie sesión en el servidor como administrador de dominio.

  2. Abra el Editor de administración de directiva de grupo desde Administrador del servidor>Tools>directiva de grupo Management.

  3. Expanda Controladores de dominio Unidades organizativas, haga clic con el botón derecho en Directiva predeterminada de controladores de dominio y, a continuación, seleccione Editar.

    Captura de pantalla del panel para editar la directiva predeterminada para los controladores de dominio.

    Nota:

    Use la directiva Controladores de dominio predeterminados o un GPO dedicado para establecer estas directivas.

  4. Vaya aDirectivas>de configuración> del equipoConfiguración de Windows Configuración>de seguridad. En función de la directiva que quiera habilitar, haga lo siguiente:

    1. Vaya a Directivas de auditoría avanzada directivas de auditoría>Directivas de auditoría.

      Captura de pantalla de las selecciones para abrir una directiva de auditoría.

    2. En Directivas de auditoría, edite cada una de las directivas siguientes y seleccione Configurar los siguientes eventos de auditoría para eventos correctos y incorrectos .

      Directiva de auditoría Subcategoría Identificadores de evento de desencadenadores
      Inicio de sesión de la cuenta Auditar validación de credenciales 4776
      Administración de cuentas Auditoría de la administración de cuentas de equipo* 4741, 4743
      Administración de cuentas Auditoría de la administración de grupos de distribución* 4753, 4763
      Administración de cuentas Auditoría de la administración de grupos de seguridad* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Administración de cuentas Auditoría de la administración de cuentas de usuario 4726
      Acceso DS Auditar los cambios del servicio de directorio* 5136
      System Auditar la extensión del sistema de seguridad* 7045
      Acceso DS Auditar el acceso al servicio de directorio 4662: para este evento, también debe configurar la auditoría de objetos de dominio.

      Nota:

      * Estas subcategorías no admiten eventos de error. Agréguelos con fines de auditoría en caso de que se implementen en el futuro. Para obtener más información, vea Auditar la administración de cuentas de equipo, auditar la administración de grupos de seguridad y auditar la extensión del sistema de seguridad.

    3. Para configurar auditar la administración de grupos de seguridad, en Administración de cuentas, seleccione Auditar administración de grupos de seguridad y, a continuación, seleccione Configurar los siguientes eventos de auditoría para eventos correctos y incorrectos .

      Captura de pantalla del registro de propiedades de administración de grupos de seguridad de auditoría.

  5. En un símbolo del sistema con privilegios elevados, escriba gpupdate.

  6. Después de aplicar la directiva a través de GPO, confirme que los nuevos eventos aparecen en el Visor de eventos, en Seguridad de registros>de Windows.

    Para probar las directivas de auditoría desde la línea de comandos, ejecute el siguiente comando:

    auditpol.exe /get /category:*

Para obtener más información, consulte la documentación de referencia de auditpol.

Configuración de la auditoría NTLM

Cuando un sensor de Defender for Identity analiza el evento de Windows 8004, enriquece las actividades de autenticación NTLM de Defender for Identity con los datos a los que se accede por el servidor. En esta sección se describen los pasos de configuración para auditar el evento de Windows 8004.

Nota:

Aplique directivas de grupo de dominio para recopilar el evento de Windows 8004 solo a los controladores de dominio.

Para configurar la auditoría NTLM:

  1. Abra administración de directiva de grupo y vaya aOpciones de seguridad predeterminadas dedirectivas> locales de directivas de dominio>.

  2. Configure las directivas de seguridad especificadas de la siguiente manera:

    Configuración de directiva de seguridad Valor
    Seguridad de red: Restricción de NTLM: tráfico NTLM saliente a servidores remotos Auditar todo
    Seguridad de red: Restricción de NTLM: Auditar la autenticación NTLM en este dominio Habilitar todo
    Seguridad de red: Restringir NTLM: Auditar el tráfico NTLM entrante Habilitación de la auditoría para todas las cuentas

  3. Para configurar el tráfico NTLM saliente a servidores remotos, en Opciones de seguridad, haga doble clic en Seguridad de red: Restringir NTLM: tráfico NTLM saliente a servidores remotos y, a continuación, seleccione Auditar todo.

Captura de pantalla de la configuración de auditoría para el tráfico NTLM saliente a servidores remotos.

Configuración de la auditoría de objetos de dominio

Para recopilar eventos de cambios de objetos, como para el evento 4662, también debe configurar la auditoría de objetos en el usuario, grupo, equipo y otros objetos. En el procedimiento siguiente se describe cómo habilitar la auditoría en el dominio de Active Directory.

Para configurar la auditoría de objetos de dominio:

  1. Vaya a la consola de Usuarios y equipos de Active Directory.

  2. Seleccione el dominio que desea auditar.

  3. Seleccione el menú Ver y, a continuación, seleccione Características avanzadas.

  4. Haga clic con el botón derecho en el dominio y seleccione Propiedades.

    Captura de pantalla de las selecciones para abrir las propiedades del contenedor.

  5. Vaya a la pestaña Seguridad y seleccione Avanzadas.

    Captura de pantalla del cuadro de diálogo para abrir las propiedades de seguridad avanzadas.

  6. En Configuración de seguridad avanzada, seleccione la pestaña Auditoría y, a continuación, seleccione Agregar.

    Captura de pantalla de la pestaña Auditoría en el cuadro de diálogo Configuración de seguridad avanzada.

  7. Elija Seleccionar una entidad de seguridad.

    Captura de pantalla del botón para seleccionar una entidad de seguridad.

  8. En Escriba el nombre del objeto que desea seleccionar, escriba Todos. A continuación, seleccione Comprobar nombres>aceptar.

    Captura de pantalla de la introducción de un nombre de objeto de Todos.

  9. Volver a la entrada de auditoría. Debe crear una entrada de auditoría independiente para cada uno de los siguientes tipos de objeto:

    • Objetos de usuario descendientes
    • Objetos de grupo descendientes
    • Objetos de equipo descendientes
    • Objetos msDS-GroupManagedServiceAccount descendientes
    • Objetos msDS-ManagedServiceAccount descendientes
    • Objetos msDS-DelegatedManagedServiceAccount descendientes1

    Importante

    La auditoría debe configurarse para todos los tipos de objeto enumerados, no solo para objetos de usuario. La configuración de la auditoría para un solo tipo de objeto da como resultado una cobertura de detección incompleta.

    Para cada tipo de objeto, realice las siguientes selecciones:

    1. En Tipo, seleccione Correcto.

    2. En Se aplica a, seleccione el tipo de objeto de la lista.

    3. En Permisos, desplácese hacia abajo y seleccione el botón Borrar todo .

      Captura de pantalla del botón para borrar todos los permisos.

    4. Desplácese hacia arriba y seleccione Control total. Se seleccionan todos los permisos.

    5. Borre la selección de los permisos Contenido de lista, Leer todas las propiedades y Permisos de lectura y, a continuación, seleccione Aceptar. En este paso se establece toda la configuración de Propiedades en Escritura.

      Captura de pantalla de la selección de permisos.

      Ahora, todos los cambios pertinentes en los servicios de directorio aparecen como 4.662 eventos cuando se desencadenan.

Nota:

  • Puede asignar permisos de auditoría a todos los objetos descendientes, utilizando solo los tipos de objeto detallados en el paso anterior.
  • La clase msDS-DelegatedManagedServiceAccount solo es relevante para los dominios que ejecutan al menos un controlador de dominio Windows Server 2025.

Configuración de la auditoría de nivel de objeto en la carpeta de configuración de AD FS

  1. Vaya a la consola de Usuarios y equipos de Active Directory y seleccione el dominio donde desea habilitar los registros.

  2. Vaya a Datos> de programade Microsoft>ADFS.

    Captura de pantalla de un contenedor para Servicios de federación de Active Directory (AD FS).

  3. Haga clic con el botón derecho en ADFS y seleccione Propiedades.

  4. Vaya a la pestaña Seguridad y seleccione Configuración>avanzada de seguridad. A continuación, vaya a la pestaña Auditoría y seleccione Agregar>Seleccione una entidad de seguridad.

  5. En Escriba el nombre del objeto que desea seleccionar, escriba Todos. A continuación, seleccione Comprobar nombres>aceptar.

  6. Vuelva a Auditing Entry (Entrada de auditoría). Realice las siguientes selecciones:

    • En Tipo, seleccione Todo.
    • En Se aplica a, seleccione Este objeto y todos los objetos descendientes.
    • En Permisos, desplácese hacia abajo y seleccione Borrar todo. Desplácese hacia arriba y seleccione Leer todas las propiedades y Escribir todas las propiedades.

    Captura de pantalla de la configuración de auditoría de Servicios de federación de Active Directory (AD FS).

  7. Seleccione Aceptar.

Configuración de la auditoría en un servidor de AD FS

En esta sección se describe cómo modificar las configuraciones de auditoría de Servicios de federación de Active Directory (AD FS) (AD FS) para Defender for Identity.

Configuración de un directiva de grupo para la auditoría de eventos

  1. Cree una directiva de grupo para aplicarla a la Servicios de federación de Active Directory (AD FS) (AD FS).

  2. Configure las siguientes opciones de auditoría:

    1. Vaya a Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría\Acceso a objetos\Auditar aplicación generada.

    2. Seleccione las casillas para configurar eventos de auditoría para correcto y error.

    Captura de pantalla de la configuración de la directiva de auditoría de auditoría avanzada.

Configuración de la auditoría de eventos de AD FS en la administración de AD FS

  1. Seleccione Iniciar>programas>Herramientas> administrativasAdministración de AD FS.

  2. Vaya a Acciones>Editar propiedades del servicio de federación.

  3. Seleccione la pestaña Eventos .

  4. Active las casillas Auditorías correctas y Auditorías de errores .

  5. Seleccione Aceptar.

    Captura de pantalla que muestra la página de propiedades del servicio federación.

Configuración del registro detallado para eventos de AD FS

Los sensores que se ejecutan en servidores de AD FS deben tener el nivel de auditoría establecido en Verbose para los eventos pertinentes.

Use el siguiente comando de PowerShell para configurar el nivel de auditoría en Detallado:

Set-AdfsProperties -AuditLevel Verbose

Configuración de la auditoría en un servidor de AD CS

Si está trabajando con un servidor dedicado que tiene active Directory Certificate Services (AD CS) configurado, configure la auditoría de la siguiente manera para ver alertas dedicadas e informes de puntuación segura:

  1. Cree una directiva de grupo para aplicarla al servidor de AD CS. Edítelo y configure las siguientes opciones de auditoría:

    1. Vaya a Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría\Acceso a objetos\Auditar servicios de certificación.

    2. Seleccione las casillas para configurar eventos de auditoría para correcto y error.

    Captura de pantalla de la configuración de eventos de auditoría para Servicios de certificados de Active Directory en el Editor de administración de directiva de grupo.

  2. Configure la auditoría en la entidad de certificación (CA) mediante uno de los métodos siguientes:

    • Para configurar la auditoría de CA mediante PowerShell, ejecute:
certutil -setreg CA\AuditFilter 127 
Restart-Service certsvc

Este comando actualiza la configuración de auditoría de ca y reinicia el servicio Servicios de certificados para que los cambios surtan efecto.

  • Para configurar la auditoría de ca en el portal de Defender:

    1. Seleccione Iniciar>entidad de certificación (aplicación de escritorio MMC). Haga clic con el botón derecho en el nombre de la entidad de certificación y seleccione Propiedades.

      Captura de pantalla del cuadro de diálogo Entidad de certificación.

    2. Seleccione la pestaña Auditoría , seleccione todos los eventos que desea auditar y, a continuación, seleccione Aplicar.

      Captura de pantalla de la pestaña Auditoría de las propiedades de entidad de certificación.

Nota:

La configuración de iniciar y detener la auditoría de eventos de Servicios de certificados de Active Directory puede provocar retrasos en el reinicio cuando se trabaja con una base de datos de AD CS grande. Considere la posibilidad de quitar entradas irrelevantes de la base de datos. Como alternativa, no habilite este tipo específico de evento.

Configuración de la auditoría en Microsoft Entra Connect

Para configurar la auditoría en servidores de Microsoft Entra Connect:

  1. Cree una directiva de grupo para aplicarla a los servidores de Microsoft Entra Connect.

  2. Edite la directiva de grupo y configure las siguientes opciones de auditoría:

    1. Vaya a Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría\Inicio de sesión/cierre de sesión\Inicio de sesión de auditoría.

    2. Seleccione las casillas para configurar eventos de auditoría para correcto y error.

    Captura de pantalla del Editor de administración de directiva de grupo.

Configuración de la auditoría en el contenedor de configuración

Necesita la auditoría del contenedor de configuración solo para los entornos que tienen o tenían Microsoft Exchange. Estos entornos tienen un contenedor de Exchange ubicado dentro de la sección Configuración del dominio.

  1. Abra la herramienta De edición de ADSI.

  2. Seleccione Iniciar>ejecución, escriba ADSIEdit.mscy, a continuación, seleccione Aceptar.

  3. En el menú Acción , seleccione Conectar con.

  4. Vaya a Configuración de> conexiónSeleccione un contexto de nomenclatura conocido, >Configuración y seleccione Aceptar.

  5. Expanda el contenedor De configuración para mostrar el nodo Configuración , que comienza con "CN=Configuration,DC=...".

    Captura de pantalla de las selecciones para abrir las propiedades del nodo Configuración de CN.

  6. Haga clic con el botón derecho en el nodo Configuración y seleccione Propiedades.

    Captura de pantalla de las selecciones para abrir las propiedades del nodo Configuración.

  7. Seleccione la pestaña Seguridad y, a continuación, seleccione Opciones avanzadas.

  8. En Configuración de seguridad avanzada, seleccione la pestaña Auditoría y, a continuación, seleccione Agregar.

  9. Elija Seleccionar una entidad de seguridad.

  10. En Escriba el nombre del objeto que desea seleccionar, escriba Todos. A continuación, seleccione Comprobar nombres>aceptar.

  11. Vuelva a Auditing Entry (Entrada de auditoría). Realice las siguientes selecciones:

    • En Tipo, seleccione Todo.
    • En Se aplica a, seleccione Este objeto y todos los objetos descendientes.
    • En Permisos, desplácese hacia abajo y seleccione Borrar todo. Desplácese hacia arriba y seleccione Escribir todas las propiedades.

    Captura de pantalla de la configuración de auditoría del contenedor de configuración.

  12. Seleccione Aceptar.

Configuración de la colección de eventos de Windows mediante PowerShell

Para obtener más información, consulte la referencia de PowerShell de Defender for Identity:

Los siguientes comandos muestran cómo modificar la configuración de la directiva de auditoría (Premium) del controlador de dominio para Defender for Identity mediante PowerShell.

Para ver las directivas de auditoría:

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Donde:

  • Mode especifica si se debe usar Domain o LocalMachine el modo . En Domain el modo , la configuración procede de los objetos directiva de grupo. En LocalMachine el modo , la configuración procede de la máquina local.
  • Configuration especifica qué configuración se va a obtener. Use All para obtener todas las configuraciones.

Para configurar los valores:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

Donde:

  • Mode especifica si se debe usar Domain o LocalMachine el modo . En Domain el modo , la configuración procede de los objetos directiva de grupo. En LocalMachine el modo , la configuración procede de la máquina local.
  • Configuration especifica qué configuración se va a establecer. Use All para establecer todas las configuraciones.
  • CreateGpoDisabled especifica si los GPO se crean y se mantienen como deshabilitados.
  • SkipGpoLink especifica que no se crean vínculos de GPO.
  • Force especifica que se establece la configuración o que se crean GPO sin validar el estado actual.

El comando siguiente define toda la configuración del dominio, crea objetos de directiva de grupo y los vincula.

Set-MDIConfiguration -Mode Domain -Configuration All

Actualización de configuraciones heredadas

Defender for Identity ya no requiere el registro de 1.644 eventos. Si ha habilitado cualquiera de las siguientes opciones de configuración, quítelas del Registro.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Contenido relacionado

Para más información, vea:

  • Last updated on