Configurar a auditoria de eventos do Windows

Configure a auditoria de eventos do Windows para ativar as deteções do Defender para Identidade. O sensor analisa registos de eventos específicos do Windows dos controladores de domínio, servidores do AD FS, servidores do AD CS e servidores do Microsoft Entra Connect. Para que os eventos corretos sejam auditados e incluídos no registo de eventos do Windows, estes servidores precisam das definições de política de auditoria avançada corretas.

Configure a auditoria com um destes métodos:

O Defender para Identidade gera alertas de estado de funcionamento quando deteta configurações de auditoria de eventos do Windows incorretas. Para obter mais informações, veja Microsoft Defender para Identidade alertas de estado de funcionamento.

Se configurar a auditoria corretamente, esta terá um efeito mínimo no desempenho do servidor.

Configurar o Defender para Identidade para recolher eventos do Windows automaticamente

Se estiver a implementar o sensor v3.x em controladores de domínio, utilize a auditoria automática do Windows. Esta é a abordagem recomendada; não necessita de configuração manual e processa todas as definições de auditoria por si.

Ativar a auditoria automática do Windows

  1. No portal Microsoft Defender, aceda a Definições e, em seguida, Identidades.
  2. Na secção Geral , selecione Funcionalidades avançadas.
  3. Ative a configuração de auditoria automática do Windows.

O que a auditoria automática configura

Quando ativado, o sensor é automaticamente:

  • Verifica a configuração atual da auditoria de eventos do Windows.
  • Identifica eventuais lacunas na configuração.
  • Aplica todas as alterações necessárias, incluindo todos os passos na configuração manual:
    • Auditoria avançada dos serviços de diretório: adiciona entradas de auditoria à Lista de Controle de Acesso do Sistema (SACL) do objeto de raiz do domínio para ativar a auditoria do serviço de diretório necessária.
    • Auditoria NTLM: utiliza APIs de Registo do Windows padrão para configurar os valores de registo de auditoria NTLM necessários.
    • Auditoria de objetos de domínio: modifica o SACL na partição de Configuração para capturar as alterações aos objetos de configuração do serviço de diretório.
    • Auditoria do ADFS: adiciona entradas de auditoria à Lista de Controle de Acesso do Sistema (SACL) do objeto do contentor de configuração do AD FS, para ativar a auditoria de objetos de diretório relacionados com o AD FS.
    • Política de auditoria do Windows: configura as políticas de auditoria do Windows locais com as APIs de política de auditoria da Autoridade de Segurança Local (LSA) do Windows.
  • Aplica as definições de auditoria diretamente à política de sistema local do controlador de domínio.
  • Envia alertas de estado de funcionamento sobre o estado de configuração.
  • É executado uma vez a cada 24 horas.

Observação

  • A auditoria automática de eventos do Windows é suportada para controladores de domínio que utilizam apenas o sensor do Defender para Identidade versão 3.x. Não se aplica a controladores de domínio v2.x ou a servidores do AD FS, AD CS e Microsoft Entra Connect que não sejam controladores de domínio. Para esses servidores, configure manualmente a auditoria de eventos do Windows.
  • Se não ativar a auditoria automática do Windows, tem de configurar a auditoria de eventos do Windows manualmente ou através do PowerShell.
  • As definições de GPO podem entrar em conflito com as definições locais definidas pelo sensor.

Eventos obrigatórios do Windows

Esta secção lista os eventos do Windows de que o sensor do Defender para Identidade necessita. Os eventos específicos dependem do tipo de servidor onde o sensor está instalado.

Eventos do AD FS necessários

São necessários os seguintes eventos para os servidores do AD FS:

  • 1202: O Serviço de Federação validou uma nova credencial
  • 1203: O Serviço de Federação não conseguiu validar uma nova credencial
  • 4624: Uma conta foi iniciada com êxito
  • 4625: Uma conta não conseguiu iniciar sessão

Para obter mais informações, veja Configurar a auditoria num servidor do AD FS.

Eventos do AD CS necessários

Os seguintes eventos são necessários para os servidores do AD CS:

  • 4870: Os Serviços de Certificados revogaram um certificado
  • 4882: As permissões de segurança dos Serviços de Certificados foram alteradas
  • 4885: O filtro de auditoria dos Serviços de Certificados foi alterado
  • 4887: Os Serviços de Certificados aprovaram um pedido de certificado e emitiram um certificado
  • 4888: Serviços de Certificados negaram um pedido de certificado
  • 4890: As definições do gestor de certificados dos Serviços de Certificados foram alteradas
  • 4896: Uma ou mais linhas foram eliminadas da base de dados de certificados

Para obter mais informações, veja Configurar a auditoria num servidor do AD CS.

Eventos necessários do Microsoft Entra Connect

O evento seguinte é necessário para servidores do Microsoft Entra Connect:

  • 4624: Uma conta foi iniciada com êxito

Para obter mais informações, veja Configurar a auditoria no Microsoft Entra Connect.

Outros eventos necessários do Windows

Os seguintes eventos gerais do Windows são necessários para todos os sensores do Defender para Identidade em controladores de domínio:

  • 4662: Foi efetuada uma operação num objeto
  • 4726: Conta de Utilizador Eliminada
  • 4728: Membro Adicionado ao Grupo de Segurança Global
  • 4729: Membro Removido do Grupo de Segurança Global
  • 4730: Grupo de Segurança Global Eliminado
  • 4732: Membro Adicionado ao Grupo de Segurança Local
  • 4733: Membro removido do Grupo de Segurança Local
  • 4741: Conta de Computador Adicionada
  • 4743: Conta de Computador Eliminada
  • 4753: Grupo de Distribuição Global Eliminado
  • 4756: Membro Adicionado ao Grupo de Segurança Universal
  • 4757: Membro removido do Grupo de Segurança Universal
  • 4758: Grupo de Segurança Universal Eliminado
  • 4763: Grupo de Distribuição Universal Eliminado
  • 4776: Controlador de Domínio Tentou Validar Credenciais para uma Conta (NTLM)
  • 5136: Um objeto de serviço de diretório foi modificado
  • 7045: Novo Serviço Instalado
  • 8004: Autenticação NTLM

Para obter mais informações, veja Configurar a auditoria NTLM e Configurar a auditoria de objetos de domínio.

Recolha de eventos para sensores autónomos

Se estiver a trabalhar com um sensor autónomo do Defender para Identidade, configure a recolha de eventos manualmente através de um dos seguintes métodos:

Importante

Os sensores autónomos do Defender para Identidade não suportam a recolha de entradas de registo do Rastreio de Eventos para Windows (ETW) que fornecem os dados para várias deteções. Para uma cobertura completa do seu ambiente, implemente o sensor defender para identidade.

Para obter mais informações, veja a documentação do produto do sistema SIEM ou do servidor syslog.

Verificar a configuração atual

Antes de configurar a coleção de eventos do Windows manualmente, pode executar um script do PowerShell para marcar a sua configuração atual e gerar um relatório de quaisquer ajustes necessários:

  1. Transfira o módulo do PowerShell do Defender para Identidade.

  2. Execute o módulo do PowerShell do Defender para Identidade New-MDIConfigurationReport para gerar um relatório da configuração de auditoria de eventos do Windows atual.

        New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -Identity "DOMAIN\ServiceAccountName" -OpenHtmlReport

    Onde:

    • Path é o diretório onde o relatório é guardado.
    • Mode indica de onde as definições são recolhidas.
      • No Domain modo, as definições são recolhidas a partir dos objetos Política de Grupo (GPOs). Ao utilizar -Mode Domain, inclua o -Identity parâmetro para evitar um pedido interativo.
      • No LocalMachine modo, as definições são recolhidas a partir do computador local.
    • OpenHtmlReport abre o relatório HTML depois de o relatório ser gerado. Por exemplo, para gerar um relatório e abri-lo no browser predefinido, execute o seguinte comando:
    New-MDIConfigurationReport -Path "C:\Reports" -Mode Domain -OpenHtmlReport

    Para obter mais informações, veja New-MDIConfigurationReport.

  3. Reveja o relatório e faça os ajustes necessários antes de configurar a coleção de eventos do Windows.

Configurar a coleção de eventos do Windows manualmente

Esta secção inclui instruções para configurar manualmente a coleção de eventos do Windows. Utilize estes passos se estiver a implementar o sensor v2.x, a implementar no AD FS, no AD CS ou nos servidores do Entra Connect que não sejam controladores de domínio ou se tiver optado ativamente por não participar na auditoria automática do sensor v3.x.

Observação

Problema conhecido: Em alguns ambientes de sensores v3, os alertas de estado de funcionamento sobre a auditoria de eventos do Windows podem persistir mesmo quando a auditoria está configurada corretamente. Isto ocorre principalmente com a configuração de auditoria manual, como utilizar o Política de Grupo ou o PowerShell. O sensor permanece em bom estado de funcionamento e as deteções não são afetadas. Para resolve, ative a configuração de auditoria automática do Windows no portal do Defender para Identidade em Definições Funcionalidades avançadas>.

As secções seguintes descrevem a configuração para cada tipo de servidor:

Configurar a auditoria num controlador de domínio

Para configurar a auditoria num controlador de domínio, conclua os seguintes passos:

Configurar a Auditoria Avançada dos Serviços de Diretório

Esta secção descreve como modificar as definições de Política de Auditoria (Premium) do controlador de domínio para o Defender para Identidade.

  1. Inicie sessão no servidor como Administrador de Domínio.

  2. Abra o Editor de Gestão de Política de Grupo a partir do Gerenciador do Servidor>Tools>Política de Grupo Management.

  3. Expanda Unidades Organizacionais de Controladores de Domínio, clique com o botão direito do rato em Política de Controladores de Domínio Predefinidos e, em seguida, selecione Editar.

    Captura de ecrã do painel para editar a política predefinida para controladores de domínio.

    Observação

    Utilize a política Controladores de Domínio Predefinidos ou um GPO dedicado para definir estas políticas.

  4. Aceda aPolíticas> de Configuração> do ComputadorDefinições do Windows Definições>Definições de Segurança. Consoante a política que pretende ativar, faça o seguinte:

    1. Aceda a Políticas de Auditoria de Configuração> dePolíticas de Auditoria Avançadas.

      Captura de ecrã das seleções para abrir uma política de auditoria.

    2. Em Políticas de Auditoria, edite cada uma das seguintes políticas e selecione Configurar os seguintes eventos de auditoria para eventos de Êxito e Falha .

      Política de Auditoria Subcategoria Aciona IDs de eventos
      Início de Sessão da Conta Validação de Credenciais de Auditoria 4776
      Gestão de Contas Auditar a Gestão de Contas de Computador* 4741, 4743
      Gestão de Contas Auditar Gestão de Grupos de Distribuição* 4753, 4763
      Gestão de Contas Auditar a Gestão de Grupos de Segurança* 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      Gestão de Contas Auditar a Gestão de Contas de Utilizador 4726
      Acesso ao DS Auditar Alterações do Serviço de Diretório* 5136
      Sistema Auditar Extensão do Sistema de Segurança* 7045
      Acesso ao DS Auditar o Acesso ao Serviço de Diretório 4662 – para este evento, também tem de configurar a auditoria de objetos de domínio.

      Observação

      * Estas subcategorias não suportam eventos de falha. Adicione-os para fins de auditoria caso sejam implementados no futuro. Para obter mais informações, veja Auditar Gestão de Contas de Computador, Auditar Gestão de Grupos de Segurança e Auditar Extensão do Sistema de Segurança.

    3. Para configurar a Gestão de Grupos de Segurança de Auditoria, em Gestão de Contas, selecione Auditar Gestão de Grupos de Segurança e, em seguida, selecione Configurar os seguintes eventos de auditoria para eventosde Êxito e Falha .

      Captura de ecrã do registo de propriedades de gestão de grupos de segurança de auditoria.

  5. A partir de uma linha de comandos elevada, introduza gpupdate.

  6. Depois de aplicar a política através de GPO, confirme que os novos eventos aparecem no Visualizador de Eventos, emSegurança de Registos> do Windows.

    Para testar as políticas de auditoria a partir da linha de comandos, execute o seguinte comando:

    auditpol.exe /get /category:*

Para obter mais informações, veja a documentação de referência auditpol.

Configurar a auditoria NTLM

Quando um sensor do Defender para Identidade analisa o evento 8004 do Windows, melhora as atividades de autenticação NTLM do Defender para Identidade com os dados acedidos pelo servidor. Esta secção descreve os passos de configuração para auditar o evento 8004 do Windows.

Observação

Aplique políticas de grupo de domínio para recolher o evento 8004 do Windows apenas para controladores de domínio.

Para configurar a auditoria NTLM:

  1. Abra Política de Grupo Management e aceda a Opções de Segurança dePolíticas Locais de Políticas Locaisde Controladores > de Domínio Predefinidos>.

  2. Configure as políticas de segurança especificadas da seguinte forma:

    Definição de política de segurança Valor
    Segurança de rede: Restringir o NTLM: tráfego NTLM de saída para servidores remotos Auditar tudo
    Segurança de rede: Restringir NTLM: auditar a autenticação NTLM neste domínio Ativar tudo
    Segurança de rede: Restringir NTLM: Auditar o Tráfego NTLM recebido Ativar a auditoria para todas as contas

  3. Para configurar o tráfego NTLM de Saída para servidores remotos, em Opções de Segurança, faça duplo clique em Segurança de rede: Restringir NTLM: Tráfego NTLM de Saída para servidores remotos e, em seguida, selecione Auditar tudo.

Captura de ecrã da configuração de auditoria do tráfego NTLM de saída para servidores remotos.

Configurar a auditoria de objetos de domínio

Para recolher eventos para alterações de objetos, como para o evento 4662, também tem de configurar a auditoria de objetos no utilizador, grupo, computador e outros objetos. O procedimento seguinte descreve como ativar a auditoria no domínio do Active Directory.

Para configurar a auditoria de objetos de domínio:

  1. Aceda à consola Usuários e Computadores do Active Directory.

  2. Selecione o domínio que pretende auditar.

  3. Selecione o menu Ver e, em seguida, selecione Funcionalidades Avançadas.

  4. Clique com o botão direito do rato no domínio e selecione Propriedades.

    Captura de ecrã das seleções para abrir as propriedades do contentor.

  5. Aceda ao separador Segurança e, em seguida, selecione Avançadas.

    Captura de ecrã da caixa de diálogo para abrir propriedades de segurança avançadas.

  6. Em Definições de Segurança Avançadas, selecione o separador Auditoria e, em seguida, selecione Adicionar.

    Captura de ecrã do separador Auditoria na caixa de diálogo Definições de Segurança Avançadas.

  7. Selecione Selecionar um principal.

    Captura de ecrã do botão para selecionar um principal.

  8. Em Introduza o nome do objeto a selecionar, introduza Todos. Em seguida, selecione Verificar Nomes>OK.

    Captura de ecrã a mostrar a introdução de um nome de objeto de Todos.

  9. Voltar à Entrada de Auditoria. Tem de criar uma entrada de auditoria separada para cada um dos seguintes tipos de objeto:

    • Objetos de Utilizador Descendentes
    • Objetos de Grupo Descendentes
    • Objetos de Computador Descendente
    • Objetos descendentes msDS-GroupManagedServiceAccount
    • Objetos descendentes msDS-ManagedServiceAccount
    • Objetos Descendentes msDS-DelegatedManagedServiceAccount1

    Importante

    A auditoria tem de ser configurada para todos os tipos de objetos listados e não apenas para objetos de utilizador. Configurar a auditoria para apenas um tipo de objeto resulta numa cobertura de deteção incompleta.

    Para cada tipo de objeto, faça as seguintes seleções:

    1. Em Tipo, selecione Êxito.

    2. Em Aplica-se a, selecione o tipo de objeto na lista.

    3. Em Permissões, desloque-se para baixo e selecione o botão Limpar tudo .

      Captura de ecrã do botão para limpar todas as permissões.

    4. Desloque-se para cima e selecione Controlo Total. Todas as permissões estão selecionadas.

    5. Desmarque a seleção para as permissões Listar conteúdo, Ler todas as propriedades e Permissões de leitura e, em seguida, selecione OK. Este passo define todas as definições de Propriedades como Escrita.

      Captura de ecrã a mostrar a seleção de permissões.

      Agora, todas as alterações relevantes aos serviços de diretório são apresentadas como 4662 eventos quando são acionados.

Observação

  • Pode atribuir permissões de auditoria a Todos os objetos descendentes, utilizando apenas os tipos de objeto detalhados no passo anterior.
  • A classe msDS-DelegatedManagedServiceAccount é relevante apenas para domínios com, pelo menos, um controlador de domínio Windows Server 2025.

Configurar a auditoria ao nível do objeto na pasta de configuração do AD FS

  1. Aceda à consola Usuários e Computadores do Active Directory e selecione o domínio onde pretende ativar os registos.

  2. Aceda a Dados> do ProgramaMicrosoft>ADFS.

    Captura de ecrã de um contentor para Serviços de Federação do Active Directory (AD FS).

  3. Clique com o botão direito do rato em ADFS e selecione Propriedades.

  4. Aceda ao separador Segurança e selecioneDefinições avançadas> de segurança. Em seguida, aceda ao separador Auditoria e selecione Adicionar>Selecionar um principal.

  5. Em Introduza o nome do objeto a selecionar, introduza Todos. Em seguida, selecione Verificar Nomes>OK.

  6. Regresse à Entrada de Auditoria. Efetue as seguintes seleções:

    • Em Tipo, selecione Tudo.
    • Em Aplica-se a, selecione Este objeto e todos os objetos descendentes.
    • Em Permissões, desloque-se para baixo e selecione Limpar tudo. Desloque-se para cima e selecione Ler todas as propriedades e Escrever todas as propriedades.

    Captura de ecrã das definições de auditoria do Serviços de Federação do Active Directory (AD FS).

  7. Selecione OK.

Configurar a auditoria num servidor do AD FS

Esta secção descreve como modificar as configurações de auditoria do Serviços de Federação do Active Directory (AD FS) (AD FS) para o Defender para Identidade.

Configurar um Política de Grupo para auditoria de eventos

  1. Crie uma política de grupo para aplicar ao seu Serviços de Federação do Active Directory (AD FS) (AD FS).

  2. Configure as seguintes definições de auditoria:

    1. Aceda a Configuração do Computador\Políticas\Definições do Windows\Definições de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Acesso a Objetos\Aplicação de Auditoria Gerada.

    2. Selecione as caixas de verificação para configurar eventos de auditoria para Êxito e Falha.

    Captura de ecrã a mostrar a configuração avançada da política de auditoria de auditoria.

Configurar a auditoria de eventos do AD FS na Gestão do AD FS

  1. Selecione Iniciar>Programas Ferramentas Administrativas>>Gestão do AD FS.

  2. Aceda a Ações>Editar Propriedades do Serviço de Federação.

  3. Selecione o separador Eventos .

  4. Selecione as caixas Auditorias de êxito e Auditorias de falhas marcar.

  5. Selecione OK.

    Captura de ecrã que mostra a página de propriedades do serviço de Federação.

Configurar o registo Verboso para eventos do AD FS

Os sensores em execução nos servidores do AD FS têm de ter o nível de auditoria definido como Verboso para eventos relevantes.

Utilize o seguinte comando do PowerShell para configurar o nível de auditoria para Verboso:

Set-AdfsProperties -AuditLevel Verbose

Configurar a auditoria num servidor do AD CS

Se estiver a trabalhar com um servidor dedicado que tenha os Serviços de Certificados do Active Directory (AD CS) configurados, configure a auditoria da seguinte forma para ver alertas dedicados e relatórios de Classificação de Segurança:

  1. Crie uma política de grupo para aplicar ao servidor do AD CS. Edite-o e configure as seguintes definições de auditoria:

    1. Aceda a Configuração do Computador\Políticas\Definições do Windows\Definições de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Acesso a Objetos\Serviços de Certificação de Auditoria.

    2. Selecione as caixas de verificação para configurar eventos de auditoria para Êxito e Falha.

    Captura de ecrã a mostrar a configuração de eventos de auditoria para os Serviços de Certificados do Active Directory no Editor de Gestão de Política de Grupo.

  2. Configure a auditoria na autoridade de certificação (AC) com um dos seguintes métodos:

    • Para configurar a auditoria de AC com o PowerShell, execute:
certutil -setreg CA\AuditFilter 127 
Restart-Service certsvc

Este comando atualiza as definições de auditoria da AC e reinicia o serviço de Serviços de Certificados para que as alterações entrem em vigor.

  • Para configurar a auditoria de AC no portal do Defender:

    1. Selecione Iniciar>Autoridade de Certificação (aplicação MMC desktop). Clique com o botão direito do rato no nome da AC e selecione Propriedades.

      Captura de ecrã a mostrar a caixa de diálogo Autoridade de Certificação.

    2. Selecione o separador Auditoria , selecione todos os eventos que pretende auditar e, em seguida, selecione Aplicar.

      Captura de ecrã do separador Auditoria das propriedades da autoridade de certificação.

Observação

Configurar a auditoria de eventos dos Serviços de Certificados do Active Directory e Iniciar e Parar pode causar atrasos de reinício quando está a lidar com uma base de dados do AD CS grande. Considere remover entradas irrelevantes da base de dados. Em alternativa, não ative este tipo específico de evento.

Configurar a auditoria no Microsoft Entra Connect

Para configurar a auditoria em servidores do Microsoft Entra Connect:

  1. Crie uma política de grupo para aplicar aos servidores do Microsoft Entra Connect.

  2. Edite a política de grupo e configure as seguintes definições de auditoria:

    1. Aceda a Configuração do Computador\Políticas\Definições do Windows\Definições de Segurança\Configuração Avançada da Política de Auditoria\Políticas de Auditoria\Início de Sessão/Início de Sessão\Auditoria.

    2. Selecione as caixas de verificação para configurar eventos de auditoria para Êxito e Falha.

    Captura de ecrã do Editor de Gestão de Política de Grupo.

Configurar a auditoria no contentor de configuração

Só precisa da auditoria do contentor de configuração para ambientes que tenham ou tenham tido anteriormente o Microsoft Exchange. Estes ambientes têm um contentor do Exchange localizado na secção Configuração do domínio.

  1. Abra a ferramenta de Edição ADSI.

  2. Selecione Iniciar>Execução, introduza ADSIEdit.msce, em seguida, selecione OK.

  3. No menu Ação , selecione Ligar a.

  4. Aceda a Definições> de LigaçãoSelecione um Contexto de Nomenclatura bem conhecido, >Configuração e selecione OK.

  5. Expanda o contentor Configuração para mostrar o nó Configuração , que começa com "CN=Configuração,DC=...".

    Captura de ecrã das seleções para abrir propriedades para o nó Configuração CN.

  6. Clique com o botão direito do rato no nó Configuração e selecione Propriedades.

    Captura de ecrã das seleções para abrir as propriedades do nó Configuração.

  7. Selecione o separador Segurança e, em seguida, selecione Avançadas.

  8. Em Definições de Segurança Avançadas, selecione o separador Auditoria e, em seguida, selecione Adicionar.

  9. Selecione Selecionar um principal.

  10. Em Introduza o nome do objeto a selecionar, introduza Todos. Em seguida, selecione Verificar Nomes>OK.

  11. Regresse à Entrada de Auditoria. Efetue as seguintes seleções:

    • Em Tipo, selecione Tudo.
    • Em Aplica-se a, selecione Este objeto e todos os objetos descendentes.
    • Em Permissões, desloque-se para baixo e selecione Limpar tudo. Desloque-se para cima e selecione Escrever todas as propriedades.

    Captura de ecrã a mostrar as definições de auditoria do contentor de Configuração.

  12. Selecione OK.

Configurar a coleção de eventos do Windows com o PowerShell

Para obter mais informações, veja a referência do PowerShell do Defender para Identidade:

Os comandos seguintes mostram como modificar as definições de Política de Auditoria (Premium) do controlador de domínio para o Defender para Identidade com o PowerShell.

Para ver as suas políticas de auditoria:

Get-MDIConfiguration [-Mode] <String> [-Configuration] <String[]>

Onde:

  • Mode especifica se pretende utilizar Domain ou LocalMachine modo. No Domain modo, as definições são provenientes dos objetos Política de Grupo. No LocalMachine modo, as definições são provenientes do computador local.
  • Configuration especifica a configuração a obter. Utilize All para obter todas as configurações.

Para configurar as definições:

Set-MDIConfiguration [-Mode] <String> [-Configuration] <String[]> [-CreateGpoDisabled] [-SkipGpoLink] [-Force]

Onde:

  • Mode especifica se pretende utilizar Domain ou LocalMachine modo. No Domain modo, as definições são provenientes dos objetos Política de Grupo. No LocalMachine modo, as definições são provenientes do computador local.
  • Configuration especifica a configuração a definir. Utilize All para definir todas as configurações.
  • CreateGpoDisabled especifica se os GPOs são criados e mantidos como desativados.
  • SkipGpoLink especifica que as ligações GPO não são criadas.
  • Force especifica que a configuração está definida ou os GPOs são criados sem validar o estado atual.

O comando seguinte define todas as definições para o domínio, cria objetos de política de grupo e liga-os.

Set-MDIConfiguration -Mode Domain -Configuration All

Atualizar configurações legadas

O Defender para Identidade já não requer o registo de 1644 eventos. Se tiver ativado uma das seguintes definições, remova-as do registo.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

Conteúdo relacionado

Para saber mais, confira:

  • Last updated on