مشاركة عبر

فحص مصادق عليه لنظام التشغيل Windows

  • مقالة

ينطبق على:

ملاحظة

لاستخدام هذه الميزة، ستحتاج إدارة الثغرات الأمنية في Microsoft Defender مستقل أو إذا كنت بالفعل عميلا Microsoft Defender لنقطة النهاية الخطة 2، الوظيفة الإضافية Defender Vulnerability Management.

يوفر الفحص المصادق عليه لنظام التشغيل Windows القدرة على تشغيل عمليات الفحص على أجهزة Windows غير المدارة. يمكنك استهداف نطاقات IP أو أسماء المضيفين عن بعد ومسح خدمات Windows عن طريق تزويد إدارة الثغرات الأمنية في Microsoft Defender ببيانات الاعتماد للوصول إلى الأجهزة عن بعد. بمجرد تكوين الأجهزة المستهدفة غير المدارة، سيتم مسحها ضوئيا بانتظام بحثا عن الثغرات الأمنية في البرامج. بشكل افتراضي، سيتم تشغيل الفحص كل أربع ساعات مع خيارات لتغيير هذا الفاصل الزمني أو تشغيله مرة واحدة فقط.

يمكن لمسؤولي الأمان بعد ذلك الاطلاع على أحدث توصيات الأمان ومراجعة الثغرات الأمنية التي تم اكتشافها مؤخرا للجهاز المستهدف في مدخل Microsoft Defender.

تلميح

هل تعلم أنه يمكنك تجربة جميع الميزات في إدارة الثغرات الأمنية في Microsoft Defender مجانا؟ تعرف على كيفية التسجيل للحصول على نسخة تجريبية مجانية.

تثبيت الماسح الضوئي

على غرار الفحص المصادق عليه لجهاز الشبكة ، ستحتاج إلى جهاز فحص مع تثبيت الماسح الضوئي. إذا لم يكن الماسح الضوئي مثبتا لديك بالفعل، فراجع تثبيت الماسح الضوئي للحصول على خطوات حول كيفية تنزيله وتثبيته.

ملاحظة

لا توجد تغييرات مطلوبة للماسحات الضوئية المثبتة الموجودة مسبقا.

المتطلبات المسبقة

يسرد القسم التالي المتطلبات المسبقة التي تحتاج إلى تكوينها لاستخدام الفحص المصادق عليه لنظام التشغيل Windows.

حساب المسح الضوئي

مطلوب حساب فحص للوصول إلى الأجهزة عن بعد. يجب أن يكون هذا حساب خدمة مدارة للمجموعة (gMsa).

ملاحظة

نوصي بأن يكون حساب gMSA حسابا أقل امتيازا مع أذونات الفحص المطلوبة فقط ويتم تعيينه لدورة كلمة المرور بانتظام.

لإنشاء حساب gMsa:

  1. على وحدة التحكم بالمجال في نافذة PowerShell، قم بتشغيل:

    New-ADServiceAccount -Name gmsa1 -PrincipalsAllowedToRetrieveManagedPassword scanner-win11-i$ -KerberosEncryptionType RC4, AES128, AES256 -Verbose
    • gmsa1 يرمز إلى اسم الحساب الذي تقوم بإنشاءه، والماسح الضوئي win11-I$ يرمز إلى اسم الجهاز حيث سيتم تشغيل عامل الماسح الضوئي. سيتمكن هذا الجهاز فقط من استرداد كلمة مرور الحساب. يمكنك توفير قائمة مفصولة بفواصل من الأجهزة.
    • يمكن تعديل حساب موجود باستخدام Get-ADServiceAccount و Set-ADServiceAccount

  2. لتثبيت حساب خدمة AD، على الجهاز حيث سيتم تشغيل عامل الماسح الضوئي باستخدام نافذة PowerShell مرتفعة، قم بتشغيل:

    Install-ADServiceAccount -Identity gmsa1

إذا لم يتعرف PowerShell على هذه الأوامر، فهذا يعني على الأرجح أنك تفتقد وحدة PowerShell النمطية المطلوبة. تختلف الإرشادات حول كيفية تثبيت الوحدة حسب نظام التشغيل الخاص بك. لمزيد من المعلومات، راجع بدء استخدام حسابات الخدمة المدارة للمجموعة.

الأجهزة المراد مسحها ضوئيا

استخدم الجدول أدناه للحصول على إرشادات حول التكوينات المطلوبة، جنبا إلى جنب مع الأذونات اللازمة لحساب الفحص، على كل جهاز ليتم مسحه ضوئيا:

ملاحظة

الخطوات أدناه هي طريقة واحدة فقط موصى بها لتكوين الأذونات على كل جهاز ليتم مسحها ضوئيا وتستخدم مجموعة مستخدمي مراقبة الأداء. يمكنك أيضا تكوين الأذونات بالطرق التالية:

  • أضف الحساب إلى مجموعة مستخدمين مختلفة وامنح جميع الأذونات المطلوبة لتلك المجموعة.
  • امنح هذه الأذونات بشكل صريح لحساب الفحص.

لتكوين الإذن وتطبيقه على مجموعة من الأجهزة المراد مسحها ضوئيا باستخدام نهج مجموعة، راجع تكوين مجموعة من الأجهزة باستخدام نهج المجموعة.

متطلبات الأجهزة المراد فحصها ضوئيا الوصف
تم تمكين Windows Management Instrumentation (WMI) لتمكين الأجهزة عن بعد لإدارة Windows (WMI):
  • تحقق من تشغيل خدمة Windows Management Instrumentation.
  • انتقل إلى لوحة التحكم>All لوحة التحكم Items>Windows Defender Firewall>Allowed applications وتأكد من السماح ب Windows Management Instrumentation (WMI) من خلال جدار حماية Windows.
حساب الفحص عضو في مجموعة مستخدمي مراقبة الأداء يجب أن يكون حساب الفحص عضوا في مجموعة مستخدمي مراقبة الأداء على الجهاز ليتم مسحه ضوئيا.
تحتوي مجموعة مستخدمي مراقبة الأداء على أذونات "تمكين الحساب" و"تمكين بعيد" على مساحة اسم Root/CIMV2 WMI للتحقق من هذه الأذونات أو تمكينها:
  • تشغيل wmimgmt.msc.
  • انقر بزر الماوس الأيمن فوق عنصر تحكم WMI (محلي) وحدد خصائص.
  • انتقل إلى علامة التبويب الأمان.
  • حدد مساحة اسم WMI ذات الصلة وحدد الأمان.
  • أضف المجموعة المحددة وحدد للسماح بالأذونات المحددة.
  • حدد خيارات متقدمة، واختر الإدخال المحدد وحدد تحرير.
  • تعيين ينطبق على إلى "مساحة الاسم هذه ومساحات الأسماء الفرعية".
يجب أن يكون لدى مجموعة مستخدمي مراقبة الأداء أذونات على عمليات DCOM للتحقق من هذه الأذونات أو تمكينها:
  • تشغيل dcomcnfg.
  • انتقل إلى أجهزةكمبيوتر>خدمات> المكوناتجهاز الكمبيوتر الخاص بي.
  • انقر بزر الماوس الأيمن فوق جهاز الكمبيوتر الخاص بي واختر خصائص.
  • انتقل إلى علامة التبويب COM Security.
  • انتقل إلى أذونات التشغيل والتنشيط وحدد تحرير الحدود.
  • أضف المجموعة المحددة وحدد للسماح بالتنشيط عن بعد.

تكوين مجموعة من الأجهزة باستخدام نهج المجموعة

سيسمح لك نهج المجموعة بتطبيق التكوينات المطلوبة بشكل مجمع، بالإضافة إلى الأذونات المطلوبة لحساب الفحص، على مجموعة من الأجهزة التي سيتم مسحها ضوئيا.

اتبع هذه الخطوات على وحدة تحكم المجال لتكوين مجموعة من الأجهزة في نفس الوقت:

خطوه الوصف
الإنشاء عنصر نهج المجموعة جديد
  • على وحدة تحكم المجال افتح وحدة تحكم إدارة نهج المجموعة.
  • اتبع هذه الخطوات الإنشاء عنصر نهج المجموعة.
  • بمجرد إنشاء عنصر نهج المجموعة (GPO)، انقر بزر الماوس الأيمن فوق عنصر نهج المجموعة وحدد تحرير لفتح وحدة تحكم المحرر إدارة نهج المجموعة وإكمال الخطوات أدناه.
تمكين Windows Management Instrumentation (WMI) لتمكين الأجهزة عن بعد لإدارة Windows (WMI):
  • انتقل إلى Computer Configuration>Policies>Windows Settings>Security Settings>System Services.
  • انقر بزر الماوس الأيمن فوق Windows Management Instrumentation.
  • حدد المربع تحديد إعداد النهج هذا واختر تلقائي.
السماح ل WMI من خلال جدار الحماية للسماح ب Windows Management Instrumentation (WMI) من خلال جدار الحماية:
  • انتقل إلى نهج تكوين>> الكمبيوترإعدادات Windows إعدادات>>الأمانجدار حماية Windows Defender وقواعد الأمان> الواردة المتقدمة.
  • انقر بزر الماوس الأيمن وحدد قاعدة جديدة.
  • اختر معرفة مسبقا وحدد Windows Management Instrumentation (WMI) من القائمة. ثم حدد التالي.
  • حدد خانة الاختيار Windows Management Instrumentation (WMI-In). ثم حدد التالي.
  • حدد السماح بالاتصال. ثم حدد إنهاء.
  • انقر بزر الماوس الأيمن فوق القاعدة المضافة حديثا وحدد خصائص.
  • انتقل إلى علامة التبويب خيارات متقدمة وقم بإلغاء تحديد الخيارات الخاصةوالعامة لأن المجال فقط مطلوب.
منح أذونات لتنفيذ عمليات DCOM لمنح أذونات لتنفيذ عمليات DCOM:
  • انتقل إلى Computer Configuration>Policies>Windows SettingsSecurity Settings>>Local Policies>Security Operations.
  • انقر بزر الماوس الأيمن فوق DCOM: قيود تشغيل الجهاز في بناء جملة لغة تعريف واصف الأمان (SDDL) وحدد خصائص.
  • حدد تحديد مربع إعداد النهج هذا وحدد تحرير الأمان.
  • أضف المستخدم أو المجموعة التي تمنح الأذونات لها وحدد التنشيط عن بعد.
امنح أذونات لمساحة اسم Root\CIMV2 WMI عن طريق تشغيل برنامج نصي PowerShell عبر نهج المجموعة:
  • الإنشاء برنامج PowerShell النصي. راجع مثال البرنامج النصي PowerShell لاحقا في هذه المقالة للحصول على برنامج نصي موصى به يمكنك تعديله وفقا لاحتياجاتك.
  • انتقل إلى نهج تكوين>> الكمبيوتر البرامجالنصية لإعدادات> Windows(بدء التشغيل/إيقاف التشغيل)>بدء التشغيل
  • انتقل إلى علامة التبويب PowerShell Scripts .
  • حدد إظهار الملفات وانسخ البرنامج النصي الذي أنشأته إلى هذا المجلد
  • ارجع إلى نوافذ تكوين البرامج النصية وحدد إضافة.
  • أدخل اسم البرنامج النصي.

مثال على برنامج PowerShell النصي

استخدم البرنامج النصي PowerShell التالي كنقطة بداية لمنح أذونات لمساحة اسم Root\CIMV2 WMI عبر نهج المجموعة:

Param ()

Process {
    $ErrorActionPreference = "Stop"
    $accountSID = "S-1-5-32-558" # Performance Monitor Users built-in group, please change or pass parameter as you wish
    $computerName = "."

    $remoteparams = @{ComputerName=$computerName}
    $invokeparams = @{Namespace="root\cimv2";Path="__systemsecurity=@"} + $remoteParams

    $output = Invoke-WmiMethod @invokeparams -Name GetSecurityDescriptor
    if ($output.ReturnValue -ne 0) {
        throw "GetSecurityDescriptor failed: $($output.ReturnValue)"
    }

    $acl = $output.Descriptor

    $CONTAINER_INHERIT_ACE_FLAG = 0x2
    $ACCESS_MASK = 0x21 # Enable Account + Remote Enable

    $ace = (New-Object System.Management.ManagementClass("win32_Ace")).CreateInstance()
    $ace.AccessMask = $ACCESS_MASK
    $ace.AceFlags = $CONTAINER_INHERIT_ACE_FLAG

    $trustee = (New-Object System.Management.ManagementClass("win32_Trustee")).CreateInstance()
    $trustee.SidString = $accountSID
    $ace.Trustee = $trustee

    $ACCESS_ALLOWED_ACE_TYPE = 0x0

    $ace.AceType = $ACCESS_ALLOWED_ACE_TYPE

    $acl.DACL += $ace.psobject.immediateBaseObject

    $setparams = @{Name="SetSecurityDescriptor";ArgumentList=$acl.psobject.immediateBaseObject} + $invokeParams

    $output = Invoke-WmiMethod @setparams
    if ($output.ReturnValue -ne 0) {
        throw "SetSecurityDescriptor failed: $($output.ReturnValue)"
    }
}

بمجرد تطبيق نهج عنصر نهج المجموعة على جهاز، سيتم تطبيق جميع الإعدادات المطلوبة وسيتمكن حساب gMSA الخاص بك من الوصول إلى الجهاز وفحصه.

تكوين فحص مصادق عليه جديد

لتكوين فحص مصادق عليه جديد:

  1. انتقل إلى Settings>Device discovery>Authenticated scans في مدخل Microsoft Defender.

  2. حدد Add new scan واختر Windows authenticated scan وحدد Next.

    لقطة شاشة لإضافة شاشة فحص مصادق عليها جديدة

  3. أدخل اسم الفحص.

  4. حدد جهاز الفحص: الجهاز المإلحاق الذي ستستخدمه لمسح الأجهزة غير المدارة ضوئيا.

  5. أدخل الهدف (النطاق): نطاقات عناوين IP أو أسماء المضيفين التي تريد مسحها ضوئيا. يمكنك إما إدخال العناوين أو استيراد ملف CSV. سيؤدي استيراد ملف إلى تجاوز أي عناوين تمت إضافتها يدويا.

  6. حدد الفاصل الزمني للمسح الضوئي: بشكل افتراضي، سيتم تشغيل الفحص كل أربع ساعات، ويمكنك تغيير الفاصل الزمني للمسح الضوئي أو تشغيله مرة واحدة فقط، عن طريق تحديد "عدم التكرار".

  7. اختر أسلوب المصادقة - هناك خياران للاختيار من بينهما:

    • Kerberos (مفضل)
    • التفاوض

    ملاحظة

    سيتراجع خيار التفاوض إلى NTLM في الحالات التي يفشل فيها Kerberos. لا يوصى باستخدام NTLM لأنه ليس بروتوكولا آمنا.

  8. أدخل بيانات الاعتماد إدارة الثغرات الأمنية في Microsoft Defender سيتم استخدامها للوصول إلى الأجهزة عن بعد:

    • استخدم azure KeyVault: إذا قمت بإدارة بيانات الاعتماد الخاصة بك في Azure KeyVault، يمكنك إدخال عنوان URL ل Azure KeyVault والاسم السري Azure KeyVault للوصول إليه بواسطة جهاز الفحص لتوفير بيانات الاعتماد
    • بالنسبة للقيمة السرية ل Azure KeyVault، استخدم تفاصيل حساب gMSA بالتنسيق Domain؛ المستخدم

  9. حدد التالي لتشغيل فحص الاختبار أو تخطيه. لمزيد من المعلومات حول عمليات الفحص الاختبارية، راجع مسح أجهزة الشبكة وإضافتها.

  10. حدد التالي لمراجعة الإعدادات ثم حدد إرسال لإنشاء الفحص المصادق عليه الجديد.

ملاحظة

نظرا لأن الماسح الضوئي المصادق عليه يستخدم حاليا خوارزمية تشفير غير متوافقة مع معايير معالجة المعلومات الفيدرالية (FIPS)، لا يمكن أن يعمل الماسح الضوئي عندما تفرض المؤسسة استخدام الخوارزميات المتوافقة مع FIPS.

للسماح للخوارزميات غير المتوافقة مع FIPS، قم بتعيين القيمة التالية في السجل للأجهزة التي سيتم تشغيل الماسح الضوئي فيها: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy بقيمة DWORD تسمى Enabled وقيمة 0x0

تستخدم الخوارزميات المتوافقة مع FIPS فقط فيما يتعلق بالإدارات والوكالات التابعة للحكومة الفيدرالية للولايات المتحدة.

فحص مصادق عليه لواجهات برمجة تطبيقات Windows

يمكنك استخدام واجهات برمجة التطبيقات لإنشاء فحص جديد وعرض جميع عمليات الفحص المكونة الموجودة في مؤسستك. لمزيد من المعلومات، اطلع على: