Sdílet prostřednictvím

Ověřená kontrola windows

  • Článek

Platí pro:

Poznámka

Abyste mohli tuto funkci používat, budete potřebovat Microsoft Defender Správa zranitelností Standalone nebo pokud už jste zákazníkem Microsoft Defender for Endpoint Plan 2, doplněk Správa ohrožení zabezpečení v programu Defender.

Ověřená kontrola windows umožňuje spouštět kontroly na nespravovaných zařízeních s Windows. Můžete vzdáleně cílit podle rozsahů IP adres nebo názvů hostitelů a kontrolovat služby Windows tím, že Microsoft Defender Správa zranitelností poskytnete přihlašovací údaje pro vzdálený přístup k zařízením. Po nakonfigurování budou cílená nespravovaná zařízení pravidelně kontrolována z hlediska ohrožení zabezpečení softwaru. Ve výchozím nastavení se kontrola spouští každé čtyři hodiny s možnostmi pro změnu tohoto intervalu nebo spuštění pouze jednou.

Správci zabezpečení pak můžou zobrazit nejnovější doporučení k zabezpečení a zkontrolovat nedávno zjištěná ohrožení zabezpečení cílového zařízení na portálu Microsoft Defender.

Tip

Věděli jste, že si můžete vyzkoušet všechny funkce v Microsoft Defender Správa zranitelností zdarma? Zjistěte, jak si zaregistrovat bezplatnou zkušební verzi.

Instalace skeneru

Podobně jako u kontroly ověřené síťovým zařízením budete potřebovat skenovací zařízení s nainstalovaným skenerem. Pokud ještě nemáte skener nainstalovaný, přečtěte si článek Instalace skeneru , kde najdete postup, jak ho stáhnout a nainstalovat.

Poznámka

U již existujících nainstalovaných skenerů se nevyžadují žádné změny.

Předpoklady

Následující část obsahuje seznam požadavků, které je potřeba nakonfigurovat pro použití ověřené kontroly pro Windows.

Skenovací účet

Pro vzdálený přístup k zařízením je nutný skenovací účet. Musí se jednat o skupinový účet spravované služby (gMsa).

Poznámka

Doporučujeme, aby účet gMSA byl nejméně privilegovaným účtem s pouze požadovanými oprávněními ke kontrole a měl nastavené pravidelné cyklování hesla.

Vytvoření účtu gMsa:

  1. Na řadiči domény v okně PowerShellu spusťte:

    New-ADServiceAccount -Name gmsa1 -PrincipalsAllowedToRetrieveManagedPassword scanner-win11-i$ -KerberosEncryptionType RC4, AES128, AES256 -Verbose
    • gmsa1 je zkratka pro název účtu, který vytváříte, a scanner-win11-I$ je zkratka pro název počítače, na kterém se spustí agent skeneru. Heslo k účtu bude moct načíst jenom tento počítač. Můžete zadat seznam počítačů oddělených čárkami.
    • Úpravy existujícího účtu je možné provést pomocí get-ADServiceAccount a Set-ADServiceAccount.

  2. Pokud chcete nainstalovat účet služby AD, spusťte na počítači, na kterém se agent skeneru spustí, pomocí okna PowerShellu se zvýšenými oprávněními:

    Install-ADServiceAccount -Identity gmsa1

Pokud PowerShell tyto příkazy nerozpozná, pravděpodobně to znamená, že vám chybí požadovaný modul PowerShellu. Pokyny k instalaci modulu se liší v závislosti na vašem operačním systému. Další informace najdete v tématu Začínáme se skupinovými účty spravované služby.

Zařízení, která se mají zkontrolovat

V následující tabulce najdete pokyny k požadovaným konfiguracím a oprávněním potřebným pro skenovací účet na jednotlivých zařízeních, která se mají zkontrolovat:

Poznámka

Následující postup je jen jedním doporučeným způsobem konfigurace oprávnění na každém zařízení, které se má kontrolovat, a používá skupinu Sledování výkonu Users. Oprávnění můžete také nakonfigurovat následujícími způsoby:

  • Přidejte účet do jiné skupiny uživatelů a udělte jí všechna potřebná oprávnění.
  • Udělte tato oprávnění explicitně skenovacímu účtu.

Pokud chcete nakonfigurovat a použít oprávnění u skupiny zařízení, která se mají kontrolovat pomocí zásad skupiny, přečtěte si téma Konfigurace skupiny zařízení pomocí zásad skupiny.

Požadavky na zařízení, která se mají kontrolovat Popis
Služba WMI (Windows Management Instrumentation) je povolená. Povolení vzdálené služby WMI (Windows Management Instrumentation):
  • Ověřte, že je spuštěná služba Windows Management Instrumentation.
  • Přejděte na Ovládací panely>Všechny položky> Ovládací panely Windows Defender Firewall>Povolené aplikace a ujistěte se, že je služba WMI (Windows Management Instrumentation) povolená prostřednictvím brány Windows Firewall.
Skenovací účet je členem skupiny Sledování výkonu Users. Skenovací účet musí být členem skupiny Sledování výkonu Users na zařízení, které se má zkontrolovat.
Skupina Sledování výkonu Users má v oboru názvů služby WMI root/CIMV2 oprávnění Povolit účet a Vzdálené povolení. Ověření nebo povolení těchto oprávnění:
  • Spusťte příkaz wmimgmt.msc.
  • Klikněte pravým tlačítkem na Ovládací prvek WMI (Místní) a vyberte Vlastnosti.
  • Přejděte na kartu Zabezpečení.
  • Vyberte příslušný obor názvů rozhraní WMI a vyberte Zabezpečení.
  • Přidejte zadanou skupinu a výběrem povolte konkrétní oprávnění.
  • Vyberte Upřesnit, zvolte zadanou položku a vyberte Upravit.
  • Nastavte Platí pro na "Tento obor názvů a podnázvové prostory".
Sledování výkonu Skupina Uživatelé by měla mít oprávnění k operacím modelu DCOM. Ověření nebo povolení těchto oprávnění:
  • Spusťte příkaz dcomcnfg.
  • Přejděte do části Služba komponent>Počítače>tento počítač.
  • Klikněte pravým tlačítkem na Tento počítač a zvolte Vlastnosti.
  • Přejděte na kartu Zabezpečení modelu COM.
  • Přejděte na Oprávnění ke spuštění a aktivaci a vyberte Upravit limity.
  • Přidejte zadanou skupinu a vyberte možnost povolit vzdálenou aktivaci.

Konfigurace skupiny zařízení pomocí zásad skupiny

Zásady skupiny vám umožní hromadně použít požadované konfigurace a také oprávnění vyžadovaná pro skenovací účet na skupinu zařízení, která se mají zkontrolovat.

Pokud chcete současně nakonfigurovat skupinu zařízení, postupujte na řadiči domény takto:

Krok Popis
Create nového objektu Zásady skupiny
  • Na řadiči domény otevřete konzolu pro správu Zásady skupiny.
  • Pomocí následujícího postupu Create objektu Zásady skupiny.
  • Po vytvoření objektu Zásady skupiny klikněte pravým tlačítkem na objekt zásad skupiny a vyberte Upravit, otevřete konzolu Editor Zásady skupiny Management a proveďte následující kroky.
Povolení rozhraní WMI (Windows Management Instrumentation) Povolení vzdálené služby WMI (Windows Management Instrumentation):
  • Přejděte naZásady>konfigurace> počítačeNastavení> systému WindowsNastavení> zabezpečeníSystémové služby.
  • Klikněte pravým tlačítkem na Windows Management Instrumentation.
  • Vyberte pole Definovat nastavení této zásady a zvolte Automaticky.
Povolit rozhraní WMI přes bránu firewall Povolení rozhraní WMI (Windows Management Instrumentation) přes bránu firewall:
  • Přejděte naZásady>konfigurace> počítačeNastavení>systému Windows Nastavení> zabezpečení Windows Defender Brána firewall a Rozšířená pravidla zabezpečení>příchozích přenosů.
  • Klikněte pravým tlačítkem a vyberte Nové pravidlo.
  • Zvolte Předdefinované a v seznamu vyberte WMI (Windows Management Instrumentation). Pak vyberte Další.
  • Zaškrtněte políčko Windows Management Instrumentation (WMI-In). Pak vyberte Další.
  • Vyberte Povolit připojení. Pak vyberte Dokončit.
  • Klikněte pravým tlačítkem na nově přidané pravidlo a vyberte Vlastnosti.
  • Přejděte na kartu Upřesnit a zrušte zaškrtnutí možností Soukromé a Veřejné , protože je vyžadována pouze doména .
Udělení oprávnění k provádění operací modelu DCOM Udělení oprávnění k provádění operací modelu DCOM:
  • Přejděte naZásady>konfigurace> počítačeNastavení>systému Windows Nastavení> zabezpečeníMístní zásady>Operace zabezpečení.
  • Klikněte pravým tlačítkem na DCOM: Omezení spuštění počítače v syntaxi jazyka SDDL (Security Descriptor Definition Language) a vyberte Vlastnosti.
  • Vyberte definovat toto nastavení zásad a vyberte Upravit zabezpečení.
  • Přidejte uživatele nebo skupinu, kterým udělujete oprávnění, a vyberte Vzdálená aktivace.
Spuštěním skriptu PowerShellu prostřednictvím zásad skupiny udělte oprávnění oboru názvů služby WMI Root\CIMV2:
  • Create skript PowerShellu. Doporučený skript, který můžete upravit podle svých potřeb, najdete v části Příklad skriptu PowerShellu dále v tomto článku.
  • Přejděte naZásady>konfigurace> počítačeNastavení>Skripty systému Windows (spuštění/vypnutí)>Spuštění
  • Přejděte na kartu Skripty PowerShellu .
  • Vyberte Zobrazit soubory a zkopírujte vytvořený skript do této složky.
  • Vraťte se do oken konfigurace skriptů a vyberte Přidat.
  • Zadejte název skriptu.

Ukázkový skript PowerShellu

Jako výchozí bod použijte následující skript PowerShellu k udělení oprávnění k oboru názvů služby WMI Root\CIMV2 prostřednictvím zásad skupiny:

Param ()

Process {
    $ErrorActionPreference = "Stop"
    $accountSID = "S-1-5-32-558" # Performance Monitor Users built-in group, please change or pass parameter as you wish
    $computerName = "."

    $remoteparams = @{ComputerName=$computerName}
    $invokeparams = @{Namespace="root\cimv2";Path="__systemsecurity=@"} + $remoteParams

    $output = Invoke-WmiMethod @invokeparams -Name GetSecurityDescriptor
    if ($output.ReturnValue -ne 0) {
        throw "GetSecurityDescriptor failed: $($output.ReturnValue)"
    }

    $acl = $output.Descriptor

    $CONTAINER_INHERIT_ACE_FLAG = 0x2
    $ACCESS_MASK = 0x21 # Enable Account + Remote Enable

    $ace = (New-Object System.Management.ManagementClass("win32_Ace")).CreateInstance()
    $ace.AccessMask = $ACCESS_MASK
    $ace.AceFlags = $CONTAINER_INHERIT_ACE_FLAG

    $trustee = (New-Object System.Management.ManagementClass("win32_Trustee")).CreateInstance()
    $trustee.SidString = $accountSID
    $ace.Trustee = $trustee

    $ACCESS_ALLOWED_ACE_TYPE = 0x0

    $ace.AceType = $ACCESS_ALLOWED_ACE_TYPE

    $acl.DACL += $ace.psobject.immediateBaseObject

    $setparams = @{Name="SetSecurityDescriptor";ArgumentList=$acl.psobject.immediateBaseObject} + $invokeParams

    $output = Invoke-WmiMethod @setparams
    if ($output.ReturnValue -ne 0) {
        throw "SetSecurityDescriptor failed: $($output.ReturnValue)"
    }
}

Jakmile se zásady objektu zásad skupiny použijí na zařízení, použijí se všechna požadovaná nastavení a váš účet gMSA bude moct k zařízení přistupovat a kontrolovat ho.

Konfigurace nové ověřené kontroly

Konfigurace nové ověřené kontroly:

  1. Na portálu Microsoft Defender přejděte na Nastavení>Zjišťování> zařízeníOvěřené kontroly.

  2. Vyberte Přidat novou kontrolu , zvolte Kontrola ověřená systémem Windows a vyberte Další.

    Snímek obrazovky s přidáním nové ověřené obrazovky kontroly

  3. Zadejte Název kontroly.

  4. Vyberte Skenovací zařízení: Onboardované zařízení, které použijete ke kontrole nespravovaných zařízení.

  5. Zadejte Cíl (rozsah): Rozsahy IP adres nebo názvy hostitelů, které chcete zkontrolovat. Můžete zadat adresy nebo importovat soubor CSV. Import souboru přepíše všechny ručně přidané adresy.

  6. Vyberte interval kontroly: Ve výchozím nastavení se kontrola spouští každé čtyři hodiny. Interval kontroly můžete změnit nebo ho můžete spustit jenom jednou, a to výběrem možnosti Neopakovat.

  7. Zvolte metodu ověřování – můžete si vybrat ze dvou možností:

    • Kerberos (upřednostňované)
    • Vyjednávat

    Poznámka

    V případě selhání protokolu Kerberos se možnost Vyjednávání vrátí do protokolu NTLM. Použití protokolu NTLM se nedoporučuje, protože se nejedná o zabezpečený protokol.

  8. Zadejte přihlašovací údaje, Microsoft Defender Správa zranitelností budou používat pro vzdálený přístup k zařízením:

    • Použijte azure KeyVault: Pokud své přihlašovací údaje spravujete ve službě Azure KeyVault, můžete zadat adresu URL služby Azure KeyVault a název tajného klíče Azure KeyVault, ke které má skenovací zařízení přístup, a zadat přihlašovací údaje.
    • Pro hodnotu tajného klíče Azure KeyVault použijte podrobnosti účtu gMSA ve formátu Doména. Username

  9. Výběrem možnosti Další spusťte nebo přeskočte testovací kontrolu. Další informace o testovacích kontrolách najdete v tématu Kontrola a přidání síťových zařízení.

  10. Výběrem možnosti Další zkontrolujte nastavení a pak výběrem možnosti Odeslat vytvořte novou ověřenou kontrolu.

Poznámka

Vzhledem k tomu, že ověřený skener v současné době používá šifrovací algoritmus, který nevyhovuje standardu FIPS (Federal Information Processing Standards), nemůže skener fungovat, když organizace vynucuje použití algoritmů kompatibilních se standardem FIPS.

Pokud chcete povolit algoritmy, které nevyhovují standardu FIPS, nastavte v registru pro zařízení, na kterých se bude skener spouštět, následující hodnotu: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy s hodnotou DWORD s názvem Enabled a hodnotou 0x0

Algoritmy kompatibilní se standardem FIPS se používají pouze ve vztahu k oddělením a agenturám USA federální vlády.

Ověřená kontrola rozhraní API systému Windows

Pomocí rozhraní API můžete vytvořit novou kontrolu a zobrazit všechny existující nakonfigurované kontroly ve vaší organizaci. Další informace najdete tady: