Analisi autenticata per Windows

  • Articolo

Si applica a:

Nota

Per usare questa funzionalità è necessario Gestione delle vulnerabilità di Microsoft Defender autonomo o se si è già un cliente Microsoft Defender per endpoint Piano 2, il componente aggiuntivo Defender Vulnerability Management.

L'analisi autenticata per Windows offre la possibilità di eseguire analisi in dispositivi Windows non gestiti. È possibile effettuare la destinazione in remoto in base agli intervalli IP o ai nomi host e analizzare i servizi Windows fornendo Gestione delle vulnerabilità di Microsoft Defender con le credenziali per accedere in remoto ai dispositivi. Una volta configurati, i dispositivi non gestiti di destinazione verranno analizzati regolarmente per individuare le vulnerabilità software. Per impostazione predefinita, l'analisi verrà eseguita ogni quattro ore con le opzioni per modificare questo intervallo o eseguirla una sola volta.

Gli amministratori della sicurezza possono quindi visualizzare le raccomandazioni più recenti sulla sicurezza ed esaminare le vulnerabilità individuate di recente per il dispositivo di destinazione nel portale di Microsoft Defender.

Consiglio

Sapevi che puoi provare tutte le funzionalità in Gestione delle vulnerabilità di Microsoft Defender gratuitamente? Scopri come iscriversi per una versione di valutazione gratuita.

Installazione dello scanner

Analogamente all'analisi autenticata dal dispositivo di rete , è necessario un dispositivo di analisi con lo scanner installato. Se lo scanner non è già installato, vedere Installare lo scanner per i passaggi su come scaricarlo e installarlo.

Nota

Non sono necessarie modifiche per gli scanner installati preesistenti.

Prerequisiti

Nella sezione seguente sono elencati i prerequisiti da configurare per l'uso dell'analisi autenticata per Windows.

Account di analisi

Per accedere in remoto ai dispositivi è necessario un account di analisi. Deve trattarsi di un account del servizio gestito di gruppo (gMsa).

Nota

È consigliabile che l'account gMSA sia un account con privilegi minimi con solo le autorizzazioni di analisi necessarie ed è impostato per il ciclo della password regolarmente.

Per creare un account gMsa:

  1. Nel controller di dominio in una finestra di PowerShell eseguire:

    New-ADServiceAccount -Name gmsa1 -PrincipalsAllowedToRetrieveManagedPassword scanner-win11-i$ -KerberosEncryptionType RC4, AES128, AES256 -Verbose
    • gmsa1 indica il nome dell'account che si sta creando e scanner-win11-I$ indica il nome della macchina in cui verrà eseguito l'agente scanner. Solo questo computer sarà in grado di recuperare la password dell'account. È possibile specificare un elenco delimitato da virgole di computer.
    • La modifica di un account esistente può essere eseguita con Get-ADServiceAccount e Set-ADServiceAccount

  2. Per installare l'account del servizio Active Directory, nel computer in cui verrà eseguito l'agente scanner usando una finestra di PowerShell con privilegi elevati, eseguire:

    Install-ADServiceAccount -Identity gmsa1

Se PowerShell non riconosce questi comandi, probabilmente significa che manca un modulo di PowerShell obbligatorio. Le istruzioni su come installare il modulo variano a seconda del sistema operativo. Per altre informazioni, vedere Introduzione con gli account del servizio gestito del gruppo.

Dispositivi da analizzare

Usare la tabella seguente per indicazioni sulle configurazioni necessarie, insieme alle autorizzazioni necessarie per l'account di analisi, in ogni dispositivo da analizzare:

Nota

La procedura seguente è solo un modo consigliato per configurare le autorizzazioni per ogni dispositivo da analizzare e usa il gruppo utenti Monitor prestazioni. È anche possibile configurare le autorizzazioni nei modi seguenti:

  • Aggiungere l'account a un gruppo di utenti diverso e assegnare tutte le autorizzazioni necessarie a tale gruppo.
  • Assegnare queste autorizzazioni in modo esplicito all'account di analisi.

Per configurare e applicare l'autorizzazione a un gruppo di dispositivi da analizzare usando criteri di gruppo, vedere Configurare un gruppo di dispositivi con criteri di gruppo.

Dispositivi da analizzare Descrizione
Strumentazione gestione Windows (WMI) è abilitata Per abilitare Strumentazione gestione Windows remota (WMI):
  • Verificare che il servizio Strumentazione gestione Windows sia in esecuzione.
  • Passare a Pannello di controllo>Tutti gli elementi> Pannello di controllo Windows Defenderapplicazioni consentite dal firewall> e verificare che Strumentazione gestione Windows (WMI) sia consentita tramite Windows Firewall.
L'account di analisi è membro del gruppo utenti Monitor prestazioni L'account di analisi deve essere un membro del gruppo Monitor prestazioni Utenti nel dispositivo da analizzare.
Monitor prestazioni gruppo Users dispone delle autorizzazioni 'Enable Account' e 'Remote Enable' nello spazio dei nomi WMI Root/CIMV2 Per verificare o abilitare queste autorizzazioni:
  • Eseguire wmimgmt.msc.
  • Fare clic con il pulsante destro del mouse su Controllo WMI (locale) e scegliere Proprietà.
  • Passare alla scheda Sicurezza.
  • Selezionare lo spazio dei nomi WMI pertinente e selezionare Sicurezza.
  • Aggiungere il gruppo specificato e selezionare per consentire le autorizzazioni specifiche.
  • Selezionare Avanzate, scegliere la voce specificata e selezionare Modifica.
  • Impostare Si applica a a "Questo spazio dei nomi e sottospazi dei nomi".
Monitor prestazioni gruppo Utenti deve disporre delle autorizzazioni per le operazioni DCOM Per verificare o abilitare queste autorizzazioni:
  • Eseguire dcomcnfg.
  • Passare aComputer>servizi> componentiComputer personale.
  • Fare clic con il pulsante destro del mouse su Risorse del computer e scegliere Proprietà.
  • Passare alla scheda Sicurezza COM.
  • Passare a Autorizzazioni di avvio e attivazione e selezionare Modifica limiti.
  • Aggiungere il gruppo specificato e selezionare per consentire l'attivazione remota.

Configurare un gruppo di dispositivi con criteri di gruppo

I criteri di gruppo consentono di applicare in blocco le configurazioni necessarie, nonché le autorizzazioni necessarie per l'account di analisi, a un gruppo di dispositivi da analizzare.

Seguire questa procedura in un controller di dominio per configurare contemporaneamente un gruppo di dispositivi:

Passaggio Descrizione
Creare un nuovo oggetto Criteri di gruppo
  • Nel controller di dominio aprire Criteri di gruppo Management Console.
  • Seguire questa procedura per Create un oggetto Criteri di gruppo.
  • Dopo aver creato l'oggetto Criteri di gruppo, fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo e scegliere Modifica per aprire la console Criteri di gruppo Management Editor e completare i passaggi seguenti.
Abilitare Strumentazione gestione Windows (WMI) Per abilitare Strumentazione gestione Windows remota (WMI):
  • Passare aCriteri>di configurazione> computerImpostazioni di Windows Impostazioni>>di sicurezzaServizi di sistema.
  • Fare clic con il pulsante destro del mouse su Strumentazione gestione Windows.
  • Selezionare la casella Definisci questa impostazione di criterio e scegliere Automatico.
Consenti WMI tramite il firewall Per consentire Strumentazione gestione Windows (WMI) tramite il firewall:
  • Passare aCriteri>di configurazione> computerImpostazioni di Windows Impostazioni>> disicurezzaWindows Defender Firewall eRegole di sicurezza > avanzatein ingresso.
  • Fare clic con il pulsante destro del mouse e scegliere Nuova regola.
  • Scegliere Predefinito e selezionare Strumentazione gestione Windows (WMI) dall'elenco. Quindi, scegliere Avanti.
  • Selezionare la casella di controllo Strumentazione gestione Windows (WMI-In). Quindi, scegliere Avanti.
  • Selezionare Consenti la connessione. Selezionare quindi Fine.
  • Fare clic con il pulsante destro del mouse sulla regola appena aggiunta e scegliere Proprietà.
  • Passare alla scheda Avanzate e deselezionare le opzioni Private e Public in quanto è necessario solo il dominio .
Concedere le autorizzazioni per eseguire operazioni DCOM Per concedere le autorizzazioni per eseguire operazioni DCOM:
  • Passare aCriteri>di configurazione> computerImpostazioni di Windows Impostazioni>di sicurezza Criteri>>localiOperazioni di sicurezza.
  • Fare clic con il pulsante destro del mouse su DCOM: Restrizioni di avvio del computer nella sintassi SDDL (Security Descriptor Definition Language) e scegliere Proprietà.
  • Selezionare la casella Definisci impostazione criteri e selezionare Modifica sicurezza.
  • Aggiungere l'utente o il gruppo a cui si concedono le autorizzazioni e selezionare Attivazione remota.
Concedere le autorizzazioni allo spazio dei nomi WMI Root\CIMV2 eseguendo uno script di PowerShell tramite criteri di gruppo:
  • Create uno script di PowerShell. Vedere l'esempio di script di PowerShell più avanti in questo articolo per uno script consigliato che è possibile modificare in base alle proprie esigenze.
  • Passare aCriteri>di configurazione> computerScript delle impostazioni> di Windows(avvio/arresto)>Avvio
  • Passare alla scheda Script di PowerShell .
  • Selezionare Mostra file e copiare lo script creato in questa cartella
  • Tornare alle finestre di configurazione degli script e selezionare Aggiungi.
  • Immettere il nome dello script.

Script di PowerShell di esempio

Usare lo script di PowerShell seguente come punto di partenza per concedere le autorizzazioni allo spazio dei nomi WMI Root\CIMV2 tramite criteri di gruppo:

Param ()

Process {
    $ErrorActionPreference = "Stop"
    $accountSID = "S-1-5-32-558" # Performance Monitor Users built-in group, please change or pass parameter as you wish
    $computerName = "."

    $remoteparams = @{ComputerName=$computerName}
    $invokeparams = @{Namespace="root\cimv2";Path="__systemsecurity=@"} + $remoteParams

    $output = Invoke-WmiMethod @invokeparams -Name GetSecurityDescriptor
    if ($output.ReturnValue -ne 0) {
        throw "GetSecurityDescriptor failed: $($output.ReturnValue)"
    }

    $acl = $output.Descriptor

    $CONTAINER_INHERIT_ACE_FLAG = 0x2
    $ACCESS_MASK = 0x21 # Enable Account + Remote Enable

    $ace = (New-Object System.Management.ManagementClass("win32_Ace")).CreateInstance()
    $ace.AccessMask = $ACCESS_MASK
    $ace.AceFlags = $CONTAINER_INHERIT_ACE_FLAG

    $trustee = (New-Object System.Management.ManagementClass("win32_Trustee")).CreateInstance()
    $trustee.SidString = $accountSID
    $ace.Trustee = $trustee

    $ACCESS_ALLOWED_ACE_TYPE = 0x0

    $ace.AceType = $ACCESS_ALLOWED_ACE_TYPE

    $acl.DACL += $ace.psobject.immediateBaseObject

    $setparams = @{Name="SetSecurityDescriptor";ArgumentList=$acl.psobject.immediateBaseObject} + $invokeParams

    $output = Invoke-WmiMethod @setparams
    if ($output.ReturnValue -ne 0) {
        throw "SetSecurityDescriptor failed: $($output.ReturnValue)"
    }
}

Dopo aver applicato i criteri gpo a un dispositivo, verranno applicate tutte le impostazioni necessarie e l'account gMSA sarà in grado di accedere al dispositivo ed eseguirne l'analisi.

Configurare una nuova analisi autenticata

Per configurare una nuova analisi autenticata:

  1. Passare a Impostazioni>Individuazione> dispositiviAnalisi autenticate nel portale di Microsoft Defender.

  2. Selezionare Aggiungi nuova analisi , scegliere Analisi autenticata di Windows e selezionare Avanti.

    Screenshot della schermata aggiungi nuova analisi autenticata

  3. Immettere un nome di analisi.

  4. Selezionare il dispositivo di analisi: il dispositivo di cui si eseguirà l'onboarding che verrà usato per analizzare i dispositivi non gestiti.

  5. Immettere target (intervallo): intervalli di indirizzi IP o nomi host da analizzare. È possibile immettere gli indirizzi o importare un file CSV. L'importazione di un file eseguirà l'override di tutti gli indirizzi aggiunti manualmente.

  6. Selezionare l'intervallo di analisi: per impostazione predefinita, l'analisi verrà eseguita ogni quattro ore, è possibile modificare l'intervallo di analisi o eseguirlo una sola volta, selezionando "Non ripetere".

  7. Scegliere il metodo di autenticazione : è possibile scegliere tra due opzioni:

    • Kerberos (preferito)
    • Negoziare

    Nota

    L'opzione Negotiate eseguirà il fallback a NTLM nei casi in cui Kerberos ha esito negativo. L'uso di NTLM non è consigliato perché non è un protocollo sicuro.

  8. Immettere le credenziali Gestione delle vulnerabilità di Microsoft Defender useranno per accedere in remoto ai dispositivi:

    • Usare Azure KeyVault: Se si gestiscono le credenziali in Azure KeyVault, è possibile immettere l'URL di Azure KeyVault e il nome del segreto Di Azure KeyVault a cui accedere dal dispositivo di analisi per fornire le credenziali
    • Per il valore del segreto Di Azure KeyVault usare i dettagli dell'account gMSA nel formato Dominio; Nome utente

  9. Selezionare Avanti per eseguire o ignorare l'analisi di test. Per altre informazioni sulle analisi di test, vedere Analizzare e aggiungere dispositivi di rete.

  10. Selezionare Avanti per esaminare le impostazioni e quindi selezionare Invia per creare la nuova analisi autenticata.

Nota

Poiché lo scanner autenticato attualmente usa un algoritmo di crittografia non conforme agli standard FIPS (Federal Information Processing Standards), lo scanner non può funzionare quando un'organizzazione applica l'uso di algoritmi conformi a FIPS.

Per consentire algoritmi non conformi a FIPS, impostare il valore seguente nel Registro di sistema per i dispositivi in cui verrà eseguito lo scanner: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy con un valore DWORD denominato Enabled e valore di 0x0

Gli algoritmi conformi a FIPS vengono usati solo in relazione ai dipartimenti e alle agenzie del governo federale Stati Uniti.

Analisi autenticata per le API di Windows

È possibile usare le API per creare una nuova analisi e visualizzare tutte le analisi configurate esistenti nell'organizzazione. Per ulteriori informazioni consulta: