Godkjent skanning for Windows

Artikkel
04/26/2024

Gjelder for:

Obs!

Hvis du vil bruke denne funksjonen, må du Microsoft Defender Vulnerability Management frittstående, eller hvis du allerede er en Microsoft Defender for endepunkt Plan 2-kunde, tilleggsprogrammet Defender Vulnerability Management.

Godkjent skanning for Windows gir muligheten til å kjøre skanninger på uadministrerte Windows-enheter. Du kan eksternt målrette etter IP-områder eller vertsnavn og skanne Windows-tjenester ved å tilby Microsoft Defender Vulnerability Management med legitimasjon for ekstern tilgang til enhetene. Når de målrettede uadministrerte enhetene er konfigurert, skannes de regelmessig for programvaresårbarheter. Skanningen kjøres som standard hver fjerde time med alternativer for å endre dette intervallet eller få det bare til å kjøre én gang.

Sikkerhetsadministratorer kan deretter se de nyeste sikkerhetsanbefalingene og se gjennom nylig oppdagede sårbarheter for den målrettede enheten i Microsoft Defender-portalen.

Tips

Visste du at du kan prøve alle funksjonene i Microsoft Defender Vulnerability Management gratis? Finn ut hvordan du registrerer deg for en gratis prøveversjon.

Installasjon av skanner

På samme måte som med godkjent skanning av nettverksenhet , trenger du en skanneenhet med skanneren installert. Hvis du ikke allerede har skanneren installert, kan du se Installere skanneren for å få instruksjoner om hvordan du laster den ned og installerer den.

Obs!

Ingen endringer kreves for eksisterende installerte skannere.

Forutsetninger

Den følgende delen viser forutsetningene du må konfigurere for å bruke godkjent skanning for Windows.

Skanner konto

Det kreves en skannekonto for å få ekstern tilgang til enhetene. Dette må være en gruppeadministrert tjenestekonto (gMsa).

Obs!

Vi anbefaler at gMSA-kontoen er en konto med minst privilegerte rettigheter med bare de nødvendige skannetillatelsene og er satt til å veksle mellom passordet regelmessig.

Slik oppretter du en gMsa-konto:

Kjør følgende på domenekontrolleren i et PowerShell-vindu:
```
New-ADServiceAccount -Name gmsa1 -PrincipalsAllowedToRetrieveManagedPassword scanner-win11-i$ -KerberosEncryptionType RC4, AES128, AES256 -Verbose
```
- gmsa1 står for navnet på kontoen du oppretter, og skanner-win11-I$ står for maskinnavnet der skanneragenten skal kjøre. Bare denne maskinen kan hente kontopassordet. Du kan angi en kommadelt liste over maskiner.
- Endring av en eksisterende konto kan gjøres med Get-ADServiceAccount og Set-ADServiceAccount
Hvis du vil installere AD-tjenestekontoen, kjører du på maskinen der skanneragenten kjører ved hjelp av et hevet PowerShell-vindu:
```
Install-ADServiceAccount -Identity gmsa1
```

Hvis PowerShell ikke gjenkjenner disse kommandoene, betyr det sannsynligvis at du mangler en nødvendig PowerShell-modul. Instruksjoner for hvordan du installerer modulen varierer avhengig av operativsystemet. Hvis du vil ha mer informasjon, kan du se Komme i gang med kontoer for gruppeadministrerte tjenester.

Enheter som skal skannes

Bruk tabellen nedenfor for veiledning om konfigurasjonene som kreves, sammen med tillatelsene som kreves for skannekontoen, på hver enhet som skal skannes:

Obs!

Trinnene nedenfor er bare én anbefalt måte å konfigurere tillatelsene på hver enhet til å skannes på, og bruker bruker brukergruppen Ytelsesmåler. Du kan også konfigurere tillatelsene på følgende måter:

Legg til kontoen i en annen brukergruppe, og gi alle tillatelsene som kreves for denne gruppen.
Gi disse tillatelsene eksplisitt til skannekontoen.

Hvis du vil konfigurere og bruke tillatelsen på en gruppe enheter som skal skannes ved hjelp av en gruppepolicy, kan du se Konfigurere en gruppe enheter med en gruppepolicy.

Enheter som skal skannes	Beskrivelse
Windows Management Instrumentation (WMI) er aktivert	Slik aktiverer du ekstern Windows Management Instrumentation (WMI): Kontroller at Windows Management Instrumentation-tjenesten kjører. Gå til Kontrollpanel>Alle Kontrollpanel elementer>Windows Defender brannmur>tillatte programmer, og sørg for at Windows Management Instrumentation (WMI) er tillatt gjennom Windows-brannmuren.
Skannekonto er medlem av brukergruppen Ytelsesmåler	Skannekontoen må være medlem av brukergruppen Ytelsesmåler på enheten for å kunne skannes.
Brukere-gruppen For ytelsesmåler har tillatelsene Aktiver konto og Ekstern aktivering på Rot/CIMV2 WMI-navneområde	Slik bekrefter eller aktiverer du disse tillatelsene: Kjør wmimgmt.msc. Høyreklikk WMI-kontroll (lokal), og velg Egenskaper. Gå til Sikkerhet-fanen. Velg det relevante WMI-navneområdet, og velg Sikkerhet. Legg til den angitte gruppen, og velg for å tillate de spesifikke tillatelsene. Velg Avansert, velg den angitte oppføringen, og velg Rediger. Angi gjelder for «Dette navneområdet og undernavneområdene».
Brukere-gruppen for ytelsesmåler bør ha tillatelser for DCOM-operasjoner	Slik bekrefter eller aktiverer du disse tillatelsene: Kjør dcomcnfg. Naviger tilkomponenttjenestedatamaskinene>>på datamaskinen min. Høyreklikk Min datamaskin, og velg Egenskaper. Gå til COM-sikkerhet-fanen. Gå til start- og aktiveringstillatelser , og velg Rediger grenser. Legg til den angitte gruppen, og velg for å tillate ekstern aktivering.

Konfigurere en gruppe enheter med en gruppepolicy

En gruppepolicy lar deg bruke konfigurasjonene som kreves, i tillegg til tillatelsene som kreves for skannekontoen, til en gruppe enheter som skal skannes.

Følg disse trinnene på en domenekontroller for å konfigurere en gruppe enheter samtidig:

Trinn	Beskrivelse
Opprett et nytt gruppepolicy objekt	Åpne administrasjonskonsollen for gruppepolicy på domenekontrolleren. Følg disse trinnene for å Opprett et gruppepolicy objekt. Når gruppepolicy object (GPO) er opprettet, høyreklikker du på gruppepolicyobjektet og velger Rediger for å åpne gruppepolicy Management Redaktør-konsollen og fullføre trinnene nedenfor.
Aktiver Windows Management Instrumentation (WMI)	Slik aktiverer du ekstern Windows Management Instrumentation (WMI): Gå til WindowsSettingsSecurity Settings>>System Services for datamaskinkonfigurasjonspolicyer>>. Høyreklikk Windows Management Instrumentation. Velg boksen Definer denne policyinnstillingen , og velg Automatisk.
Tillat WMI gjennom brannmuren	Slik tillater du Windows Management Instrumentation (WMI) gjennom brannmuren: Gå tilSikkerhetsinnstillinger> forWindows-innstillinger> for datamaskinkonfigurasjon>>Windows Defender Brannmur og Avanserteinnkommende regler for sikkerhet>. Høyreklikk, og velg Ny regel. Velg Forhåndsdefinert , og velg Windows Management Instrumentation (WMI) fra listen. Velg deretter Neste. Merk av for Windows Management Instrumentation (WMI-In ). Velg deretter Neste. Velg Tillat tilkoblingen. Velg deretter Fullfør. Høyreklikk regelen som nylig er lagt til, og velg Egenskaper. Gå til Avansert-fanen , og fjern merket for alternativene Privat og Offentlig , da bare Domene er nødvendig.
Gi tillatelser til å utføre DCOM-operasjoner	Slik gir du tillatelser til å utføre DCOM-operasjoner: Gå til Policyer for datamaskinkonfigurasjon>>windows innstillinger>sikkerhetsinnstillinger>lokale policyer>sikkerhetsoperasjoner. Høyreklikk DCOM: Begrensninger for maskinstart i SDDL-syntaksen (Security Descriptor Definition Language), og velg Egenskaper. Velg Definer denne policyinnstillingsboksen , og velg Rediger sikkerhet. Legg til brukeren eller gruppen du gir tillatelser til, og velg Ekstern aktivering.
Gi tillatelser til Root\CIMV2 WMI-navneområdet ved å kjøre et PowerShell-skript via gruppepolicy:	Opprett et PowerShell-skript. Se Eksempler på PowerShell-skript senere i denne artikkelen for å få et anbefalt skript du kan endre etter dine behov. Gå tilwindows-innstillingerskript> for datamaskinkonfigurasjonspolicyer>>(oppstart/avslutning)>oppstart Gå til PowerShell-skript-fanen . Velg Vis filer , og kopier skriptet du opprettet til denne mappen Gå tilbake til skriptkonfigurasjonsvinduene, og velg Legg til. Skriv inn skriptnavnet.

Eksempel på PowerShell-skript

Bruk følgende PowerShell-skript som utgangspunkt for å gi tillatelser til Root\CIMV2 WMI-navneområdet via gruppepolicy:

Param ()

Process {
    $ErrorActionPreference = "Stop"
    $accountSID = "S-1-5-32-558" # Performance Monitor Users built-in group, please change or pass parameter as you wish
    $computerName = "."

    $remoteparams = @{ComputerName=$computerName}
    $invokeparams = @{Namespace="root\cimv2";Path="__systemsecurity=@"} + $remoteParams

    $output = Invoke-WmiMethod @invokeparams -Name GetSecurityDescriptor
    if ($output.ReturnValue -ne 0) {
        throw "GetSecurityDescriptor failed: $($output.ReturnValue)"
    }

    $acl = $output.Descriptor

    $CONTAINER_INHERIT_ACE_FLAG = 0x2
    $ACCESS_MASK = 0x21 # Enable Account + Remote Enable

    $ace = (New-Object System.Management.ManagementClass("win32_Ace")).CreateInstance()
    $ace.AccessMask = $ACCESS_MASK
    $ace.AceFlags = $CONTAINER_INHERIT_ACE_FLAG

    $trustee = (New-Object System.Management.ManagementClass("win32_Trustee")).CreateInstance()
    $trustee.SidString = $accountSID
    $ace.Trustee = $trustee

    $ACCESS_ALLOWED_ACE_TYPE = 0x0

    $ace.AceType = $ACCESS_ALLOWED_ACE_TYPE

    $acl.DACL += $ace.psobject.immediateBaseObject

    $setparams = @{Name="SetSecurityDescriptor";ArgumentList=$acl.psobject.immediateBaseObject} + $invokeParams

    $output = Invoke-WmiMethod @setparams
    if ($output.ReturnValue -ne 0) {
        throw "SetSecurityDescriptor failed: $($output.ReturnValue)"
    }
}

Når GPO-policyen brukes på en enhet, brukes alle de nødvendige innstillingene, og gMSA-kontoen din får tilgang til og skanner enheten.

Konfigurer en ny godkjent skanning

Slik konfigurerer du en ny godkjent skanning:

Gå til Godkjente>skanninger forenhetsoppdagelse> i Microsoft Defender-portalen.
Velg Legg til ny skanning , og velg Windows-godkjent skanning , og velg Neste.
Skriv inn et skannenavn.
Velg skanneenheten: Den innebygde enheten du bruker til å skanne de uadministrerte enhetene.
Angi mål (område): IP-adresseområder eller vertsnavn du vil skanne. Du kan enten skrive inn adressene eller importere en CSV-fil. Hvis du importerer en fil, overstyres eventuelle adresser som er lagt til manuelt.
Velg skanneintervallet: Skanningen kjøres som standard hver fjerde time, du kan endre søkeintervallet eller få det bare til å kjøre én gang ved å velge Ikke gjenta.
Velg godkjenningsmetode – det finnes to alternativer å velge mellom:
- Kerberos (foretrukket)
- Forhandle
Obs!

Negotiate-alternativet vil falle tilbake til NTLM i tilfeller der Kerberos mislykkes. Bruk av NTLM anbefales ikke fordi det ikke er en sikker protokoll.
Angi legitimasjonen Microsoft Defender Vulnerability Management skal brukes til å få ekstern tilgang til enhetene:
- Bruk Azure KeyVault: Hvis du administrerer legitimasjonen din i Azure KeyVault, kan du angi Azure KeyVault-nettadressen og Azure KeyVaults hemmelige navn som skal åpnes av skanneenheten for å angi legitimasjon
- Bruk gMSA-kontodetaljer i formatet Domene for Azure KeyVaults hemmelige verdi . Brukernavn
Velg Neste for å kjøre eller hoppe over testskanningen. Hvis du vil ha mer informasjon om testskanninger, kan du se Skanne og legge til nettverksenheter.
Velg Neste for å se gjennom innstillingene, og velg deretter Send for å opprette den nye godkjente skanningen.

Obs!

Siden den godkjente skanneren for øyeblikket bruker en krypteringsalgoritme som ikke samsvarer med Federal Information Processing Standards (FIPS), kan ikke skanneren fungere når en organisasjon håndhever bruken av FIPS-kompatible algoritmer.

Hvis du vil tillate algoritmer som ikke samsvarer med FIPS, angir du følgende verdi i registeret for enhetene der skanneren skal kjøre: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy med en DWORD-verdi kalt Aktivert og verdien for 0x0

FIPS-kompatible algoritmer brukes bare i forhold til avdelinger og etater i USA føderale regjeringen.