Geverifieerde scan voor Windows

Van toepassing op:

• Microsoft Defender Vulnerability Management
• Microsoft Defender XDR
• Microsoft Defender voor servers, abonnement 2

Opmerking

Als u deze functie wilt gebruiken, hebt u Microsoft Defender Vulnerability Management Standalone nodig of als u al een klant van Microsoft Defender voor Eindpunt Abonnement 2 bent, de Defender Vulnerability Management-invoegtoepassing.

Geverifieerde scan voor Windows biedt de mogelijkheid om scans uit te voeren op onbeheerde Windows-apparaten. U kunt zich op afstand richten op IP-bereiken of hostnamen en Windows-services scannen door Microsoft Defender Vulnerability Management referenties op te geven voor externe toegang tot de apparaten. Zodra de betreffende onbeheerde apparaten zijn geconfigureerd, worden ze regelmatig gescand op softwareproblemen. Standaard wordt de scan elke vier uur uitgevoerd met opties om dit interval te wijzigen of slechts één keer uit te voeren.

Beveiligingsbeheerders kunnen vervolgens de meest recente beveiligingsaanbeveling bekijken en onlangs gedetecteerde beveiligingsproblemen voor het doelapparaat bekijken in de Microsoft Defender-portal.

Tip

Wist u dat u alle functies in Microsoft Defender Vulnerability Management gratis kunt uitproberen? Meer informatie over hoe u zich kunt aanmelden voor een gratis proefversie.

Scannerinstallatie

Net als bij een door het netwerkapparaat geverifieerde scan, hebt u een scanapparaat nodig waarop de scanner is geïnstalleerd. Als u de scanner nog niet hebt geïnstalleerd, raadpleegt u De scanner installeren voor stappen voor het downloaden en installeren ervan.

Opmerking

Er zijn geen wijzigingen vereist voor bestaande geïnstalleerde scanners.

Voorwaarden

In de volgende sectie vindt u de vereisten die u moet configureren voor het gebruik van geverifieerde scan voor Windows.

Account scannen

Een scanaccount is vereist voor externe toegang tot de apparaten. Dit moet een door de groep beheerd serviceaccount (gMsa) zijn.

Opmerking

Het gMSA-account wordt aangeraden een minst bevoegde account te zijn met alleen de vereiste scanmachtigingen en is ingesteld om het wachtwoord regelmatig te laten verlopen.

Een gMsa-account maken:

1. Voer het volgende uit op uw domeincontroller in een PowerShell-venster:

   New-ADServiceAccount -Name gmsa1 -PrincipalsAllowedToRetrieveManagedPassword scanner-win11-i$ -KerberosEncryptionType RC4, AES128, AES256 -Verbose
   

   • gmsa1 staat voor de naam van het account dat u maakt en scanner-win11-I$ staat voor de computernaam waar de scanneragent wordt uitgevoerd. Alleen deze computer kan het accountwachtwoord ophalen. U kunt een door komma's gescheiden lijst met computers opgeven.
   • Het wijzigen van een bestaand account kan worden uitgevoerd met Get-ADServiceAccount en Set-ADServiceAccount

2. Als u het AD-serviceaccount wilt installeren, voert u het volgende uit op de computer waarop de scanneragent wordt uitgevoerd met behulp van een PowerShell-venster met verhoogde bevoegdheid:

   Install-ADServiceAccount -Identity gmsa1
   

Als uw PowerShell deze opdrachten niet herkent, betekent dit waarschijnlijk dat u een vereiste PowerShell-module mist. Instructies voor het installeren van de module variëren afhankelijk van uw besturingssysteem. Zie Aan de slag met door groep beheerde serviceaccounts voor meer informatie.

Apparaten die moeten worden gescand

Gebruik de onderstaande tabel voor richtlijnen voor de vereiste configuraties, samen met de machtigingen die nodig zijn voor het scanaccount, op elk apparaat dat moet worden gescand:

Opmerking

De onderstaande stappen zijn slechts één aanbevolen manier om de machtigingen te configureren op elk apparaat dat moet worden gescand en maakt gebruik van de groep Gebruikers van prestatiemeter. U kunt de machtigingen ook op de volgende manieren configureren:

• Voeg het account toe aan een andere gebruikersgroep en geef alle vereiste machtigingen voor die groep.
• Geef deze machtigingen expliciet aan het scanaccount.

Zie Een groep apparaten configureren met groepsbeleid als u de machtiging wilt configureren en toepassen op een groep apparaten die moeten worden gescand met behulp van een groepsbeleid.

Vereisten voor te scannen apparaten	Beschrijving
Windows Management Instrumentation (WMI) is ingeschakeld	Externe Windows Management Instrumentation (WMI) inschakelen: Controleer of de Windows Management Instrumentation-service wordt uitgevoerd. Ga naar Configuratiescherm>Alle Configuratiescherm Items>Windows Defender Firewall-toepassingen>toegestaan en controleer of Windows Management Instrumentation (WMI) is toegestaan via Windows Firewall.
Het scanaccount is lid van de groep Gebruikers van prestatiemeter	Het scanaccount moet lid zijn van de groep Prestatiemetergebruikers op het apparaat dat moet worden gescand.
De groep Gebruikers van prestatiemeter heeft de machtigingen Account inschakelen en Extern inschakelen voor de hoofd-/CIMV2 WMI-naamruimte	Ga als volgt te werk om deze machtigingen te controleren of in te schakelen: Voer wmimgmt.msc uit. Klik met de rechtermuisknop op WMI-besturingselement (lokaal) en selecteer Eigenschappen. Ga naar het tabblad Beveiliging. Selecteer de relevante WMI-naamruimte en selecteer Beveiliging. Voeg de opgegeven groep toe en selecteer om de specifieke machtigingen toe te staan. Selecteer Geavanceerd, kies de opgegeven vermelding en selecteer Bewerken. Stel Van toepassing op deze naamruimte en subnaamruimten in.
De groep Gebruikers van prestatiemeter moet machtigingen hebben voor DCOM-bewerkingen	Ga als volgt te werk om deze machtigingen te controleren of in te schakelen: Voer dcomcnfg uit. Navigeer naar Component Services>Computers>Mijn computer. Klik met de rechtermuisknop op Deze computer en kies Eigenschappen. Ga naar het tabblad COM-beveiliging. Ga naar Machtigingen voor starten en activeren en selecteer Limieten bewerken. Voeg de opgegeven groep toe en selecteer om externe activering toe te staan.

Een groep apparaten met groepsbeleid configureren

Met een groepsbeleid kunt u bulksgewijs de vereiste configuraties en de vereiste machtigingen voor het scanaccount toepassen op een groep apparaten die moeten worden gescand.

Volg deze stappen op een domeincontroller om tegelijkertijd een groep apparaten te configureren:

Stap	Omschrijving
een nieuw groepsbeleid-object Creatie	Open op de domeincontroller de groepsbeleid Beheerconsole. Volg deze stappen om een groepsbeleid-object te Creatie. Zodra uw groepsbeleid Object (GPO) is gemaakt, klikt u met de rechtermuisknop op het groepsbeleidsobject en selecteert u Bewerken om de groepsbeleid Management Editor console te openen en voert u de onderstaande stappen uit.
Windows Management Instrumentation (WMI) inschakelen	Externe Windows Management Instrumentation (WMI) inschakelen: Ga naar Computerconfiguratiebeleid>>Windows-instellingen>Beveiligingsinstellingen>Systeemservices. Klik met de rechtermuisknop op Windows Management Instrumentation. Selecteer het vak Deze beleidsinstelling definiëren en kies Automatisch.
WMI via de firewall toestaan	Windows Management Instrumentation (WMI) via de firewall toestaan: Ga naar Computerconfiguratiebeleid>>Windows-instellingen>Beveiligingsinstellingen>Windows Defender Firewall en Geavanceerde regels voorbinnenkomende beveiliging>. Klik met de rechtermuisknop en selecteer Nieuwe regel. Kies Vooraf gedefinieerd en selecteer Windows Management Instrumentation (WMI) in de lijst. Selecteer Volgende. Schakel het selectievakje Windows Management Instrumentation (WMI-In) in . Selecteer Volgende. Selecteer De verbinding toestaan. Selecteer vervolgens Voltooien. Klik met de rechtermuisknop op de zojuist toegevoegde regel en selecteer Eigenschappen. Ga naar het tabblad Geavanceerd en schakel de opties Privé en Openbaar uit, omdat alleen Domein vereist is.
Machtigingen verlenen om DCOM-bewerkingen uit te voeren	Machtigingen verlenen om DCOM-bewerkingen uit te voeren: Ga naar Computerconfiguratiebeleid>>Windows-instellingen>Beveiligingsinstellingen>Lokaal beleid>Beveiligingsbewerkingen. Klik met de rechtermuisknop op DCOM: Beperkingen voor het starten van machines in SDDL-syntaxis (Security Descriptor Definition Language) en selecteer Eigenschappen. Selecteer het vak Deze beleidsinstelling definiëren en selecteer Beveiliging bewerken. Voeg de gebruiker of groep toe waaraan u machtigingen verleent en selecteer Externe activering.
Verleen machtigingen aan de WMI-naamruimte Root\CIMV2 door een PowerShell-script uit te voeren via groepsbeleid:	Creatie een PowerShell-script. Zie het PowerShell-voorbeeldscript verderop in dit artikel voor een aanbevolen script dat u kunt aanpassen aan uw behoeften. Ga naar Computerconfiguratiebeleid>>Windows-instellingen>Scripts (opstarten/afsluiten)>Opstarten Ga naar het tabblad PowerShell-scripts . Selecteer Bestanden weergeven en kopieer het script dat u hebt gemaakt naar deze map Ga terug naar de configuratievensters van scripts en selecteer Toevoegen. Voer de naam van het script in.

Voorbeeld van PowerShell-script

Gebruik het volgende PowerShell-script als uitgangspunt om machtigingen te verlenen aan de WMI-naamruimte Root\CIMV2 via groepsbeleid:

Param ()

Process {
    $ErrorActionPreference = "Stop"
    $accountSID = "S-1-5-32-558" # Performance Monitor Users built-in group, please change or pass parameter as you wish
    $computerName = "."

    $remoteparams = @{ComputerName=$computerName}
    $invokeparams = @{Namespace="root\cimv2";Path="__systemsecurity=@"} + $remoteParams

    $output = Invoke-WmiMethod @invokeparams -Name GetSecurityDescriptor
    if ($output.ReturnValue -ne 0) {
        throw "GetSecurityDescriptor failed: $($output.ReturnValue)"
    }

    $acl = $output.Descriptor

    $CONTAINER_INHERIT_ACE_FLAG = 0x2
    $ACCESS_MASK = 0x21 # Enable Account + Remote Enable

    $ace = (New-Object System.Management.ManagementClass("win32_Ace")).CreateInstance()
    $ace.AccessMask = $ACCESS_MASK
    $ace.AceFlags = $CONTAINER_INHERIT_ACE_FLAG

    $trustee = (New-Object System.Management.ManagementClass("win32_Trustee")).CreateInstance()
    $trustee.SidString = $accountSID
    $ace.Trustee = $trustee

    $ACCESS_ALLOWED_ACE_TYPE = 0x0

    $ace.AceType = $ACCESS_ALLOWED_ACE_TYPE

    $acl.DACL += $ace.psobject.immediateBaseObject

    $setparams = @{Name="SetSecurityDescriptor";ArgumentList=$acl.psobject.immediateBaseObject} + $invokeParams

    $output = Invoke-WmiMethod @setparams
    if ($output.ReturnValue -ne 0) {
        throw "SetSecurityDescriptor failed: $($output.ReturnValue)"
    }
}

Zodra het GPO-beleid is toegepast op een apparaat, worden alle vereiste instellingen toegepast en kan uw gMSA-account het apparaat openen en scannen.

Een nieuwe geverifieerde scan configureren

Een nieuwe geverifieerde scan configureren:

1. Ga naar Instellingen>Apparaatdetectie>Geverifieerde scans in de Microsoft Defender-portal.

2. Selecteer Nieuwe scan toevoegen , kies Door Windows geverifieerde scan en selecteer Volgende.

   

3. Voer een scannaam in.

4. Selecteer het scanapparaat: het onboarded apparaat dat u gebruikt om de onbeheerde apparaten te scannen.

5. Voer het doel (bereik) in: de IP-adresbereiken of hostnamen die u wilt scannen. U kunt de adressen invoeren of een CSV-bestand importeren. Als u een bestand importeert, worden handmatig toegevoegde adressen overschreven.

6. Selecteer het scaninterval: standaard wordt de scan elke vier uur uitgevoerd. U kunt het scaninterval wijzigen of slechts één keer laten uitvoeren door 'Niet herhalen' te selecteren.

7. Kies uw verificatiemethode : er zijn twee opties waaruit u kunt kiezen:

   • Kerberos (voorkeur)
   • Onderhandelen

   Opmerking

   De onderhandelingsoptie valt terug op NTLM in gevallen waarin Kerberos mislukt. Het gebruik van NTLM wordt afgeraden omdat het geen beveiligd protocol is.

8. Voer de referenties in die Microsoft Defender Vulnerability Management gebruikt voor externe toegang tot de apparaten:

   • Azure KeyVault gebruiken: Als u uw referenties beheert in Azure KeyVault, kunt u de Azure KeyVault-URL en de naam van het Azure KeyVault-geheim invoeren die toegankelijk zijn voor het scanapparaat om referenties op te geven
   • Voor de waarde van het Azure KeyVault-geheim gebruikt u gMSA-accountdetails in de indeling Domein; Gebruikersnaam

9. Selecteer Volgende om de testscan uit te voeren of over te slaan. Zie Netwerkapparaten scannen en toevoegen voor meer informatie over testscans.

10. Selecteer Volgende om de instellingen te controleren en selecteer vervolgens Verzenden om uw nieuwe geverifieerde scan te maken.

Opmerking

Omdat de geverifieerde scanner momenteel gebruikmaakt van een versleutelingsalgoritme dat niet compatibel is met Federal Information Processing Standards (FIPS), kan de scanner niet werken wanneer een organisatie het gebruik van FIPS-compatibele algoritmen afdwingt.

Als u algoritmen wilt toestaan die niet compatibel zijn met FIPS, stelt u de volgende waarde in het register in voor de apparaten waarop de scanner wordt uitgevoerd: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy met een DWORD-waarde met de naam Ingeschakeld en de waarde van 0x0

FIPS-compatibele algoritmen worden alleen gebruikt met betrekking tot afdelingen en instanties van de Verenigde Staten federale overheid.

Geverifieerde scan voor Windows-API's

U kunt API's gebruiken om een nieuwe scan te maken en alle bestaande geconfigureerde scans in uw organisatie weer te geven. Zie voor meer informatie:

• Alle scandefinities ophalen
• Een scandefinitie toevoegen, verwijderen of bijwerken
• Alle scanagents ophalen
• Scanagent ophalen op id
• Scangeschiedenis per definitie ophalen
• Scangeschiedenis per sessie ophalen

Verwante artikelen

• Netwerkapparaten