Skanowanie uwierzytelnione dla systemu Windows

  • Artykuł

Dotyczy:

Uwaga

Aby korzystać z tej funkcji, musisz Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender autonomiczną lub jeśli jesteś już klientem Ochrona punktu końcowego w usłudze Microsoft Defender planie 2, luka w zabezpieczeniach usługi Defender Dodatek do zarządzania.

Skanowanie uwierzytelnione dla systemu Windows umożliwia uruchamianie skanowania na niezarządzanych urządzeniach z systemem Windows. Możesz zdalnie kierować dane według zakresów adresów IP lub nazw hostów i skanować usługi systemu Windows, zapewniając Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender z poświadczeniami umożliwiającymi zdalny dostęp do urządzeń. Po skonfigurowaniu docelowych urządzeń niezarządzanych będą regularnie skanowane pod kątem luk w zabezpieczeniach oprogramowania. Domyślnie skanowanie będzie uruchamiane co cztery godziny z opcjami zmiany tego interwału lub uruchamiania go tylko raz.

Administratorzy zabezpieczeń mogą następnie zapoznać się z najnowszymi zaleceniami dotyczącymi zabezpieczeń i przejrzeć niedawno odnalezione luki w zabezpieczeniach dla urządzenia docelowego w portalu Microsoft Defender.

Porada

Czy wiesz, że możesz bezpłatnie wypróbować wszystkie funkcje w Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender? Dowiedz się, jak utworzyć konto bezpłatnej wersji próbnej.

Instalacja skanera

Podobnie jak w przypadku skanowania uwierzytelnionego na urządzeniu sieciowym , potrzebne będzie urządzenie skanujące z zainstalowanym skanerem. Jeśli nie masz jeszcze zainstalowanego skanera, zobacz Instalowanie skanera , aby uzyskać instrukcje dotyczące pobierania i instalowania skanera.

Uwaga

W przypadku wcześniej zainstalowanych skanerów nie są wymagane żadne zmiany.

Wymagania wstępne

Poniższa sekcja zawiera listę wymagań wstępnych, które należy skonfigurować w celu używania skanowania uwierzytelnionego dla systemu Windows.

Skanowanie konta

Konto skanowania jest wymagane do zdalnego uzyskiwania dostępu do urządzeń. Musi to być konto usługi zarządzane przez grupę (gMsa).

Uwaga

Zalecamy, aby konto gMSA było najmniej uprzywilejowanym kontem z tylko wymaganymi uprawnieniami do skanowania i jest ustawione na regularne cykliczne używanie hasła.

Aby utworzyć konto gMsa:

  1. Na kontrolerze domeny w oknie programu PowerShell uruchom następujące polecenie:

    New-ADServiceAccount -Name gmsa1 -PrincipalsAllowedToRetrieveManagedPassword scanner-win11-i$ -KerberosEncryptionType RC4, AES128, AES256 -Verbose
    • gmsa1 oznacza nazwę konta, które tworzysz, a scanner-win11-I$ oznacza nazwę maszyny, na której będzie uruchamiany agent skanera. Tylko ta maszyna będzie mogła pobrać hasło konta. Możesz podać listę maszyn rozdzielonych przecinkami.
    • Modyfikowanie istniejącego konta można wykonać za pomocą funkcji Get-ADServiceAccount i Set-ADServiceAccount

  2. Aby zainstalować konto usługi AD, na maszynie, na której agent skanera będzie uruchamiany przy użyciu okna programu PowerShell z podwyższonym poziomem uprawnień, uruchom polecenie:

    Install-ADServiceAccount -Identity gmsa1

Jeśli program PowerShell nie rozpoznaje tych poleceń, prawdopodobnie oznacza to, że brakuje wymaganego modułu programu PowerShell. Instrukcje dotyczące instalowania modułu różnią się w zależności od systemu operacyjnego. Aby uzyskać więcej informacji, zobacz Wprowadzenie z kontami usług zarządzanymi przez grupę.

Urządzenia do skanowania

Skorzystaj z poniższej tabeli, aby uzyskać wskazówki dotyczące wymaganych konfiguracji oraz uprawnienia wymagane do skanowania konta skanowania na każdym urządzeniu:

Uwaga

Poniższe kroki to tylko jeden z zalecanych sposobów konfigurowania uprawnień na każdym urządzeniu do skanowania i użycia grupy monitor wydajności Użytkownicy. Uprawnienia można również skonfigurować w następujący sposób:

  • Dodaj konto do innej grupy użytkowników i przyznaj wszystkie uprawnienia wymagane do tej grupy.
  • Nadaj te uprawnienia jawnie kontu skanowania.

Aby skonfigurować i zastosować uprawnienia do grupy urządzeń do skanowania przy użyciu zasad grupy, zobacz Konfigurowanie grupy urządzeń przy użyciu zasad grupy.

Wymagania dotyczące urządzeń do skanowania Opis
Instrumentacja zarządzania windows (WMI) jest włączona Aby włączyć zdalną instrumentację zarządzania windows (WMI):
  • Sprawdź, czy usługa instrumentacji zarządzania systemem Windows jest uruchomiona.
  • Przejdź do obszaru> Panel sterowania Wszystkie elementy> Panel sterowania Windows Defender Zapora>dozwolone aplikacje i upewnij się, że instrumentacja zarządzania Windows (WMI) jest dozwolona za pośrednictwem Zapory systemu Windows.
Skanowanie konta jest członkiem grupy monitor wydajności Użytkownicy Konto skanowania musi być członkiem grupy monitor wydajności Użytkownicy na urządzeniu do skanowania.
monitor wydajności grupa Użytkownicy ma uprawnienia "Włącz konto" i "Włączanie zdalne" w przestrzeni nazw Główne/CIMV2 WMI Aby zweryfikować lub włączyć te uprawnienia:
  • Uruchom plik wmimgmt.msc.
  • Kliknij prawym przyciskiem myszy kontrolkę WMI (local) i wybierz pozycję Właściwości.
  • Przejdź do karty Zabezpieczenia.
  • Wybierz odpowiednią przestrzeń nazw usługi WMI i wybierz pozycję Zabezpieczenia.
  • Dodaj określoną grupę i wybierz opcję zezwalania na określone uprawnienia.
  • Wybierz pozycję Zaawansowane, wybierz określony wpis i wybierz pozycję Edytuj.
  • Ustaw opcję Dotyczy na wartość "Ta przestrzeń nazw i podnazwy".
monitor wydajności grupa Użytkownicy powinna mieć uprawnienia do operacji DCOM Aby zweryfikować lub włączyć te uprawnienia:
  • Uruchom polecenie dcomcnfg.
  • Przejdź dopozycji Komputeryusług składników>>Mój komputer.
  • Kliknij prawym przyciskiem myszy pozycję Mój komputer i wybierz pozycję Właściwości.
  • Przejdź do karty Zabezpieczenia COM.
  • Przejdź do obszaru Uprawnienia uruchamiania i aktywacji i wybierz pozycję Edytuj limity.
  • Dodaj określoną grupę i wybierz opcję zezwalania na aktywację zdalną.

Konfigurowanie grupy urządzeń przy użyciu zasad grupy

Zasady grupy umożliwiają zbiorcze stosowanie wymaganych konfiguracji, a także uprawnień wymaganych dla konta skanowania do grupy urządzeń, które mają zostać zeskanowane.

Wykonaj następujące kroki na kontrolerze domeny, aby skonfigurować grupę urządzeń w tym samym czasie:

Krok Opis
Twórca nowy obiekt zasady grupy
  • Na kontrolerze domeny otwórz konsolę zarządzania zasady grupy.
  • Wykonaj następujące kroki, aby Twórca obiekt zasady grupy.
  • Po utworzeniu obiektu zasady grupy (GPO) kliknij prawym przyciskiem myszy obiekt zasad grupy i wybierz pozycję Edytuj, aby otworzyć konsolę Redaktor zarządzania zasady grupy i wykonać poniższe kroki.
Włączanie instrumentacji zarządzania windows (WMI) Aby włączyć zdalną instrumentację zarządzania windows (WMI):
  • Przejdź dopozycji Zasadykonfiguracji> komputeraUstawienia>> systemu WindowsUstawienia> zabezpieczeńUsługi systemowe.
  • Kliknij prawym przyciskiem myszy instrumentację zarządzania windows.
  • Wybierz pole Definiowanie tego ustawienia zasad i wybierz pozycję Automatyczne.
Zezwalaj na korzystanie z usługi WMI przez zaporę Aby zezwolić na instrumentację zarządzania windows (WMI) przez zaporę:
  • Przejdź dopozycji Zasadykonfiguracji> komputeraUstawienia>>systemu Windows Ustawienia> zabezpieczeń Windows Defender Zapora i zaawansowanereguły ruchu przychodzącego zabezpieczeń>.
  • Kliknij prawym przyciskiem myszy i wybierz pozycję Nowa reguła.
  • Wybierz pozycję Wstępnie zdefiniowane i wybierz pozycję Instrumentacja zarządzania windows (WMI) z listy. Następnie wybierz pozycję Dalej.
  • Zaznacz pole wyboru Instrumentacja zarządzania windows (WMI-In ). Następnie wybierz pozycję Dalej.
  • Wybierz pozycję Zezwalaj na połączenie. Następnie wybierz pozycję Zakończ.
  • Kliknij prawym przyciskiem myszy nowo dodaną regułę i wybierz pozycję Właściwości.
  • Przejdź do karty Zaawansowane i usuń zaznaczenie opcji Prywatne i publiczne , ponieważ wymagana jest tylko domena .
Udzielanie uprawnień do wykonywania operacji DCOM Aby udzielić uprawnień do wykonywania operacji DCOM:
  • Przejdź dopozycji Zasady>konfiguracji> komputeraUstawienia>systemu Windows Ustawienia> zabezpieczeńOperacje zabezpieczeń zasad >lokalnych.
  • Kliknij prawym przyciskiem myszy pozycję DCOM: Ograniczenia uruchamiania maszyny w składni Języka definicji deskryptora zabezpieczeń (SDDL) i wybierz pozycję Właściwości.
  • Wybierz pozycję Zdefiniuj to ustawienie zasad i wybierz pozycję Edytuj zabezpieczenia.
  • Dodaj użytkownika lub grupę, do których udzielasz uprawnień, i wybierz pozycję Aktywacja zdalna.
Przyznaj uprawnienia do przestrzeni nazw Root\CIMV2 WMI, uruchamiając skrypt programu PowerShell za pośrednictwem zasad grupy:
  • Twórca skrypt programu PowerShell. Zobacz przykładowy skrypt programu PowerShell w dalszej części tego artykułu, aby uzyskać zalecany skrypt, który można zmodyfikować zgodnie z potrzebami.
  • Przejdź do pozycjiZasady>konfiguracji> komputera Skryptyustawień> systemu Windows(uruchamianie/zamykanie)uruchamianie>
  • Przejdź do karty Skrypty programu PowerShell .
  • Wybierz pozycję Pokaż pliki i skopiuj utworzony skrypt do tego folderu
  • Wróć do okien konfiguracji skryptów i wybierz pozycję Dodaj.
  • Wprowadź nazwę skryptu.

Przykładowy skrypt programu PowerShell

Użyj następującego skryptu programu PowerShell jako punktu początkowego, aby udzielić uprawnień do przestrzeni nazw Root\CIMV2 WMI za pośrednictwem zasad grupy:

Param ()

Process {
    $ErrorActionPreference = "Stop"
    $accountSID = "S-1-5-32-558" # Performance Monitor Users built-in group, please change or pass parameter as you wish
    $computerName = "."

    $remoteparams = @{ComputerName=$computerName}
    $invokeparams = @{Namespace="root\cimv2";Path="__systemsecurity=@"} + $remoteParams

    $output = Invoke-WmiMethod @invokeparams -Name GetSecurityDescriptor
    if ($output.ReturnValue -ne 0) {
        throw "GetSecurityDescriptor failed: $($output.ReturnValue)"
    }

    $acl = $output.Descriptor

    $CONTAINER_INHERIT_ACE_FLAG = 0x2
    $ACCESS_MASK = 0x21 # Enable Account + Remote Enable

    $ace = (New-Object System.Management.ManagementClass("win32_Ace")).CreateInstance()
    $ace.AccessMask = $ACCESS_MASK
    $ace.AceFlags = $CONTAINER_INHERIT_ACE_FLAG

    $trustee = (New-Object System.Management.ManagementClass("win32_Trustee")).CreateInstance()
    $trustee.SidString = $accountSID
    $ace.Trustee = $trustee

    $ACCESS_ALLOWED_ACE_TYPE = 0x0

    $ace.AceType = $ACCESS_ALLOWED_ACE_TYPE

    $acl.DACL += $ace.psobject.immediateBaseObject

    $setparams = @{Name="SetSecurityDescriptor";ArgumentList=$acl.psobject.immediateBaseObject} + $invokeParams

    $output = Invoke-WmiMethod @setparams
    if ($output.ReturnValue -ne 0) {
        throw "SetSecurityDescriptor failed: $($output.ReturnValue)"
    }
}

Po zastosowaniu zasad obiektu zasad grupy do urządzenia zostaną zastosowane wszystkie wymagane ustawienia, a konto usługi gMSA będzie mogło uzyskać dostęp do urządzenia i je zeskanować.

Konfigurowanie nowego uwierzytelnionego skanowania

Aby skonfigurować nowe uwierzytelnione skanowanie:

  1. Przejdź do pozycji Ustawienia>Odnajdywanie urządzeń>Uwierzytelnione skanowania w portalu Microsoft Defender.

  2. Wybierz pozycję Dodaj nowe skanowanie i wybierz pozycję Skanowanie uwierzytelnione w systemie Windows , a następnie wybierz pozycję Dalej.

    Zrzut ekranu przedstawiający ekran dodawania nowego uwierzytelnionego skanowania

  3. Wprowadź nazwę skanowania.

  4. Wybierz urządzenie skanujące: dołączone urządzenie, którego użyjesz do skanowania urządzeń niezarządzanych.

  5. Wprowadź wartość Target (zakres): zakresy adresów IP lub nazwy hostów, które chcesz zeskanować. Możesz wprowadzić adresy lub zaimportować plik CSV. Zaimportowanie pliku spowoduje zastąpienie wszystkich ręcznie dodanych adresów.

  6. Wybierz interwał skanowania: domyślnie skanowanie będzie uruchamiane co cztery godziny, możesz zmienić interwał skanowania lub uruchomić go tylko raz, wybierając pozycję "Nie powtarzaj".

  7. Wybierz metodę uwierzytelniania — dostępne są dwie opcje do wyboru:

    • Kerberos (preferowane)
    • Negocjować

    Uwaga

    Opcja Negotiate spowoduje powrót do NTLM w przypadkach, gdy protokół Kerberos upadnie. Używanie protokołu NTLM nie jest zalecane, ponieważ nie jest to protokół bezpieczny.

  8. Wprowadź poświadczenia, których Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender będzie używać do zdalnego uzyskiwania dostępu do urządzeń:

    • Użyj usługi Azure KeyVault: Jeśli zarządzasz poświadczeniami w usłudze Azure KeyVault, możesz wprowadzić adres URL usługi Azure KeyVault i nazwę wpisu tajnego usługi Azure KeyVault, do których będzie uzyskiwany dostęp urządzenie skanujące w celu podania poświadczeń
    • W przypadku wartości wpisu tajnego usługi Azure KeyVault użyj szczegółów konta gMSA w formacie Domena; Nazwę użytkownika

  9. Wybierz pozycję Dalej , aby uruchomić lub pominąć skanowanie testowe. Aby uzyskać więcej informacji na temat skanowania testowego, zobacz Skanowanie i dodawanie urządzeń sieciowych.

  10. Wybierz pozycję Dalej , aby przejrzeć ustawienia, a następnie wybierz pozycję Prześlij , aby utworzyć nowe uwierzytelnione skanowanie.

Uwaga

Ponieważ uwierzytelniony skaner obecnie używa algorytmu szyfrowania, który nie jest zgodny z federalnymi standardami przetwarzania informacji (FIPS), skaner nie może działać, gdy organizacja wymusza użycie algorytmów zgodnych ze standardem FIPS.

Aby zezwolić na algorytmy niezgodne z usługą FIPS, ustaw następującą wartość w rejestrze dla urządzeń, na których będzie uruchamiany skaner: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy z wartością DWORD o nazwie Włączone i wartością 0x0

Algorytmy zgodne ze standardem FIPS są używane tylko w odniesieniu do departamentów i agencji Stany Zjednoczone rządu federalnego.

Uwierzytelnione skanowanie interfejsów API systemu Windows

Interfejsy API umożliwiają tworzenie nowego skanowania i wyświetlanie wszystkich istniejących skonfigurowanych skanów w organizacji. Więcej informacji można znaleźć w następujących artykułach: