Partilhar via

Configurar a monitorização do Ponto Final do Windows

  • Artigo

Este artigo descreve como configurar a Monitorização de Pontos Finais do Windows (WEM) para ter Microsoft Defender para sistemas Windows de forma seletiva e ativa.

O WEM pode fornecer informações mais focadas e precisas sobre os seus dispositivos Windows, como níveis de service pack.

Protocolos suportados

Atualmente, o único protocolo suportado para a Monitorização do Ponto Final do Windows com o Defender para IoT é o WMI, a linguagem de script padrão da Microsoft para gerir sistemas Windows.

Pré-requisitos

Antes de efetuar os procedimentos neste artigo, tem de ter:

Configurar a regra de firewall necessária

Configure uma regra de firewall que abra o tráfego de saída do sensor para a sub-rede digitalizada com a porta UDP 135 e todas as portas TCP acima de 1024.

Configurar a análise de domínios WMI

Antes de poder configurar uma análise WEM a partir do sensor, tem de configurar a análise de domínios WMI no computador Windows que irá analisar.

Este procedimento descreve como configurar a análise de WMI com um Objeto de Política de Grupo (GPO), atualizar as definições da firewall, definir permissões para o espaço de nomes WMI e definir um grupo local.

Pré-requisitos para a análise de domínios WMI

  • Certifique-se de que o serviço Windows Management Instrumentation (winmgmt) está no modo de início automático.
  • Crie um utilizador com o nome wmiuser. Certifique-se de que este utilizador é membro dos Utilizadores de domínio no seu computador Windows.

Configurar um Objeto de Política de Grupo (GPO)

  1. No seu computador Windows, crie um novo GPO com o nome WMIAccess.

  2. Clique com o botão direito do rato no novo GPO WMIAccess e selecione Editar.

  3. Na janela editor de gestão de Política de Grupo, selecione Configuração > do Computador Definições de Segurança Definições > de Segurança Políticas > Locais Opções > de Segurança.

  4. Navegue para e faça duplo clique na política de sintaxe DCOM: Restrições de Acesso ao Computador na Linguagem de Definição do Descritor de Segurança (SDDL) para abrir a janela de propriedades no separador Definição da Política de Segurança do Modelo .

    Utilize os seguintes passos para configurar o acesso a esta política:

    1. Selecione Editar Segurança e, em seguida, na caixa de diálogo Permissão de Acesso , selecione Adicionar.

    2. Na caixa Introduza os nomes dos objetos a selecionar , introduza wmiuser. Selecione Verificar Nomes para verificar a definição e, em seguida, selecione OK.

      O wmiuser (wmiuser@DOMAIN.local) está agora listado na caixa de diálogo Permissão de Acesso .

    3. Na caixa de diálogo Permissão de Acesso :

      1. Na lista Nomes de grupos ou utilizadores , selecione wmiuser.
      2. Na caixa Permissões para INÍCIO de Sessão ANÓNIMO , selecione Permitirpara Acesso Local e Acesso Remoto.

      Selecione OK para fechar a caixa de diálogo Permissões de Acesso .

  5. Novamente na janela editor de gestão do Política de Grupo, certifique-se de que tem > As Opções de Segurança das Definições de Segurança das Definições >> de Computador do Windows selecionadas>.

  6. Navegue para e faça duplo clique na política de sintaxe DCOM: Restrições de Iniciação do Computador na Linguagem de Definição do Descritor de Segurança (SDDL) para abrir a janela de propriedades no separador Definição da Política de Segurança do Modelo .

    Utilize os seguintes passos para configurar o acesso a esta política:

    1. Selecione Editar Segurança e, em seguida, na caixa de diálogo Permissão de Acesso , selecione Adicionar.

    2. Na caixa Introduza os nomes dos objetos a selecionar , introduza wmiuser. Selecione Verificar Nomes para verificar a definição e, em seguida, selecione OK.

      O wmiuser (wmiuser@DOMAIN.local) está agora listado na caixa de diálogo Permissão de Acesso .

    3. Na caixa de diálogo Permissão de Acesso :

      1. Na lista Nomes de grupos ou utilizadores , selecione wmiuser.
      2. Na caixa Permissões para Administradores , selecione Permitir para as opções Iniciação Local, Iniciação Remota, Ativação Local e Ativação Remota .

      Selecione OK para fechar a caixa de diálogo Permissões de Acesso .

Configurar a firewall

  1. Navegue de volta para o SEU GPO WMIAccess que criou anteriormente e selecione Editar.

  2. Na caixa de diálogo editor de gestão de Política de Grupo, aceda a Configuração > do Computador Definições de Segurança definições > do Windows e expanda o nó Firewall do Windows Defender com Segurança Avançada.

  3. Em Firewall do Windows Defender com Segurança Avançada, clique com o botão direito do rato em Regras de Entrada e selecione Nova Regra...

  4. No Assistente de Nova Regra de Entrada, selecione Predefinido e, em seguida, selecione Windows Management Instrumentation no menu pendente.

  5. Selecione Seguinte para continuar. No painel Regras Predefinidas , certifique-se de que todas as regras na caixa Regras estão selecionadas.

  6. Selecione Seguinte para continuar e, em seguida, selecione Permitir que a ligação>Termine.

Configurar permissões para o espaço de nomes WMI

Este procedimento descreve como definir permissões para o seu espaço de nomes WMI e não pode ser concluído com um GPO normal.

Se estiver a utilizar uma conta não administrativa para executar as análises do WEM, este procedimento é crítico e tem de ser executado exatamente como indicado para permitir tentativas de início de sessão com a WMI.

  1. No seu computador Windows, abra uma caixa de diálogo Executar e introduza wmimgmt.msc.

  2. Na caixa de diálogo wmimgmt - [Console Root\WMI Control (Local)] , clique com o botão direito do rato em Controlo WMI (Local) e selecione Propriedades.

  3. Na caixa de diálogo Propriedades do Controlo WMI (Local), selecione o separador >SegurançaSegurança> Raiz.

  4. Na caixa de diálogo Segurança para ROOT\SECURITY , certifique-se de que a conta wmiuser está listada na caixa Nomes de grupos ou utilizadores :

    1. Selecione Adicionar e, na caixa Introduzir os nomes dos objetos a selecionar , introduza wmiuser.
    2. Selecione Verificar Nomes>OK.

  5. Na caixa Nomes de grupos ou utilizadores , selecione a conta wmiuser . Na caixa Permissões para Utilizadores Autenticados , selecione Permitir para as seguintes permissões:

    • Executar Métodos
    • Ativar Conta
    • Ativar Remotamente
    • Ler Segurança

  6. Na caixa de diálogo Segurança para ROOT\SECURITY , selecione Avançadas. Em seguida, na caixa de diálogo Definições de Segurança Avançadas para Raiz, selecione a conta >wmiuserEditar.

  7. Na caixa de diálogo Entrada de Permissões para Raiz , no menu pendente Aplicar A , selecione Este espaço de nomes e todos os subnamespaces.

    Nota

    Tem de aplicar permissões recursivamente a toda a árvore.

  8. Selecione OK até todas as caixas de diálogo que abriu neste procedimento estarem fechadas.

Adicionar a sua conta wmiuser ao grupo de Utilizadores do Registo de Desempenho local

  1. Inicie sessão no seu computador Windows com um utilizador que sabe que faz parte do grupo Utilizadores do Registo de Desempenho .

  2. Abra uma caixa de diálogo Executar e introduza compmgmt.msc.

  3. Na caixa de diálogo Gestão de Computadores , selecione Gestão de Computadores (Local) > Ferramentas do Sistema Grupos > e > Utilizadores Locais e faça duplo clique em Utilizadores do Registo de Desempenho.

  4. Selecione Adicionar e, em seguida, em Introduzir os nomes dos objetos a selecionar, introduza wmiuser para adicionar o wmiuser ao grupo. Selecione Verificar Nomes e, em seguida, OK até todas as caixas de diálogo que abriu neste procedimento estarem fechadas.

Configurar uma análise WEM na consola do sensor

Para configurar uma análise WEM:

  1. Na consola do sensor OT, selecione Definições do sistemaMonitorização de rede >Monitorização>ativa>do Windows Endpoint Monitoring (WMI).

  2. Na secção Editar configuração de intervalos de análise , introduza os intervalos que pretende analisar e adicione o nome de utilizador e a palavra-passe necessários para aceder a esses recursos.

    • Recomendamos que introduza valores com privilégios de administrador local ou de domínio para obter os melhores resultados de análise.
    • Selecione Importar intervalos para importar um ficheiro de .csv com um conjunto de intervalos que pretende analisar. Certifique-se de que o ficheiro .csv inclui os seguintes dados: FROM, TO, USER, PASSWORD, DISABLE, where DISABLE está definido como TRUE/FALSE.
    • Para obter uma lista .csv de todos os intervalos atualmente configurados para análises WEM, selecione Exportar intervalos.

  3. Na área Análise, defina se pretende executar a análise em intervalos, a cada poucas horas ou por uma hora específica. Se selecionar Por hora específica, é apresentada uma opção Adicionar tempo de análise adicional, que pode utilizar para configurar várias análises em execução em horas específicas.

    Embora possa configurar a análise WEM para ser executada sempre que quiser, apenas uma análise WEM pode ser executada de cada vez.

  4. Selecione Guardar e, em seguida, efetue um dos seguintes procedimentos:

    • Para executar a sua análise manualmente agora, selecione Aplicar alterações>Análise manual.

    • Para permitir que a análise seja executada mais tarde, conforme configurado, selecione Aplicar alterações e, em seguida, feche o painel conforme necessário.

Para ver os resultados da análise:

  1. Quando a análise estiver concluída, volte à página Definições> do sistemaMonitorização de rede Monitorização>ativa> doPonto Final do Windows (WMI) na consola do sensor.

  2. Selecione Ver Resultados da Análise. Um ficheiro .csv com os resultados da análise é transferido para o seu computador.

Passos seguintes

Para obter mais informações, consulte: