Godkendt scanning til Windows
Gælder for:
- Microsoft Defender Vulnerability Management
- Microsoft Defender XDR
- Microsoft Defender til Servers Plan 2
Vigtigt!
Denne funktion frarådes i slutningen af november 2025 og understøttes ikke efter denne dato. Du kan få flere oplysninger om denne ændring i ofte stillede spørgsmål om udfasning af Windows-godkendt scanning.
Godkendt scanning til Windows giver mulighed for at køre scanninger på ikke-administrerede Windows-enheder. Du kan fjerntilslutte efter IP-intervaller eller værtsnavne og scanne Windows-tjenester ved at give Admininstration af håndtering af sikkerhedsrisici til Microsoft Defender med legitimationsoplysninger for at få fjernadgang til enhederne. Når de målrettede ikke-administrerede enheder er konfigureret, scannes de jævnligt for softwaresårbarheder. Scanningen kører som standard hver fjerde time med indstillinger for at ændre dette interval eller kun køre én gang.
Bemærk!
Hvis du vil bruge denne funktion, skal du have Admininstration af håndtering af sikkerhedsrisici til Microsoft Defender separat, eller hvis du allerede er Microsoft Defender for Endpoint Plan 2-kunde, skal du Administration af håndtering af sikkerhedsrisici til Defender tilføjelsesprogram.
Sikkerhedsadministratorer kan derefter se de seneste sikkerhedsanbefalinger og gennemse de senest registrerede sikkerhedsrisici for den målrettede enhed på Microsoft Defender portalen.
Tip
Vidste du, at du kan prøve alle funktionerne i Admininstration af håndtering af sikkerhedsrisici til Microsoft Defender gratis? Få mere at vide om, hvordan du tilmelder dig en gratis prøveversion.
Scanner Installation
På samme måde som med en scanning, der er godkendt af netværksenheden , skal du bruge en scanningsenhed, hvor scanneren er installeret. Hvis du ikke allerede har installeret scanneren, skal du se Installér scanneren for at få trin til, hvordan du downloader og installerer den.
Bemærk!
Der kræves ingen ændringer for allerede installerede scannere.
Forudsætninger
I følgende afsnit vises de forudsætninger, du skal konfigurere for at bruge Godkendt scanning til Windows.
Scanningskonto
Der kræves en scanningskonto for at få fjernadgang til enhederne. Dette skal være en gruppeadministrerede tjenestekonto (gMsa).
Bemærk!
Vi anbefaler, at gMSA-kontoen er en konto med færrest rettigheder og kun de påkrævede scanningstilladelser, og at den er indstillet til at skifte adgangskoden regelmæssigt.
Sådan opretter du en gMsa-konto:
Kør på din domænecontroller i et PowerShell-vindue:
New-ADServiceAccount -Name gmsa1 -PrincipalsAllowedToRetrieveManagedPassword scanner-win11-i$ -KerberosEncryptionType RC4, AES128, AES256 -Verbose
- gmsa1 står for navnet på den konto, du opretter, og scanner-win11-I$ står for det computernavn, hvor scanneragenten skal køre. Det er kun denne computer, der kan hente kontoens adgangskode. Du kan angive en kommasepareret liste over maskiner.
- Ændring af en eksisterende konto kan udføres med Get-ADServiceAccount og Set-ADServiceAccount
Hvis du vil installere AD-tjenestekontoen, skal du køre følgende på den computer, hvor scanneragenten kører ved hjælp af et PowerShell-vindue med administratorrettigheder:
Install-ADServiceAccount -Identity gmsa1
Hvis din PowerShell ikke genkender disse kommandoer, betyder det sandsynligvis, at du mangler et påkrævet PowerShell-modul. Instruktioner til, hvordan du installerer modulet, varierer afhængigt af operativsystemet. Du kan få flere oplysninger under Introduktion med gruppeadministrerede tjenestekonti.
Enheder, der skal scannes
Brug nedenstående tabel for at få vejledning til de påkrævede konfigurationer sammen med de tilladelser, der er nødvendige for scanningskontoen, på hver enhed, der skal scannes:
Bemærk!
Nedenstående trin er kun én anbefalet måde at konfigurere tilladelserne på hver enhed, der skal scannes, og bruger gruppen Brugere af ydelsesmåler. Du kan også konfigurere tilladelserne på følgende måder:
- Føj kontoen til en anden brugergruppe, og giv alle de tilladelser, der kræves til den pågældende gruppe.
- Giv disse tilladelser eksplicit til scanningskontoen.
Hvis du vil konfigurere og anvende tilladelsen på en gruppe enheder, der skal scannes ved hjælp af en gruppepolitik, skal du se Konfigurer en gruppe enheder med en gruppepolitik.
Krav til enheder, der skal scannes | Beskrivelse |
---|---|
WMI (Windows Management Instrumentation) er aktiveret | Sådan aktiverer du WMI (Remote Windows Management Instrumentation):
|
Scanningskontoen er medlem af gruppen Brugere af ydelsesmåler | Scanningskontoen skal være medlem af gruppen Brugere af ydelsesmåler på den enhed, der skal scannes. |
Brugergruppen Ydelsesmåler har tilladelserne 'Aktivér konto' og 'Fjernaktiver' i rod-/CIMV2 WMI-navneområdet | Sådan bekræfter eller aktiverer du disse tilladelser:
|
Gruppen Brugere af Ydelsesmåler skal have tilladelser til DCOM-handlinger | Sådan bekræfter eller aktiverer du disse tilladelser:
|
Konfigurer en gruppe enheder med en gruppepolitik
En gruppepolitik giver dig mulighed for at masseanvende de påkrævede konfigurationer samt de tilladelser, der kræves til scanningskontoen, på en gruppe af enheder, der skal scannes.
Følg disse trin på en domænecontroller for at konfigurere en gruppe enheder på samme tid:
Skridt | Beskrivelse |
---|---|
Opret et nyt Gruppepolitik objekt |
|
Aktivér WMI (Windows Management Instrumentation) | Sådan aktiverer du WMI (Remote Windows Management Instrumentation):
|
Tillad WMI via firewallen | Sådan tillader du WMI (Windows Management Instrumentation) gennem firewallen:
|
Tildel tilladelser til at udføre DCOM-handlinger | Sådan tildeler du tilladelser til at udføre DCOM-handlinger:
|
Tildel tilladelser til rod\CIMV2 WMI-navneområdet ved at køre et PowerShell-script via gruppepolitik: |
|
Eksempel på PowerShell-script
Brug følgende PowerShell-script som udgangspunkt for at give tilladelser til Rod\CIMV2 WMI-navneområdet via gruppepolitik:
Param ()
Process {
$ErrorActionPreference = "Stop"
$accountSID = "S-1-5-32-558" # Performance Monitor Users built-in group, please change or pass parameter as you wish
$computerName = "."
$remoteparams = @{ComputerName=$computerName}
$invokeparams = @{Namespace="root\cimv2";Path="__systemsecurity=@"} + $remoteParams
$output = Invoke-WmiMethod @invokeparams -Name GetSecurityDescriptor
if ($output.ReturnValue -ne 0) {
throw "GetSecurityDescriptor failed: $($output.ReturnValue)"
}
$acl = $output.Descriptor
$CONTAINER_INHERIT_ACE_FLAG = 0x2
$ACCESS_MASK = 0x21 # Enable Account + Remote Enable
$ace = (New-Object System.Management.ManagementClass("win32_Ace")).CreateInstance()
$ace.AccessMask = $ACCESS_MASK
$ace.AceFlags = $CONTAINER_INHERIT_ACE_FLAG
$trustee = (New-Object System.Management.ManagementClass("win32_Trustee")).CreateInstance()
$trustee.SidString = $accountSID
$ace.Trustee = $trustee
$ACCESS_ALLOWED_ACE_TYPE = 0x0
$ace.AceType = $ACCESS_ALLOWED_ACE_TYPE
$acl.DACL += $ace.psobject.immediateBaseObject
$setparams = @{Name="SetSecurityDescriptor";ArgumentList=$acl.psobject.immediateBaseObject} + $invokeParams
$output = Invoke-WmiMethod @setparams
if ($output.ReturnValue -ne 0) {
throw "SetSecurityDescriptor failed: $($output.ReturnValue)"
}
}
Når politikken for gruppepolitik er anvendt på en enhed, anvendes alle de påkrævede indstillinger, og din gMSA-konto kan få adgang til og scanne enheden.
Konfigurer en ny godkendt scanning
Sådan konfigurerer du en ny godkendt scanning:
Gå til Indstillinger>Enhedsregistrering>Godkendte scanninger på Microsoft Defender-portalen.
Vælg Tilføj ny scanning , og vælg Windows-godkendt scanning , og vælg Næste.
Angiv et scanningsnavn.
Vælg scanningsenheden: Den onboardede enhed, du vil bruge til at scanne de ikke-administrerede enheder.
Angiv destinationen (området): De IP-adresseområder eller værtsnavne, du vil scanne. Du kan enten angive adresserne eller importere en CSV-fil. Import af en fil tilsidesætter alle manuelt tilføjede adresser.
Vælg scanningsintervallet: Som standard køres scanningen hver fjerde time. Du kan ændre scanningsintervallet eller kun få det kørt én gang ved at vælge 'Gentag ikke'.
Vælg din godkendelsesmetode – der er to muligheder at vælge imellem:
- Kerberos (foretrukket)
- Forhandle
Bemærk!
Indstillingen Aftal vil falde tilbage til NTLM i tilfælde, hvor Kerberos mislykkes. Det anbefales ikke at bruge NTLM, da det ikke er en sikker protokol.
Angiv de legitimationsoplysninger Admininstration af håndtering af sikkerhedsrisici til Microsoft Defender bruger til at få fjernadgang til enhederne:
- Brug azure KeyVault: Hvis du administrerer dine legitimationsoplysninger i Azure KeyVault, kan du angive URL-adressen til Azure KeyVault og det hemmelige Azure KeyVault-navn, som scanningsenheden skal have adgang til for at angive legitimationsoplysninger
- Brug gMSA-kontooplysninger i formatet Domæne for værdien af Azure KeyVault-hemmeligheden . Brugernavn
Vælg Næste for at køre eller springe testscanningen over. Du kan finde flere oplysninger om testscanninger under Scan og tilføj netværksenheder.
Vælg Næste for at gennemse indstillingerne, og vælg derefter Send for at oprette din nye godkendte scanning.
Bemærk!
Da den godkendte scanner i øjeblikket bruger en krypteringsalgoritme, der ikke er kompatibel med FIPS (Federal Information Processing Standards), kan scanneren ikke fungere, når en organisation gennemtvinger brugen af FIPS-kompatible algoritmer.
Hvis du vil tillade algoritmer, der ikke er kompatible med FIPS, skal du angive følgende værdi i registreringsdatabasen for de enheder, hvor scanneren skal køre: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy med en DWORD-værdi med navnet Aktiveret og værdien af 0x0
FIPS-kompatible algoritmer bruges kun i forbindelse med afdelinger og agenturer i den USA føderale regering.
Godkendt scanning for Windows-API'er
Du kan bruge API'er til at oprette en ny scanning og få vist alle eksisterende konfigurerede scanninger i din organisation. Du kan finde flere oplysninger under:
- Hent alle scanningsdefinitioner
- Tilføj, slet eller opdater en scanningsdefinition
- Hent alle scanningsagenter
- Hent scanningsagent efter id
- Hent scanningshistorik pr. definition
- Hent scanningshistorik efter session