Del via

Godkendt scanning til Windows

  • Artikel

Gælder for:

Bemærk!

Hvis du vil bruge denne funktion, skal du bruge Admininstration af håndtering af sikkerhedsrisici til Microsoft Defender separat, eller hvis du allerede er Microsoft Defender for Endpoint Plan 2-kunde, tilføjelsesprogrammet Administration af sårbarheder i Defender.

Godkendt scanning til Windows giver mulighed for at køre scanninger på ikke-administrerede Windows-enheder. Du kan fjerntilslutte efter IP-intervaller eller værtsnavne og scanne Windows-tjenester ved at give Admininstration af håndtering af sikkerhedsrisici til Microsoft Defender med legitimationsoplysninger for at få fjernadgang til enhederne. Når de målrettede ikke-administrerede enheder er konfigureret, scannes de jævnligt for softwaresårbarheder. Scanningen kører som standard hver fjerde time med indstillinger for at ændre dette interval eller kun køre én gang.

Sikkerhedsadministratorer kan derefter se de seneste sikkerhedsanbefalinger og gennemse de senest registrerede sikkerhedsrisici for den målrettede enhed på Microsoft Defender portalen.

Tip

Vidste du, at du kan prøve alle funktionerne i Admininstration af håndtering af sikkerhedsrisici til Microsoft Defender gratis? Få mere at vide om, hvordan du tilmelder dig en gratis prøveversion.

Scanner Installation

På samme måde som med en scanning, der er godkendt af netværksenheden , skal du bruge en scanningsenhed, hvor scanneren er installeret. Hvis du ikke allerede har installeret scanneren, skal du se Installér scanneren for at få trin til, hvordan du downloader og installerer den.

Bemærk!

Der kræves ingen ændringer for allerede installerede scannere.

Forudsætninger

I følgende afsnit vises de forudsætninger, du skal konfigurere for at bruge Godkendt scanning til Windows.

Scanningskonto

Der kræves en scanningskonto for at få fjernadgang til enhederne. Dette skal være en gruppeadministrerede tjenestekonto (gMsa).

Bemærk!

Vi anbefaler, at gMSA-kontoen er en konto med færrest rettigheder og kun de påkrævede scanningstilladelser, og at den er indstillet til at skifte adgangskoden regelmæssigt.

Sådan opretter du en gMsa-konto:

  1. Kør på din domænecontroller i et PowerShell-vindue:

    New-ADServiceAccount -Name gmsa1 -PrincipalsAllowedToRetrieveManagedPassword scanner-win11-i$ -KerberosEncryptionType RC4, AES128, AES256 -Verbose
    • gmsa1 står for navnet på den konto, du opretter, og scanner-win11-I$ står for det computernavn, hvor scanneragenten skal køre. Det er kun denne computer, der kan hente kontoens adgangskode. Du kan angive en kommasepareret liste over maskiner.
    • Ændring af en eksisterende konto kan udføres med Get-ADServiceAccount og Set-ADServiceAccount

  2. Hvis du vil installere AD-tjenestekontoen, skal du køre følgende på den computer, hvor scanneragenten kører ved hjælp af et PowerShell-vindue med administratorrettigheder:

    Install-ADServiceAccount -Identity gmsa1

Hvis din PowerShell ikke genkender disse kommandoer, betyder det sandsynligvis, at du mangler et påkrævet PowerShell-modul. Instruktioner til, hvordan du installerer modulet, varierer afhængigt af operativsystemet. Du kan få flere oplysninger under Introduktion med gruppeadministrerede tjenestekonti.

Enheder, der skal scannes

Brug nedenstående tabel for at få vejledning til de påkrævede konfigurationer sammen med de tilladelser, der er nødvendige for scanningskontoen, på hver enhed, der skal scannes:

Bemærk!

Nedenstående trin er kun én anbefalet måde at konfigurere tilladelserne på hver enhed, der skal scannes, og bruger gruppen Brugere af ydelsesmåler. Du kan også konfigurere tilladelserne på følgende måder:

  • Føj kontoen til en anden brugergruppe, og giv alle de tilladelser, der kræves til den pågældende gruppe.
  • Giv disse tilladelser eksplicit til scanningskontoen.

Hvis du vil konfigurere og anvende tilladelsen på en gruppe enheder, der skal scannes ved hjælp af en gruppepolitik, skal du se Konfigurer en gruppe enheder med en gruppepolitik.

Krav til enheder, der skal scannes Beskrivelse
WMI (Windows Management Instrumentation) er aktiveret Sådan aktiverer du WMI (Remote Windows Management Instrumentation):
  • Kontrollér, at tjenesten Windows Management Instrumentation kører.
  • Gå til Kontrolpanel>Alle Kontrolpanel Elementer>Windows Defender Firewall>Tilladte programmer, og sørg for, at WMI (Windows Management Instrumentation) er tilladt via Windows Firewall.
Scanningskontoen er medlem af gruppen Brugere af ydelsesmåler Scanningskontoen skal være medlem af gruppen Brugere af ydelsesmåler på den enhed, der skal scannes.
Brugergruppen Ydelsesmåler har tilladelserne 'Aktivér konto' og 'Fjernaktiver' i rod-/CIMV2 WMI-navneområdet Sådan bekræfter eller aktiverer du disse tilladelser:
  • Kør wmimgmt.msc.
  • Højreklik på WMI-kontrolelement (lokal), og vælg Egenskaber.
  • Gå til fanen Sikkerhed.
  • Vælg det relevante WMI-navneområde, og vælg Sikkerhed.
  • Tilføj den angivne gruppe, og vælg for at tillade de specifikke tilladelser.
  • Vælg Avanceret, vælg den angivne post, og vælg Rediger.
  • Angiv Gælder for for "Dette navneområde og undernavneområder".
Gruppen Brugere af Ydelsesmåler skal have tilladelser til DCOM-handlinger Sådan bekræfter eller aktiverer du disse tilladelser:
  • Kør dcomcnfg.
  • Naviger til Component Services>Computers>My Computer.
  • Højreklik på Denne computer, og vælg Egenskaber.
  • Gå til fanen COM-sikkerhed.
  • Gå til Start- og aktiveringstilladelser, og vælg Rediger grænser.
  • Tilføj den angivne gruppe, og vælg for at tillade fjernaktivering.

Konfigurer en gruppe enheder med en gruppepolitik

En gruppepolitik giver dig mulighed for at masseanvende de påkrævede konfigurationer samt de tilladelser, der kræves til scanningskontoen, på en gruppe af enheder, der skal scannes.

Følg disse trin på en domænecontroller for at konfigurere en gruppe enheder på samme tid:

Trin Beskrivelse
Create et nyt Gruppepolitik objekt
  • Åbn administrationskonsollen for Gruppepolitik på domænecontrolleren.
  • Følg disse trin for at Create et Gruppepolitik objekt.
  • Når dit Gruppepolitik objekt (GPO) er oprettet, skal du højreklikke på dit gruppepolitikobjekt og vælge Rediger for at åbne Gruppepolitik Management-konsollen Editor og fuldføre nedenstående trin.
Aktivér WMI (Windows Management Instrumentation) Sådan aktiverer du WMI (Remote Windows Management Instrumentation):
  • Gå til Computerkonfigurationspolitikker>>Windows-indstillinger>Sikkerhedsindstillinger>Systemtjenester.
  • Højreklik på Windows Management Instrumentation.
  • Vælg feltet Definer denne politikindstilling , og vælg Automatisk.
Tillad WMI via firewallen Sådan tillader du WMI (Windows Management Instrumentation) gennem firewallen:
  • Gå til Computerkonfigurationspolitikker>>Windows-indstillinger>Sikkerhedsindstillinger>Windows Defender Firewall og Avancerede indgående sikkerhedsregler>.
  • Højreklik, og vælg Ny regel.
  • Vælg Foruddefineret , og vælg WMI (Windows Management Instrumentation) på listen. Vælg derefter Næste.
  • Markér afkrydsningsfeltet WMI-In (Windows Management Instrumentation). Vælg derefter Næste.
  • Vælg Tillad forbindelsen. Vælg derefter Udfør.
  • Højreklik på den nyligt tilføjede regel, og vælg Egenskaber.
  • Gå til fanen Avanceret, og fjern markeringen af indstillingerne Privat og Offentlig , da kun Domæne er påkrævet.
Tildel tilladelser til at udføre DCOM-handlinger Sådan tildeler du tilladelser til at udføre DCOM-handlinger:
  • Gå til Computerkonfigurationspolitikker>>Windows-indstillinger>Sikkerhedsindstillinger>Lokale politikker>Sikkerhedshandlinger.
  • Højreklik på DCOM: Begrænsninger for computerstart i SDDL-syntaks (Security Descriptor Definition Language), og vælg Egenskaber.
  • Vælg Definer denne politikindstilling , og vælg Rediger sikkerhed.
  • Tilføj den bruger eller gruppe, du tildeler tilladelser til, og vælg Fjernaktivering.
Tildel tilladelser til rod\CIMV2 WMI-navneområdet ved at køre et PowerShell-script via gruppepolitik:
  • Create et PowerShell-script. Se Eksemplet på PowerShell-scriptet senere i denne artikel for at få et anbefalet script, som du kan ændre efter dine behov.
  • Gå til Computerkonfigurationspolitikker>>Windows-indstillingsscripts>(start/lukning)>Start
  • Gå til fanen PowerShell-scripts .
  • Vælg Vis filer, og kopiér det script, du har oprettet, til denne mappe
  • Gå tilbage til konfigurationsvinduerne for scripts, og vælg Tilføj.
  • Angiv scriptnavnet.

Eksempel på PowerShell-script

Brug følgende PowerShell-script som udgangspunkt for at give tilladelser til Rod\CIMV2 WMI-navneområdet via gruppepolitik:

Param ()

Process {
    $ErrorActionPreference = "Stop"
    $accountSID = "S-1-5-32-558" # Performance Monitor Users built-in group, please change or pass parameter as you wish
    $computerName = "."

    $remoteparams = @{ComputerName=$computerName}
    $invokeparams = @{Namespace="root\cimv2";Path="__systemsecurity=@"} + $remoteParams

    $output = Invoke-WmiMethod @invokeparams -Name GetSecurityDescriptor
    if ($output.ReturnValue -ne 0) {
        throw "GetSecurityDescriptor failed: $($output.ReturnValue)"
    }

    $acl = $output.Descriptor

    $CONTAINER_INHERIT_ACE_FLAG = 0x2
    $ACCESS_MASK = 0x21 # Enable Account + Remote Enable

    $ace = (New-Object System.Management.ManagementClass("win32_Ace")).CreateInstance()
    $ace.AccessMask = $ACCESS_MASK
    $ace.AceFlags = $CONTAINER_INHERIT_ACE_FLAG

    $trustee = (New-Object System.Management.ManagementClass("win32_Trustee")).CreateInstance()
    $trustee.SidString = $accountSID
    $ace.Trustee = $trustee

    $ACCESS_ALLOWED_ACE_TYPE = 0x0

    $ace.AceType = $ACCESS_ALLOWED_ACE_TYPE

    $acl.DACL += $ace.psobject.immediateBaseObject

    $setparams = @{Name="SetSecurityDescriptor";ArgumentList=$acl.psobject.immediateBaseObject} + $invokeParams

    $output = Invoke-WmiMethod @setparams
    if ($output.ReturnValue -ne 0) {
        throw "SetSecurityDescriptor failed: $($output.ReturnValue)"
    }
}

Når politikken for gruppepolitik er anvendt på en enhed, anvendes alle de påkrævede indstillinger, og din gMSA-konto kan få adgang til og scanne enheden.

Konfigurer en ny godkendt scanning

Sådan konfigurerer du en ny godkendt scanning:

  1. Gå til Indstillinger>Enhedsregistrering>Godkendte scanningerMicrosoft Defender-portalen.

  2. Vælg Tilføj ny scanning , og vælg Windows-godkendt scanning , og vælg Næste.

    Skærmbillede af skærmen Tilføj ny godkendt scanning

  3. Angiv et scanningsnavn.

  4. Vælg scanningsenheden: Den onboardede enhed, du vil bruge til at scanne de ikke-administrerede enheder.

  5. Angiv destinationen (området): De IP-adresseområder eller værtsnavne, du vil scanne. Du kan enten angive adresserne eller importere en CSV-fil. Import af en fil tilsidesætter alle manuelt tilføjede adresser.

  6. Vælg scanningsintervallet: Som standard køres scanningen hver fjerde time. Du kan ændre scanningsintervallet eller kun få det kørt én gang ved at vælge 'Gentag ikke'.

  7. Vælg din godkendelsesmetode – der er to muligheder at vælge imellem:

    • Kerberos (foretrukket)
    • Forhandle

    Bemærk!

    Indstillingen Aftal vil falde tilbage til NTLM i tilfælde, hvor Kerberos mislykkes. Det anbefales ikke at bruge NTLM, da det ikke er en sikker protokol.

  8. Angiv de legitimationsoplysninger Admininstration af håndtering af sikkerhedsrisici til Microsoft Defender bruger til at få fjernadgang til enhederne:

    • Brug azure KeyVault: Hvis du administrerer dine legitimationsoplysninger i Azure KeyVault, kan du angive URL-adressen til Azure KeyVault og det hemmelige Azure KeyVault-navn, som scanningsenheden skal have adgang til for at angive legitimationsoplysninger
    • Brug gMSA-kontooplysninger i formatet Domæne for værdien af Azure KeyVault-hemmeligheden . Brugernavn

  9. Vælg Næste for at køre eller springe testscanningen over. Du kan finde flere oplysninger om testscanninger under Scan og tilføj netværksenheder.

  10. Vælg Næste for at gennemse indstillingerne, og vælg derefter Send for at oprette din nye godkendte scanning.

Bemærk!

Da den godkendte scanner i øjeblikket bruger en krypteringsalgoritme, der ikke er kompatibel med FIPS (Federal Information Processing Standards), kan scanneren ikke fungere, når en organisation gennemtvinger brugen af FIPS-kompatible algoritmer.

Hvis du vil tillade algoritmer, der ikke er kompatible med FIPS, skal du angive følgende værdi i registreringsdatabasen for de enheder, hvor scanneren skal køre: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy med en DWORD-værdi med navnet Aktiveret og værdien af 0x0

FIPS-kompatible algoritmer bruges kun i forbindelse med afdelinger og agenturer i den USA føderale regering.

Godkendt scanning for Windows-API'er

Du kan bruge API'er til at oprette en ny scanning og få vist alle eksisterende konfigurerede scanninger i din organisation. Du kan finde flere oplysninger under: