Authentifizierte Überprüfung für Windows

Gilt für:

• Microsoft Defender Sicherheitsrisikomanagement
• Microsoft Defender XDR
• Microsoft Defender für Server Plan 2

Hinweis

Um dieses Feature verwenden zu können, benötigen Sie Microsoft Defender Vulnerability Management Eigenständig oder, wenn Sie bereits ein Microsoft Defender for Endpoint Plan 2-Kunde sind, das Defender-Add-On für die Sicherheitsrisikoverwaltung.

Die authentifizierte Überprüfung für Windows bietet die Möglichkeit, Überprüfungen auf nicht verwalteten Windows-Geräten auszuführen. Sie können das Ziel remote nach IP-Adressbereichen oder Hostnamen richten und Windows-Dienste überprüfen, indem Sie Microsoft Defender Vulnerability Management mit Anmeldeinformationen für den Remotezugriff auf die Geräte bereitstellen. Nach der Konfiguration werden die nicht verwalteten Zielgeräte regelmäßig auf Softwarerisiken überprüft. Standardmäßig wird die Überprüfung alle vier Stunden mit Optionen ausgeführt, um dieses Intervall zu ändern oder nur einmal auszuführen.

Sicherheitsadministratoren können dann die neuesten Sicherheitsempfehlungen anzeigen und kürzlich entdeckte Sicherheitsrisiken für das Zielgerät im Microsoft Defender-Portal überprüfen.

Tipp

Wussten Sie, dass Sie alle Features in Microsoft Defender Vulnerability Management kostenlos testen können? Erfahren Sie, wie Sie sich für eine kostenlose Testversion registrieren.

Scannerinstallation

Ähnlich wie beim authentifizierten Scan des Netzwerkgeräts benötigen Sie ein Scangerät, auf dem der Scanner installiert ist. Wenn Sie den Scanner noch nicht installiert haben, finden Sie unter Installieren des Scanners die Schritte zum Herunterladen und Installieren des Scanners.

Hinweis

Für bereits installierte Scanner sind keine Änderungen erforderlich.

Voraussetzungen

Im folgenden Abschnitt werden die Voraussetzungen aufgeführt, die Sie für die Verwendung der authentifizierten Überprüfung für Windows konfigurieren müssen.

Überprüfen des Kontos

Für den Remotezugriff auf die Geräte ist ein Überprüfungskonto erforderlich. Hierbei muss es sich um ein gruppenverwaltetes Dienstkonto (Group Managed Service Account, gMsa) handeln.

Hinweis

Es wird empfohlen, dass das gMSA-Konto ein Konto mit den geringsten Rechten ist, das nur die erforderlichen Überprüfungsberechtigungen aufweist und so festgelegt ist, dass das Kennwort regelmäßig verwendet wird.

So erstellen Sie ein gMsa-Konto:

1. Führen Sie auf Ihrem Domänencontroller in einem PowerShell-Fenster Folgendes aus:

   New-ADServiceAccount -Name gmsa1 -PrincipalsAllowedToRetrieveManagedPassword scanner-win11-i$ -KerberosEncryptionType RC4, AES128, AES256 -Verbose
   

   • gmsa1 steht für den Namen des Kontos, das Sie erstellen, und scanner-win11-I$ steht für den Computernamen, auf dem der Scanner-Agent ausgeführt wird. Nur dieser Computer kann das Kontokennwort abrufen. Sie können eine durch Trennzeichen getrennte Liste von Computern bereitstellen.
   • Das Ändern eines vorhandenen Kontos kann mit Get-ADServiceAccount und Set-ADServiceAccount erfolgen.

2. Führen Sie zum Installieren des AD-Dienstkontos auf dem Computer, auf dem der Scanner-Agent mithilfe eines PowerShell-Fensters mit erhöhten Rechten ausgeführt wird, Folgendes aus:

   Install-ADServiceAccount -Identity gmsa1
   

Wenn Ihre PowerShell diese Befehle nicht erkennt, bedeutet dies wahrscheinlich, dass Ihnen ein erforderliches PowerShell-Modul fehlt. Die Anweisungen zum Installieren des Moduls variieren je nach Betriebssystem. Weitere Informationen finden Sie unter Erste Schritte mit gruppenverwalteten Dienstkonten.

Zu scannende Geräte

In der folgenden Tabelle finden Sie Anleitungen zu den erforderlichen Konfigurationen sowie zu den Berechtigungen, die für das Überprüfungskonto auf jedem zu scannenden Gerät erforderlich sind:

Hinweis

Die folgenden Schritte sind nur eine empfohlene Möglichkeit, die Berechtigungen auf jedem Gerät zu konfigurieren, die überprüft werden sollen, und verwenden die Gruppe Leistungsmonitor Benutzer. Sie können die Berechtigungen auch auf folgende Weise konfigurieren:

• Fügen Sie das Konto einer anderen Benutzergruppe hinzu, und erteilen Sie dieser Gruppe alle erforderlichen Berechtigungen.
• Erteilen Sie dem Überprüfungskonto diese Berechtigungen explizit.

Informationen zum Konfigurieren und Anwenden der Berechtigung auf eine Gruppe von Geräten, die mithilfe einer Gruppenrichtlinie überprüft werden sollen, finden Sie unter Konfigurieren einer Gruppe von Geräten mit einer Gruppenrichtlinie.

Anforderungen an zu scannende Geräte	Beschreibung
Windows-Verwaltungsinstrumentation (WMI) ist aktiviert	So aktivieren Sie die Windows-Verwaltungsinstrumentation (WMI) Überprüfen Sie, ob der Windows-Verwaltungsinstrumentationsdienst ausgeführt wird. Wechseln Sie zu Systemsteuerung>Alle Systemsteuerung Elemente>Windows Defender Firewall>Zulässige Anwendungen, und stellen Sie sicher, dass die Windows-Verwaltungsinstrumentation (WMI) über die Windows-Firewall zugelassen ist.
Das Überprüfen des Kontos ist Mitglied Leistungsmonitor Gruppe "Benutzer".	Das Überprüfungskonto muss Mitglied der Gruppe Leistungsmonitor Benutzer auf dem Gerät sein, das gescannt werden soll.
Leistungsmonitor Gruppe "Benutzer" verfügt über die Berechtigungen "Konto aktivieren" und "Remoteaktivierung" für den Root-/CIMV2-WMI-Namespace.	So überprüfen oder aktivieren Sie diese Berechtigungen: Führen Sie wmimgmt.msc aus. Klicken Sie mit der rechten Maustaste auf WMI-Steuerelement (Lokal), und wählen Sie Eigenschaften aus. Wechseln Sie zur Registerkarte Sicherheit. Wählen Sie den relevanten WMI-Namespace und dann Sicherheit aus. Fügen Sie die angegebene Gruppe hinzu, und wählen Sie aus, um die spezifischen Berechtigungen zuzulassen. Wählen Sie Erweitert aus, wählen Sie den angegebenen Eintrag und dann Bearbeiten aus. Legen Sie Gilt für auf "Dieser Namespace und Unternamespaces" fest.
Leistungsmonitor Gruppe "Benutzer" sollte über Berechtigungen für DCOM-Vorgänge verfügen	So überprüfen oder aktivieren Sie diese Berechtigungen: Führen Sie dcomcnfg aus. Navigieren Sie zu Komponentendienste>Computer>Mein Computer. Klicken Sie mit der rechten Maustaste auf Arbeitsplatz, und wählen Sie Eigenschaften aus. Wechseln Sie zur Registerkarte COM-Sicherheit. Wechseln Sie zu Start- und Aktivierungsberechtigungen , und wählen Sie Grenzwerte bearbeiten aus. Fügen Sie die angegebene Gruppe hinzu, und wählen Sie aus, um die Remoteaktivierung zuzulassen.

Konfigurieren einer Gruppe von Geräten mit einer Gruppenrichtlinie

Mit einer Gruppenrichtlinie können Sie die erforderlichen Konfigurationen sowie die für das Überprüfungskonto erforderlichen Berechtigungen in einem Massenvorgang auf eine Gruppe von Geräten anwenden, die gescannt werden sollen.

Führen Sie die folgenden Schritte auf einem Domänencontroller aus, um gleichzeitig eine Gruppe von Geräten zu konfigurieren:

Schritt	Beschreibung
Erstellen eines neuen Gruppenrichtlinienobjekts	Öffnen Sie auf dem Domänencontroller die Gruppenrichtlinie Management Console. Führen Sie die folgenden Schritte aus, um ein Gruppenrichtlinie-Objekt zu Create. Nachdem Ihr Gruppenrichtlinie Object (GPO) erstellt wurde, klicken Sie mit der rechten Maustaste auf Ihr Gruppenrichtlinienobjekt, und wählen Sie Bearbeiten aus, um die Gruppenrichtlinie Management Editor-Konsole zu öffnen, und führen Sie die folgenden Schritte aus.
Aktivieren der Windows-Verwaltungsinstrumentation (WMI)	So aktivieren Sie die Windows-Verwaltungsinstrumentation (WMI) Wechseln Sie zu Computerkonfigurationsrichtlinien>>Windows-Einstellungen>Sicherheitseinstellungen>Systemdienste. Klicken Sie mit der rechten Maustaste auf Windows-Verwaltungsinstrumentation. Wählen Sie das Feld Diese Richtlinieneinstellung definieren aus, und wählen Sie Automatisch aus.
WMI durch die Firewall zulassen	So lassen Sie die Windows-Verwaltungsinstrumentation (WMI) über die Firewall zu: Wechseln Sie zu Computerkonfigurationsrichtlinien>>Windows-Einstellungen>Sicherheitseinstellungen>Windows Defender Firewall und erweiterte Sicherheitsregeln> füreingehenden Datenverkehr. Klicken Sie mit der rechten Maustaste, und wählen Sie Neue Regel aus. Wählen Sie Vordefinierte und dann Windows-Verwaltungsinstrumentation (Windows Management Instrumentation, WMI) aus der Liste aus. Wählen Sie dann Weiter aus. Aktivieren Sie das Kontrollkästchen Windows-Verwaltungsinstrumentation (WMI-In). Wählen Sie dann Weiter aus. Wählen Sie Verbindung zulassen aus. Wählen Sie dann Fertig stellen aus. Klicken Sie mit der rechten Maustaste auf die neu hinzugefügte Regel, und wählen Sie Eigenschaften aus. Wechseln Sie zur Registerkarte Erweitert , und deaktivieren Sie die Optionen Privat und Öffentlich , da nur Domäne erforderlich ist.
Erteilen von Berechtigungen zum Ausführen von DCOM-Vorgängen	So erteilen Sie Berechtigungen zum Ausführen von DCOM-Vorgängen: Wechseln Sie zu Computerkonfigurationsrichtlinien>>Windows-Einstellungen>Sicherheitseinstellungen>Lokale Richtlinien>Sicherheitsvorgänge. Klicken Sie mit der rechten Maustaste auf DCOM: Einschränkungen für den Computerstart in der SDDL-Syntax (Security Descriptor Definition Language), und wählen Sie Eigenschaften aus. Wählen Sie das Feld Diese Richtlinieneinstellung definieren und dann Sicherheit bearbeiten aus. Fügen Sie den Benutzer oder die Gruppe hinzu, für den Sie Berechtigungen erteilen, und wählen Sie Remoteaktivierung aus.
Erteilen Sie Berechtigungen für den WMI-Namespace Root\CIMV2, indem Sie ein PowerShell-Skript über eine Gruppenrichtlinie ausführen:	Create ein PowerShell-Skript. Im PowerShell-Beispielskript weiter unten in diesem Artikel finden Sie ein empfohlenes Skript, das Sie entsprechend Ihren Anforderungen ändern können. Wechseln Sie zu Computerkonfigurationsrichtlinien>>Windows-Einstellungen>Skripts (Start/Herunterfahren)>Start Wechseln Sie zur Registerkarte PowerShell-Skripts . Wählen Sie Dateien anzeigen aus, und kopieren Sie das erstellte Skript in diesen Ordner. Kehren Sie zu den Skriptkonfigurationsfenstern zurück, und wählen Sie Hinzufügen aus. Geben Sie den Namen des Skripts ein.

Beispiel für PowerShell-Skript

Verwenden Sie das folgende PowerShell-Skript als Ausgangspunkt, um dem WMI-Namespace Root\CIMV2 über eine Gruppenrichtlinie Berechtigungen zu erteilen:

Param ()

Process {
    $ErrorActionPreference = "Stop"
    $accountSID = "S-1-5-32-558" # Performance Monitor Users built-in group, please change or pass parameter as you wish
    $computerName = "."

    $remoteparams = @{ComputerName=$computerName}
    $invokeparams = @{Namespace="root\cimv2";Path="__systemsecurity=@"} + $remoteParams

    $output = Invoke-WmiMethod @invokeparams -Name GetSecurityDescriptor
    if ($output.ReturnValue -ne 0) {
        throw "GetSecurityDescriptor failed: $($output.ReturnValue)"
    }

    $acl = $output.Descriptor

    $CONTAINER_INHERIT_ACE_FLAG = 0x2
    $ACCESS_MASK = 0x21 # Enable Account + Remote Enable

    $ace = (New-Object System.Management.ManagementClass("win32_Ace")).CreateInstance()
    $ace.AccessMask = $ACCESS_MASK
    $ace.AceFlags = $CONTAINER_INHERIT_ACE_FLAG

    $trustee = (New-Object System.Management.ManagementClass("win32_Trustee")).CreateInstance()
    $trustee.SidString = $accountSID
    $ace.Trustee = $trustee

    $ACCESS_ALLOWED_ACE_TYPE = 0x0

    $ace.AceType = $ACCESS_ALLOWED_ACE_TYPE

    $acl.DACL += $ace.psobject.immediateBaseObject

    $setparams = @{Name="SetSecurityDescriptor";ArgumentList=$acl.psobject.immediateBaseObject} + $invokeParams

    $output = Invoke-WmiMethod @setparams
    if ($output.ReturnValue -ne 0) {
        throw "SetSecurityDescriptor failed: $($output.ReturnValue)"
    }
}

Sobald die GPO-Richtlinie auf ein Gerät angewendet wurde, werden alle erforderlichen Einstellungen angewendet, und Ihr gMSA-Konto kann auf das Gerät zugreifen und es überprüfen.

Konfigurieren einer neuen authentifizierten Überprüfung

So konfigurieren Sie eine neue authentifizierte Überprüfung:

1. Wechseln Sie im Microsoft Defender-Portal zu Einstellungen>Geräteermittlung>Authentifizierte Überprüfungen.

2. Wählen Sie Neue Überprüfung hinzufügen und dann Windows-authentifizierte Überprüfung und dann Weiter aus.

   

3. Geben Sie einen Scannamen ein.

4. Wählen Sie das Gerät scannen aus: Das integrierte Gerät, das Sie zum Scannen der nicht verwalteten Geräte verwenden möchten.

5. Geben Sie das Ziel (Bereich) ein: Die IP-Adressbereiche oder Hostnamen, die Sie überprüfen möchten. Sie können entweder die Adressen eingeben oder eine CSV-Datei importieren. Beim Importieren einer Datei werden alle manuell hinzugefügten Adressen außer Kraft gesetzt.

6. Wählen Sie das Scanintervall aus: Standardmäßig wird die Überprüfung alle vier Stunden ausgeführt. Sie können das Überprüfungsintervall ändern oder nur einmal ausführen lassen, indem Sie "Nicht wiederholen" auswählen.

7. Wählen Sie Ihre Authentifizierungsmethode aus. Es stehen zwei Optionen zur Auswahl:

   • Kerberos (bevorzugt)
   • Verhandeln

   Hinweis

   Die Aushandlungsoption führt in Fällen, in denen Kerberos fehlschlägt, ein Fallback auf NTLM. Die Verwendung von NTLM wird nicht empfohlen, da es sich nicht um ein sicheres Protokoll handelt.

8. Geben Sie die Anmeldeinformationen ein, die Microsoft Defender Vulnerability Management für den Remotezugriff auf die Geräte verwenden:

   • Verwenden sie azure KeyVault: Wenn Sie Ihre Anmeldeinformationen in Azure KeyVault verwalten, können Sie die Azure KeyVault-URL und den Namen des Azure KeyVault-Geheimnisses eingeben, auf die das scannte Gerät zugreifen kann, um Anmeldeinformationen anzugeben.
   • Verwenden Sie für den Azure KeyVault-Geheimniswert gMSA-Kontodetails im Format Domäne; Nutzername

9. Wählen Sie Weiter aus, um den Testscan auszuführen oder zu überspringen. Weitere Informationen zu Testscans finden Sie unter Scannen und Hinzufügen von Netzwerkgeräten.

10. Wählen Sie Weiter aus, um die Einstellungen zu überprüfen, und wählen Sie dann Senden aus, um Ihre neue authentifizierte Überprüfung zu erstellen.

Hinweis

Da der authentifizierte Scanner derzeit einen Verschlüsselungsalgorithmus verwendet, der nicht mit den Federal Information Processing Standards (FIPS) konform ist, kann der Scanner nicht ausgeführt werden, wenn ein organization die Verwendung von FIPS-konformen Algorithmen erzwingt.

Um Algorithmen zuzulassen, die nicht mit FIPS kompatibel sind, legen Sie den folgenden Wert in der Registrierung für die Geräte fest, auf denen der Scanner ausgeführt wird: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy mit einem DWORD-Wert namens Enabled und dem Wert 0x0

FIPS-kompatible Algorithmen werden nur in Bezug auf Abteilungen und Behörden der USA Bundesregierung verwendet.

Authentifizierte Überprüfung für Windows-APIs

Sie können APIs verwenden, um eine neue Überprüfung zu erstellen und alle vorhandenen konfigurierten Überprüfungen in Ihrem organization anzuzeigen. Weitere Informationen finden Sie unter:

• Abrufen aller Scandefinitionen
• Hinzufügen, Löschen oder Aktualisieren einer Scandefinition
• Abrufen aller Scan-Agents
• Abrufen des Scan-Agents nach ID
• Abrufen des Scanverlaufs nach Definition
• Abrufen des Scanverlaufs nach Sitzung

Verwandte Artikel

• Netzwerkgeräte