Konfigurieren der Windows-Endpunktüberwachung

In diesem Artikel wird beschrieben, wie Sie die Windows-Endpunktüberwachung (Windows Endpoint Monitoring, WEM) so konfigurieren, dass Microsoft Defender für IoT selektiv und aktiv Windows-Systeme testen kann.

WEM bietet stärker fokussierte und genauere Informationen über Ihre Windows-Geräte, z. B. Service Pack-Stufen.

Unterstützte Protokolle

Derzeit ist WMI, die Standardskriptsprache von Microsoft für die Verwaltung von Windows-Systemen, das einzige Protokoll, das für die Windows-Endpunktüberwachung mit Defender für IoT unterstützt wird.

Voraussetzungen

Für die Verfahren in diesem Artikel ist Folgendes erforderlich:

• Ein installierter, konfigurierter und aktivierter OT-Netzwerksensor.

• Zugriff auf Ihren OT-Netzwerksensor als Administratorbenutzer*in. Weitere Informationen finden Sie unter Lokale Benutzer und Rollen für die OT-Überwachung mit Defender for IoT.

• Erfüllen der Voraussetzungen in Konfigurieren der aktiven Überwachung für OT-Netzwerke und Bestätigen, dass die aktive Überwachung für Ihr Netzwerk infrage kommt.

• Damit Sie eine WEM-Überprüfung in der OT-Sensorkonsole konfigurieren können, müssen Sie auch eine Firewallregel und die WMI-Domänenüberprüfung auf Ihrem Windows-Computer konfigurieren.

Konfigurieren der erforderlichen Firewallregel

Konfigurieren Sie eine Firewallregel, die ausgehenden Datenverkehr vom Sensor in das überprüfte Subnetz über den UDP-Port 135 und alle TCP-Ports oberhalb von 1024 zulässt.

Konfigurieren der WMI-Domänenüberprüfung

Damit Sie eine WEM-Überprüfung für den Sensor konfigurieren können, müssen Sie die WMI-Domänenüberprüfung auf dem überprüften Windows-Computer konfigurieren.

In diesem Verfahren wird beschrieben, wie Sie die WMI-Überprüfung mithilfe eines Gruppenrichtlinienobjekts (GPO) konfigurieren, die Firewalleinstellungen aktualisieren, Berechtigungen für den WMI-Namespace festlegen und eine lokale Gruppe definieren.

Voraussetzungen für die WMI-Domänenüberprüfung

• Stellen Sie sicher, dass sich der Windows-Verwaltungsinstrumentationsdienst (winmgmt) automatisch gestartet wird.
• Erstellen Sie einen Benutzer namens wmiuser. Stellen Sie sicher, dass dieser Benutzer zu den Domänenbenutzern auf Ihrem Windows-Computer gehört.

Konfigurieren eines Gruppenrichtlinienobjekts (GPO)

1. Erstellen Sie auf Ihrem Windows-Computer ein neues GPO namens WMIAccess.

2. Klicken Sie mit der rechten Maustaste auf das neue WMIAccess-GPO, und wählen Sie dann Bearbeiten aus.

3. Wählen Sie im Gruppenrichtlinienverwaltungs-Editor-Fenster Computerkonfiguration> Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen aus.

4. Navigieren Sie zur Richtlinie DCOM: Computerzugriffseinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax und doppelklicken Sie darauf, um das Eigenschaftenfenster mit der Registerkarte Einstellung für die Sicherheitsrichtlinienvorlage zu öffnen.

   Führen Sie die folgenden Schritte aus, um den Zugriff für diese Richtlinie zu konfigurieren:

   1. Wählen Sie Sicherheit bearbeiten und dann im Dialogfeld Zugriffsberechtigung die Option Hinzufügen aus.

   2. Geben Sie im Feld Geben Sie die zu verwendenden Objektnamen ein den Namen wmiuser ein. Wählen Sie Namen überprüfen aus, um die Einstellung zu überprüfen, und wählen Sie dann OK aus.

      wmiuser (wmiuser@DOMAIN.local) wird jetzt im Dialogfeld Zugriffsberechtigung aufgeführt.

   3. Gehen Sie im Dialogfeld Zugriffsberechtigung folgendermaßen vor:

      1. Wählen Sie in der Liste Gruppen- oder Benutzernamen den Benutzer wmiuser aus.
      2. Wählen Sie im Feld Berechtigungen für anonyme Anmeldung die Option Zulassen für Lokaler Zugriff und für Remotezugriff aus.

      Wählen Sie OK aus, um das Dialogfeld Zugriffsberechtigungen zu schließen.

5. Vergewissern Sie sich, dass im Gruppenrichtlinienverwaltungs-Editor-Fenster Computerkonfiguration> Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen ausgewählt ist.

6. Navigieren Sie zur Richtlinie DCOM: Computerstarteinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax und doppelklicken Sie darauf, um das Eigenschaftenfenster mit der Registerkarte Einstellung für die Sicherheitsrichtlinienvorlage zu öffnen.

   Führen Sie die folgenden Schritte aus, um den Zugriff für diese Richtlinie zu konfigurieren:

   1. Wählen Sie Sicherheit bearbeiten und dann im Dialogfeld Zugriffsberechtigung die Option Hinzufügen aus.

   2. Geben Sie im Feld Geben Sie die zu verwendenden Objektnamen ein den Namen wmiuser ein. Wählen Sie Namen überprüfen aus, um die Einstellung zu überprüfen, und wählen Sie dann OK aus.

      wmiuser (wmiuser@DOMAIN.local) wird jetzt im Dialogfeld Zugriffsberechtigung aufgeführt.

   3. Gehen Sie im Dialogfeld Zugriffsberechtigung folgendermaßen vor:

      1. Wählen Sie in der Liste Gruppen- oder Benutzernamen den Benutzer wmiuser aus.
      2. Wählen Sie im Feld Berechtigungen für Administratoren die Option Zulassen für die Optionen Lokaler Start, Remotestart, Lokale Aktivierung und Remoteaktivierung aus.

      Wählen Sie OK aus, um das Dialogfeld Zugriffsberechtigungen zu schließen.

Konfigurieren der Firewall

1. Navigieren Sie zurück zum WMIAccess-GPO, das Sie zuvor erstellt haben, und wählen Sie Bearbeiten aus.

2. Navigieren Sie im Dialogfeld Gruppenrichtlinienverwaltungs-Editor zu Computerkonfiguration> Windows-Einstellungen > Sicherheitseinstellungen, und erweitern Sie den Knoten Windows Defender Firewall mit erweiterter Sicherheit.

3. Klicken Sie im Dialogfeld Windows Defender Firewall mit erweiterter Sicherheit mit der rechten Maustaste auf Eingehende Regeln, und wählen Sie Neue Regel... aus.

4. Wählen Sie Dialogfeld Assistent für neue eingehende Regel die Option Vordefiniert und dann im Dropdownmenü Windows-Verwaltungsinstrumentation aus.

5. Klicken Sie auf Weiter, um fortzufahren. Stellen Sie im Bereich Vordefinierte Regeln sicher, dass alle Regeln im Feld Regeln ausgewählt sind.

6. Wählen Sie Weiter aus, um fortzufahren, und wählen Sie dann Verbindung zulassen>Fertig stellen aus.

Konfigurieren der Berechtigungen für den WMI-Namespace

In diesem Verfahren wird beschrieben, wie Sie Berechtigungen für Ihren WMI-Namespace definieren, was mit einem regulären GPO nicht möglich ist.

Wenn Sie kein Administratorkonto für die Durchführung des WEM-Überprüfungen verwenden, ist dieses Verfahren wichtig und muss genau wie angewiesen ausgeführt werden, um Anmeldeversuche mit WMI zuzulassen.

1. Öffnen Sie auf Ihrem Windows-Computer ein Ausführen-Dialogfeld, und geben Sie wmimgmt.msc ein.

2. Klicken Sie im Dialogfeld WmiMgmt – [Konsolenstamm\WMI-Kontrolle (Lokal)] mit der rechten Maustaste auf WMI-Kontrolle (Lokal) und wählen Sie Eigenschaften aus.

3. Wählen Sie im Dialogfeld Eigenschaften von WMI-Kontrolle (lokal) die Registerkarte Sicherheiten>Root>Sicherheit aus.

4. Stellen Sie im Dialogfeld Sicherheit für ROOT\SECURITY sicher, dass das wmiuser-Konto im Feld Gruppen- oder Benutzernamen aufgeführt ist:

   1. Wählen Sie Hinzufügen aus, und geben Sie im Feld Geben Sie die zu verwendenden Objektnamen ein den Namen wmiuser ein.
   2. Wählen Sie Namen überprüfen>OK aus.

5. Wählen Sie im Feld Gruppen- oder Benutzernamen das wmiuser-Konto aus. Wählen Sie im Feld Berechtigungen für authentifizierte Benutzer die Option Zulassen für die folgenden Berechtigungen aus:

   • Methoden ausführen
   • Konto aktivieren
   • Remoteaktivierung
   • Sicherheit lesen

6. Wählen Sie im Dialogfeld Sicherheit für ROOT\SICHERHEIT die Option Erweitert aus. Wählen Sie dann im Dialogfeld Erweiterte Sicherheitseinstellungen für Root das wmiuser-Konto >Bearbeiten aus.

7. Wählen Sie im Dialogfeld Berechtigungseintrag für Root im Dropdownmenü Anwenden auf die Option Dieser und untergeordnete Namespaces aus.

   Hinweis

   Sie müssen Berechtigungen rekursiv auf die gesamte Struktur anwenden.

8. Wählen Sie OK aus, bis alle Dialogfelder, die Sie in diesem Verfahren geöffnet haben, geschlossen wurden.

Hinzufügen des wmiuser-Kontos zur lokalen Gruppe „Leistungsprotokollbenutzer“

1. Melden Sie sich bei Ihrem Windows-Computer mit einem Benutzer an, von dem Sie wissen, dass er zur Gruppe Leistungsprotokollbenutzer gehört.

2. Öffnen Sie ein Ausführen-Dialogfeld, und geben Sie compmgmt.msc ein.

3. Wählen Sie im Dialogfeld Computerverwaltung die Option Computerverwaltung (Lokal) > System > Lokale Benutzer und Gruppen> Gruppen aus, und doppelklicken Sie auf Leistungsprotokollbenutzer.

4. Wählen Sie Hinzufügen aus, und geben Sie dann in Geben Sie die zu verwendenden Objektnamen ein den Namen wmiuser ein, um wmiuser zur Gruppe hinzuzufügen. Wählen Sie Namen überprüfen und dann solange OK aus, bis alle Dialogfelder, die Sie in diesem Verfahren geöffnet haben, geschlossen wurden.

Konfigurieren einer WEM-Überprüfung in der Sensorkonsole

So konfigurieren Sie eine WEM-Überprüfung:

1. Wählen Sie in Ihrer OT-Sensorkonsole die Option Systemeinstellungen>Netzwerküberwachung>Aktive Suche>Windows-Endpunktüberwachung (WMI) aus.

2. Geben Sie im Abschnitt Konfiguration des Scanbereichs konfigurieren die Bereiche ein, die Sie überprüfen möchten, und fügen Sie den erforderlichen Benutzernamen und das Kennwort für den Zugriff auf die betreffenden Ressourcen hinzu.

   • Es wird empfohlen, Werte mit Domänen- oder lokalen Administratorberechtigungen einzugeben, um optimale Überprüfungsergebnisse zu erzielen.
   • Wählen Sie Bereiche importieren aus, um eine CSV-Datei mit den Bereichen zu importieren, die Sie überprüfen möchten. Achten Sie darauf, dass die CSV-Datei die folgenden Daten enthält: FROM, TO, USER, PASSWORD, DISABLE, wobei DISABLE auf TRUE/FALSE festgelegt ist.
   • Um eine CSV-Liste aller Bereiche zu erhalten, die derzeit für WEM-Überprüfungen konfiguriert sind, wählen Sie Bereiche exportieren aus.

3. Definieren Sie im Bereich Scan wird ausgeführt werden, ob Sie die Überprüfung in Intervallen, alle paar Stunden oder zu einer bestimmten Zeit ausführen möchten. Wenn Sie Zu bestimmter Zeit auswählen, wird eine zusätzliche Option zum Hinzufügen der Überprüfungszeit angezeigt, mit der Sie die Ausführung mehrerer Überprüfungen zu bestimmten Zeiten konfigurieren können.

   Obwohl Sie die Ausführung der WEM-Überprüfung beliebig oft konfigurieren können, kann jeweils nur eine WEM-Überprüfung ausgeführt werden.

4. Wählen Sie Auswählen aus, und führen Sie einen der folgenden Schritte aus:

   • Wenn Sie die Überprüfung jetzt manuell ausführen möchten, wählen Sie Änderungen übernehmen>Manuell überprüfen aus.

   • Um die Überprüfung später wie konfiguriert auszuführen, wählen Sie Änderungen übernehmen aus, und schließen Sie dann ggf. den Bereich.

So zeigen Sie die Überprüfungsergebnisse an:

1. Navigieren Sie nach Abschluss der Überprüfung zurück zur Seite Systemeinstellungen>Netzwerküberwachung>Aktive Suche>Windows-Endpunktüberwachung (WMI) der Sensorkonsole.

2. Wählen Sie Überprüfungsergebnisse anzeigen aus. Eine CSV-Datei mit den Scanergebnissen wird auf Ihren Computer heruntergeladen.

Nächste Schritte

Weitere Informationen finden Sie unter

• Erkennen Sie Windows-Workstations und -Server mit einem lokalen Skript
• Anzeigen des Gerätebestands über eine Sensorkonsole
• Anzeigen des Gerätebestands im Azure-Portal
• Konfigurieren Sie die aktive Überwachung für OT-Netzwerke
• Konfigurieren von DNS-Servern für die Reverse-Lookup-Auflösung für die OT-Überwachung »
• Importieren von Geräteinformationen in einen Sensor »