Configuración de la supervisión de puntos de conexión de Windows

En este artículo se describe cómo configurar la supervisión de puntos de conexión de Windows (WEM) para que Microsoft Defender para IoT realice un sondeo selectivo y activo de los sistemas Windows.

WEM proporciona información más precisa y específica sobre los dispositivos Windows, como por ejemplo, los niveles de Service Pack.

Protocolos admitidos

Actualmente, el único protocolo admitido para la supervisión de puntos de conexión de Windows con Defender para IoT es WMI, el lenguaje de scripting estándar de Microsoft para administrar sistemas Windows.

Prerrequisitos

Antes de realizar los procedimientos de este artículo, tienes que:

• Un sensor de red de OT instalado, configurado y activado.

• Acceder al sensor de red de OT como usuario Administrador. Para obtener más información, consulte Usuarios y roles locales para la supervisión de OT con Defender para IoT.

• Haber completado los requisitos previos indicados en Configuración de la supervisión activa para redes de OT y haber confirmado que la supervisión activa es adecuada para la red.

• Para poder configurar un examen WEM desde la consola del sensor de OT, también deberá configurar una regla de firewall y el examen de dominios WMI en la máquina Windows.

Configuración de la regla de firewall necesaria

Configure una regla de firewall que abra el tráfico saliente del sensor a la subred examinada mediante el puerto UDP 135 y todos los puertos TCP por encima de 1024.

Configuración del examen de dominios WMI

Para poder configurar un examen WEM desde el sensor, debe configurar el examen de dominios WMI en la máquina Windows que va a examinar.

En este procedimiento se describe cómo configurar el examen de WMI mediante un objeto de directiva de grupo (GPO), actualizar la configuración del firewall, definir permisos para el espacio de nombres WMI y definir un grupo local.

Requisitos previos para el examen de dominios WMI

• Asegúrese de que el servicio Instrumental de administración de Windows (winmgmt) esté en el modo de inicio automático.
• Cree un usuario denominado wmiuser. Procura que este usuario sea miembro de los usuarios del dominio en el equipo Windows.

Configuración del objeto de directiva de grupo (GPO)

1. En el equipo Windows, cree un nuevo GPO denominado WMIAccess.

2. Haga click derecho en el nuevo GPO WMIAccess y seleccione Editar.

3. En la ventana del Editor de administración de directivas de grupo, seleccione Configuración del equipo > Configuración de Windows > Configuración de seguridad > Directivas locales > Opciones de seguridad.

4. Haga doble clic en la directiva de sintaxis DCOM: Restricciones de acceso a máquinas en la directiva de sintaxis del lenguaje de definición de descriptores de seguridad (SDDL) para abrir la ventana de propiedades en la pestaña Configuración de directiva de seguridad de plantilla.

   Siga estos pasos para configurar el acceso de esta directiva:

   1. Seleccione Editar seguridad y, a continuación, en el cuadro de diálogo Permiso de acceso, seleccione Agregar.

   2. En el cuadro Escriba los nombres de objeto que desea seleccionar, escriba wmiuser. Seleccione Comprobar nombres para comprobar la configuración y, a continuación, seleccione Aceptar.

      El wmiuser (wmiuser@DOMAIN.local) aparece ahora en el cuadro de diálogo Permiso de acceso.

   3. En el cuadro de diálogo Permiso de acceso:

      1. En la lista Nombres de grupo o usuario, seleccione wmiuser.
      2. En el cuadro Permisos para el INICIO DE SESIÓN ANÓNIMO, seleccione Permitir, tanto para el acceso local como para el acceso remoto.

      Seleccione Aceptar para cerrar el diálogo de Permisos de acceso.

5. De nuevo en la ventana editor de administración de directiva de grupo, asegúrese de estar en Configuración del equipo > Configuración de Windows > Configuración de seguridad > Directivas locales > Opciones de seguridad.

6. Haga doble clic en la directiva de sintaxis DCOM: Restricciones de inicio a máquinas en la directiva de sintaxis del lenguaje de definición de descriptores de seguridad (SDDL) para abrir la ventana de propiedades en la pestaña Configuración de directiva de seguridad de plantilla.

   Siga estos pasos para configurar el acceso de esta directiva:

   1. Seleccione Editar seguridad y, a continuación, en el cuadro de diálogo Permiso de acceso, seleccione Agregar.

   2. En el cuadro Escriba los nombres de objeto que desea seleccionar, escriba wmiuser. Seleccione Comprobar nombres para comprobar la configuración y, a continuación, seleccione Aceptar.

      El wmiuser (wmiuser@DOMAIN.local) aparece ahora en el cuadro de diálogo Permiso de acceso.

   3. En el cuadro de diálogo Permiso de acceso:

      1. En la lista Nombres de grupo o usuario, seleccione wmiuser.
      2. En el cuadro Permisos para administradores, seleccione Permitir para las opciones Inicio local, Inicio remoto, Activación local y Activación remota.

      Seleccione Aceptar para cerrar el diálogo de Permisos de acceso.

Configurar el firewall

1. Vuelva al GPO WMIAccess que ha creado anteriormente y seleccione Editar.

2. En el cuadro de diálogo editor de administración de directiva de grupo, vaya a Configuración del equipo Configuración de > Windows Configuración de >seguridad y expanda el Windows Defender firewall con el nodo Seguridad avanzada.

3. En Firewall de Windows Defender con seguridad avanzada, haga clic en Reglas de entrada y seleccione Nueva regla.

4. En el Asistente para nueva regla de entrada, seleccione Predefinido y, a continuación, Seleccione Instrumental de administración de Windows en el menú desplegable.

5. Seleccione Next (Siguiente) para continuar. En el panel Reglas predefinidas, asegúrese de que todas las reglas del cuadro Reglas están seleccionadas.

6. Seleccione Siguiente para continuar y, a continuación, seleccione Permitir la conexión>Finalizar.

Configuración de permisos para el espacio de nombres WMI

En este procedimiento se describe cómo definir permisos para el espacio de nombres WMI y no se puede completar con un GPO normal.

Si va a usar una cuenta que no es de administrador para ejecutar los exámenes de WEM, este procedimiento es fundamental y debe realizarse exactamente como se indica para permitir intentos de inicio de sesión mediante WMI.

1. En el equipo Windows, abra un cuadro de diálogo Ejecutar y escriba wmimgmt.msc.

2. En el cuadro de diálogo wmimgmt - [Raíz de la consola\Control WMI (local)], haga clic con el botón derecho en Control WMI (local) y seleccione Propiedades.

3. En el cuadro de diálogo Propiedades: Control WMI (local), seleccione la pestaña Seguridad>Raíz>Seguridad.

4. En el cuadro de diálogo Seguridad para ROOT\SECURITY, asegúrese de que la cuenta wmiuser aparece en el cuadro Nombres de grupo o usuario:

   1. Seleccione Agregar y, en el cuadro Escriba los nombres de objeto que desea seleccionar, escriba wmiuser.
   2. Seleccione Comprobar nombres>Aceptar.

5. En el cuadro Nombres de grupo o usuario, seleccione la cuenta wmiuser. En el cuadro Permisos para usuarios autenticados, seleccione Permitir para los permisos siguientes:

   • Ejecutar métodos
   • Habilitar cuenta
   • Llamada remota habilitada
   • Seguridad de lectura

6. En el cuadro de diálogo Seguridad para ROOT\SECURITY, seleccione Avanzado. A continuación, en el cuadro de diálogo Configuración de seguridad avanzada para raíz, seleccione la cuenta wmiuser>Editar.

7. En el cuadro de diálogo Entrada de permisos para raíz, en el menú desplegable Aplicar a, seleccione Este espacio de nombres y todos los subespacios.

   Nota

   Debe aplicar permisos recurrentemente a todo el árbol.

8. Seleccione Aceptar hasta que se cierren todos los cuadros de diálogo que abrió en este procedimiento.

Adición de la cuenta wmiuser al grupo local Usuarios del registro de rendimiento

1. Inicie sesión en la máquina Windows con un usuario que sepa que forma parte del grupo Usuarios del registro de rendimiento.

2. Abra un cuadro de diálogo Ejecutar y escriba compmgmt.msc.

3. En el cuadro de diálogo Administración de equipos, seleccione Administración de equipos (local) > Herramientas del sistema > Usuarios y grupos locales > Grupos y haga doble clic en Usuarios del registro de rendimiento.

4. Seleccione Agregar y, a continuación, en Escriba los nombres de objeto que desea seleccionar escriba wmiuser para agregar el wmiuser al grupo. Seleccione Comprobar nombres y, a continuación, Aceptar hasta que se cierren todos los cuadros de diálogo que abrió en este procedimiento.

Configuración de un examen WEM en la consola del sensor

Para configurar un examen WEM:

1. En la consola del sensor de OT, seleccione Configuración del sistema>Supervisión de redes>Detección activa>Windows Endpoint Monitoring (WMI).

2. En la sección Editar configuración de intervalos de detección, escriba los rangos que desea examinar y agregue el nombre de usuario y la contraseña requerida para acceder a los recursos.

   • Se recomienda escribir valores con privilegios de dominio o administrador local para obtener los mejores resultados de examen.
   • Seleccione Importar intervalos para importar un archivo .csv con un conjunto de intervalos que desee examinar. Asegúrese de que el archivo .csv incluya los siguientes datos: FROM, TO, USER, PASSWORD, DISABLE, donde DISABLE se define como TRUE/FALSE.
   • Para obtener una lista .csv de todos los intervalos configurados actualmente para exámenes WEM, seleccione Exportar intervalos.

3. En el área Examinar se ejecutará, defina si desea ejecutar el examen en intervalos, cada pocas horas o por un tiempo específico. Si selecciona Por hora específica, aparecerá la opción adicional Agregar tiempo de examen, que podrá usar para configurar varios exámenes que se ejecuten en momentos específicos.

   Aunque puede configurar el examen WEM para que se ejecute con tanta frecuencia como desee, solo se puede ejecutar un examen WEM a la vez.

4. Seleccione Guardar y, a continuación, realice una de las siguientes acciones:

   • Para ejecutar ahora el examen manualmente, seleccione Aplicar cambios>Examen manual.

   • Para permitir que el examen se ejecute más adelante como configurado, seleccione Aplicar cambios y cierre el panel según sea necesario.

Para ver los resultados del examen:

1. Cuando finalice el examen, vuelva a la página Configuración del sistema>Supervisión de redes>Detección activa>Windows Endpoint Monitoring (WMI) de la consola del sensor.

2. Seleccione Ver resultados del examen. Se descarga en el equipo un archivo CSV con los resultados del examen.

Pasos siguientes

Para más información, consulte:

• Detección de estaciones de trabajo de Windows y servidores con un script local
• Vea el inventario de sus dispositivos desde una consola de sensores
• Visualización del inventario de dispositivos desde Azure Portal
• Configuración de la supervisión activa para redes de OT
• Configuración de los servidores DNS para la resolución de búsquedas inversas de supervisión de OT
• Importación de la información del dispositivo al sensor