Examen autenticado para Windows

  • Artículo

Se aplica a:

Nota:

Para usar esta característica, necesitará Administración de vulnerabilidades de Microsoft Defender independiente o si ya es un cliente de Microsoft Defender para punto de conexión Plan 2, el complemento De administración de vulnerabilidades de Defender.

El examen autenticado de Windows proporciona la capacidad de ejecutar exámenes en dispositivos Windows no administrados. Puede dirigirse de forma remota por intervalos IP o nombres de host y examinar los servicios de Windows proporcionando Administración de vulnerabilidades de Microsoft Defender con credenciales para acceder de forma remota a los dispositivos. Una vez configurados, los dispositivos no administrados de destino se examinarán periódicamente en busca de vulnerabilidades de software. De forma predeterminada, el examen se ejecutará cada cuatro horas con opciones para cambiar este intervalo o hacer que solo se ejecute una vez.

A continuación, los administradores de seguridad pueden ver las recomendaciones de seguridad más recientes y revisar las vulnerabilidades detectadas recientemente para el dispositivo de destino en el portal de Microsoft Defender.

Sugerencia

¿Sabía que puede probar todas las características de Administración de vulnerabilidades de Microsoft Defender de forma gratuita? Obtenga información sobre cómo registrarse para obtener una evaluación gratuita.

Instalación del escáner

De forma similar al examen autenticado del dispositivo de red , necesitará un dispositivo de examen con el escáner instalado. Si aún no tiene instalado el escáner, consulte Instalación del escáner para ver los pasos para descargarlo e instalarlo.

Nota:

No se requiere ningún cambio para los escáneres instalados preexistedos.

Requisitos previos

En la sección siguiente se enumeran los requisitos previos que debe configurar para usar el examen autenticado para Windows.

Examen de la cuenta

Se requiere una cuenta de examen para acceder de forma remota a los dispositivos. Debe ser una cuenta de servicio administrada de grupo (gMsa).

Nota:

Se recomienda que la cuenta de gMSA sea una cuenta con privilegios mínimos con solo los permisos de examen necesarios y se establezca para cambiar el ciclo de la contraseña con regularidad.

Para crear una cuenta de gMsa:

  1. En el controlador de dominio en una ventana de PowerShell, ejecute:

    New-ADServiceAccount -Name gmsa1 -PrincipalsAllowedToRetrieveManagedPassword scanner-win11-i$ -KerberosEncryptionType RC4, AES128, AES256 -Verbose
    • gmsa1 significa el nombre de la cuenta que está creando y scanner-win11-I$ significa el nombre de la máquina donde se ejecutará el agente del escáner. Solo esta máquina podrá recuperar la contraseña de la cuenta. Puede proporcionar una lista separada por comas de máquinas.
    • La modificación de una cuenta existente se puede realizar con Get-ADServiceAccount y Set-ADServiceAccount

  2. Para instalar la cuenta de servicio de AD, en la máquina en la que se ejecutará el agente del analizador mediante una ventana de PowerShell con privilegios elevados, ejecute lo siguiente:

    Install-ADServiceAccount -Identity gmsa1

Si PowerShell no reconoce esos comandos, probablemente significa que le falta un módulo de PowerShell necesario. Las instrucciones sobre cómo instalar el módulo varían en función del sistema operativo. Para obtener más información, consulte Introducción con cuentas de servicio administradas de grupo.

Dispositivos que se van a examinar

Use la tabla siguiente para obtener instrucciones sobre las configuraciones necesarias, junto con los permisos necesarios para la cuenta de examen, en cada dispositivo que se va a examinar:

Nota:

Los pasos siguientes son solo una manera recomendada de configurar los permisos de cada dispositivo que se van a examinar y usa el grupo usuarios de Monitor de rendimiento. También puede configurar los permisos de las siguientes maneras:

  • Agregue la cuenta a otro grupo de usuarios y conceda todos los permisos necesarios a ese grupo.
  • Conceda estos permisos explícitamente a la cuenta de examen.

Para configurar y aplicar el permiso a un grupo de dispositivos que se van a examinar mediante una directiva de grupo, consulte Configuración de un grupo de dispositivos con una directiva de grupo.

Requisitos de los dispositivos que se van a examinar Descripción
Instrumental de administración de Windows (WMI) está habilitado Para habilitar la instrumentación de administración remota de Windows (WMI):
  • Compruebe que el servicio Instrumental de administración de Windows se está ejecutando.
  • Vaya a Panel de control>Todos los elementos Panel de control Windows DefenderAplicaciones permitidas> del firewall> y asegúrese de que se permite la instrumentación de administración de Windows (WMI) a través del Firewall de Windows.
La cuenta de examen es miembro del grupo usuarios de Monitor de rendimiento La cuenta de examen debe ser miembro del grupo Monitor de rendimiento Usuarios del dispositivo que se va a examinar.
Monitor de rendimiento grupo Usuarios tiene permisos "Habilitar cuenta" y "Habilitar remotamente" en el espacio de nombres WMI raíz/CIMV2 Para comprobar o habilitar estos permisos:
  • Ejecute wmimgmt.msc.
  • Haga clic con el botón derecho en Control WMI (local) y seleccione Propiedades.
  • Vaya a la pestaña Seguridad.
  • Seleccione el espacio de nombres WMI correspondiente y seleccione Seguridad.
  • Agregue el grupo especificado y seleccione para permitir los permisos específicos.
  • Seleccione Avanzadas, elija la entrada especificada y seleccione Editar.
  • Establezca Se aplica a en "Este espacio de nombres y subnombrees".
Monitor de rendimiento grupo Usuarios debe tener permisos en operaciones DCOM Para comprobar o habilitar estos permisos:
  • Ejecute dcomcnfg.
  • Vaya aEquipos>de Servicios> de componentesMi equipo.
  • Haga clic con el botón derecho en Mi equipo y elija Propiedades.
  • Vaya a la pestaña Seguridad COM.
  • Vaya a Permisos de inicio y activación y seleccione Editar límites.
  • Agregue el grupo especificado y seleccione para permitir la activación remota.

Configuración de un grupo de dispositivos con una directiva de grupo

Una directiva de grupo le permitirá aplicar de forma masiva las configuraciones necesarias, así como los permisos necesarios para la cuenta de examen, a un grupo de dispositivos que se van a examinar.

Siga estos pasos en un controlador de dominio para configurar un grupo de dispositivos al mismo tiempo:

Paso Descripción
Create un nuevo objeto directiva de grupo
  • En el controlador de dominio, abra la consola de administración de directiva de grupo.
  • Siga estos pasos para Create un objeto directiva de grupo.
  • Una vez creado el objeto de directiva de grupo (GPO), haga clic con el botón derecho en el GPO y seleccione Editar para abrir la consola Editor administración de directiva de grupo y completar los pasos siguientes.
Habilitar instrumental de administración de Windows (WMI) Para habilitar la instrumentación de administración remota de Windows (WMI):
  • Vaya aDirectivas>de configuración> del equipo Serviciosdel sistemade configuración de seguridad de Configuración>de> Windows.
  • Haga clic con el botón derecho en Instrumental de administración de Windows.
  • Seleccione el cuadro Definir esta configuración de directiva y elija Automático.
Permitir WMI a través del firewall Para permitir la instrumentación de administración de Windows (WMI) a través del firewall:
  • Vaya aDirectivas>de configuración> del equipoConfiguración de Windows Configuración>de> seguridad Windows Defender Firewall yReglas de entrada de seguridad > avanzada.
  • Haga clic con el botón derecho y seleccione Nueva regla.
  • Elija Predefinido y seleccione Instrumental de administración de Windows (WMI) en la lista. Después, seleccione Siguiente.
  • Active la casilla Instrumental de administración de Windows (WMI-In). Después, seleccione Siguiente.
  • Seleccione Permitir la conexión. A continuación, seleccione Finalizar.
  • Haga clic con el botón derecho en la regla recién agregada y seleccione Propiedades.
  • Vaya a la pestaña Avanzadas y desactive las opciones Privado y Público , ya que solo se requiere Dominio .
Concesión de permisos para realizar operaciones DCOM Para conceder permisos para realizar operaciones DCOM:
  • Vaya aDirectivas>de configuración> del equipoConfiguración de Windows Configuración>de> seguridadDirectivas> localesOperaciones de seguridad.
  • Haga clic con el botón derecho en DCOM: Restricciones de inicio de máquina en la sintaxis del lenguaje de definición de descriptor de seguridad (SDDL) y seleccione Propiedades.
  • Seleccione el cuadro Definir esta configuración de directiva y seleccione Editar seguridad.
  • Agregue el usuario o grupo al que concede permisos y seleccione Activación remota.
Conceda permisos al espacio de nombres WMI Root\CIMV2 mediante la ejecución de un script de PowerShell a través de la directiva de grupo:
  • Create un script de PowerShell. Consulte el script de PowerShell de ejemplo más adelante en este artículo para obtener un script recomendado que puede modificar según sus necesidades.
  • Vaya aDirectivas>de configuración> del equipo Scriptsde configuración de> Windows(inicio/apagado)>Inicio
  • Vaya a la pestaña Scripts de PowerShell .
  • Seleccione Mostrar archivos y copie el script que creó en esta carpeta.
  • Vuelva a las ventanas de configuración de scripts y seleccione Agregar.
  • Escriba el nombre del script.

Ejemplo de script de PowerShell

Use el siguiente script de PowerShell como punto de partida para conceder permisos al espacio de nombres WMI Root\CIMV2 a través de la directiva de grupo:

Param ()

Process {
    $ErrorActionPreference = "Stop"
    $accountSID = "S-1-5-32-558" # Performance Monitor Users built-in group, please change or pass parameter as you wish
    $computerName = "."

    $remoteparams = @{ComputerName=$computerName}
    $invokeparams = @{Namespace="root\cimv2";Path="__systemsecurity=@"} + $remoteParams

    $output = Invoke-WmiMethod @invokeparams -Name GetSecurityDescriptor
    if ($output.ReturnValue -ne 0) {
        throw "GetSecurityDescriptor failed: $($output.ReturnValue)"
    }

    $acl = $output.Descriptor

    $CONTAINER_INHERIT_ACE_FLAG = 0x2
    $ACCESS_MASK = 0x21 # Enable Account + Remote Enable

    $ace = (New-Object System.Management.ManagementClass("win32_Ace")).CreateInstance()
    $ace.AccessMask = $ACCESS_MASK
    $ace.AceFlags = $CONTAINER_INHERIT_ACE_FLAG

    $trustee = (New-Object System.Management.ManagementClass("win32_Trustee")).CreateInstance()
    $trustee.SidString = $accountSID
    $ace.Trustee = $trustee

    $ACCESS_ALLOWED_ACE_TYPE = 0x0

    $ace.AceType = $ACCESS_ALLOWED_ACE_TYPE

    $acl.DACL += $ace.psobject.immediateBaseObject

    $setparams = @{Name="SetSecurityDescriptor";ArgumentList=$acl.psobject.immediateBaseObject} + $invokeParams

    $output = Invoke-WmiMethod @setparams
    if ($output.ReturnValue -ne 0) {
        throw "SetSecurityDescriptor failed: $($output.ReturnValue)"
    }
}

Una vez aplicada la directiva de GPO a un dispositivo, se aplicará toda la configuración necesaria y la cuenta de gMSA podrá acceder al dispositivo y examinarlo.

Configuración de un nuevo examen autenticado

Para configurar un nuevo examen autenticado:

  1. Vaya a Configuración Detección>>dedispositivos Exámenes autenticados en el portal de Microsoft Defender.

  2. Seleccione Agregar nuevo examen , elija Examen autenticado de Windows y seleccione Siguiente.

    Captura de pantalla de la pantalla Agregar nuevo examen autenticado

  3. Escriba un nombre de examen.

  4. Seleccione el dispositivo de examen: el dispositivo incorporado que usará para examinar los dispositivos no administrados.

  5. Escriba el destino (intervalo): intervalos de direcciones IP o nombres de host que desea examinar. Puede especificar las direcciones o importar un archivo CSV. La importación de un archivo invalidará las direcciones agregadas manualmente.

  6. Seleccione el intervalo de examen: de forma predeterminada, el examen se ejecutará cada cuatro horas, puede cambiar el intervalo de examen o hacer que solo se ejecute una vez; para ello, seleccione "No repetir".

  7. Elija el método de autenticación : hay dos opciones entre las que elegir:

    • Kerberos (preferido)
    • Negociar

    Nota:

    La opción Negotiate se reservará a NTLM en los casos en los que se produzca un error en Kerberos. No se recomienda usar NTLM, ya que no es un protocolo seguro.

  8. Escriba las credenciales Administración de vulnerabilidades de Microsoft Defender usar para acceder de forma remota a los dispositivos:

    • Uso de azure KeyVault: Si administra sus credenciales en Azure KeyVault, puede escribir la dirección URL de Azure KeyVault y el nombre del secreto de Azure KeyVault a los que accederá el dispositivo de examen para proporcionar las credenciales.
    • Para el valor de secreto de Azure KeyVault, use los detalles de la cuenta gMSA en el formato Dominio; Nombre de usuario

  9. Seleccione Siguiente para ejecutar o omitir el examen de prueba. Para obtener más información sobre los exámenes de prueba, consulte Examinar y agregar dispositivos de red.

  10. Seleccione Siguiente para revisar la configuración y, a continuación, seleccione Enviar para crear el nuevo examen autenticado.

Nota:

Dado que el analizador autenticado usa actualmente un algoritmo de cifrado que no es compatible con los estándares federales de procesamiento de información (FIPS), el analizador no puede funcionar cuando una organización exige el uso de algoritmos compatibles con FIPS.

Para permitir algoritmos que no son compatibles con FIPS, establezca el siguiente valor en el Registro para los dispositivos donde se ejecutará el analizador: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy con un valor DWORD denominado Enabled y el valor de 0x0

Los algoritmos compatibles con FIPS solo se usan en relación con departamentos y agencias del Estados Unidos gobierno federal.

Examen autenticado de las API de Windows

Puede usar las API para crear un nuevo examen y ver todos los exámenes configurados existentes en su organización. Para obtener más información, consulte: