Windowsin todennettu tarkistus

  • Artikkeli

Koskee seuraavia:

Huomautus

Jos haluat käyttää tätä ominaisuutta, tarvitset Microsoft Defenderin haavoittuvuuksien hallinta Standalone tai jos olet jo Microsoft Defender for Endpoint palvelupaketin 2 asiakas, Defenderin haavoittuvuuden hallinta -lisäosa.

Windowsin todennettu tarkistus mahdollistaa tarkistusten suorittamisen hallitsemattomille Windows-laitteille. Voit kohdistaa etäkohteen IP-alueiden tai isäntänimien mukaan ja tarkistaa Windows-palvelut antamalla Microsoft Defenderin haavoittuvuuksien hallinta tunnistetiedot laitteiden etäkäyttöä varten. Kun kohdennetut hallitsemattomat laitteet on määritetty, ne tarkistetaan säännöllisesti ohjelmistohaavoittuvuuksien varalta. Oletusarvon mukaan tarkistus suoritetaan neljän tunnin välein ja sen vaihtoehdot voivat muuttaa tätä aikaväliä tai suorittaa sen vain kerran.

Suojauksen järjestelmänvalvojat voivat sitten tarkastella uusimpia suojaussuosituksia ja äskettäin havaittuja kohdelaitteen haavoittuvuuksia Microsoft Defender portaalissa.

Vihje

Tiesitkö, että voit kokeilla kaikkia Microsoft Defenderin haavoittuvuuksien hallinta ominaisuuksia ilmaiseksi? Katso, miten voit rekisteröityä ilmaiseen kokeiluversioon.

Skannerin asennus

Verkkolaitteen todennetun tarkistuksen tapaan tarvitset skannauslaitteen, johon on asennettu skanneri. Jos skanneria ei ole vielä asennettu, katso artikkelista Skannerin asentaminen ohjeita sen lataamiseen ja asentamiseen.

Huomautus

Aiemmin asennetuissa skannereissa ei tarvita muutoksia.

Ehdot

Seuraavassa osiossa luetellaan ennakkoehdot, jotka sinun on määritettävä käyttämään Windowsin todennettua tarkistusta.

Tarkistetaan tiliä

Laitteiden etäkäyttö edellyttää skannaustiliä. Tämän on oltava ryhmän hallinnoitu palvelutili (gMsa).

Huomautus

Suosittelemme, että gMSA-tili on vähiten etuoikeutettu tili, jolla on vain tarvittavat skannausoikeudet, ja se on määritetty käyttämään salasanaa säännöllisesti.

GMsa-tilin luominen:

  1. Suorita toimialueen ohjauskoneessa PowerShell-ikkunassa:

    New-ADServiceAccount -Name gmsa1 -PrincipalsAllowedToRetrieveManagedPassword scanner-win11-i$ -KerberosEncryptionType RC4, AES128, AES256 -Verbose
    • gmsa1 tarkoittaa luomasi tilin nimeä, ja scanner-win11-I$ tarkoittaa koneen nimeä, jossa skanneriagentti toimii. Vain tämä tietokone voi noutaa tilin salasanan. Voit antaa pilkuin erotetun luettelon koneista.
    • Olemassa olevan tilin muokkaaminen voidaan tehdä Get-ADServiceAccount- ja Set-ADServiceAccount-tilien avulla

  2. Asenna AD-palvelutili suorittamalla se kone, jossa skanneriagentti suoritetaan laajennetussa PowerShell-ikkunassa:

    Install-ADServiceAccount -Identity gmsa1

Jos PowerShell ei tunnista näitä komentoja, siitä todennäköisesti puuttuu vaadittu PowerShell-moduuli. Ohjeet moduulin asentamiseen vaihtelevat käyttöjärjestelmän mukaan. Lisätietoja on artikkelissa aloittaminen ryhmän hallinnoiduilla palvelutileillä.

Tarkistettavat laitteet

Alla olevassa taulukossa on ohjeita tarvittavista kokoonpanoista ja skannaustilin käyttöoikeuksista kussakin laitteessa, joka tarkistetaan:

Huomautus

Alla olevat vaiheet ovat vain yksi suositeltu tapa määrittää kunkin laitteen käyttöoikeudet tarkistettavaksi ja käyttää suorituskyvyn valvonnan käyttäjät -ryhmää. Voit määrittää käyttöoikeudet myös seuraavilla tavoilla:

  • Lisää tili toiseen käyttäjäryhmään ja anna kyseiselle ryhmälle kaikki tarvittavat käyttöoikeudet.
  • Anna nämä oikeudet eksplisiittisesti skannaustilille.

Jos haluat määrittää ja ottaa käyttöön ryhmän laiteryhmän, jota tarkistetaan ryhmäkäytännöllä, katso Laiteryhmän määrittäminen ryhmäkäytännöllä.

Laitteet, joiden vaatimukset tarkistetaan Kuvaus
Windows Management Instrumentation (WMI) on käytössä Windowsin etähallinnan instrumentoinnin (WMI) ottaminen käyttöön:
  • Varmista, että Windowsin hallinnan instrumentointipalvelu on käynnissä.
  • Siirry kohtaan Ohjauspaneeli>Kaikki Ohjauspaneeli items>Windows Defender Firewall>Allowed -sovellukset ja varmista, että Windows management Instrumentation (WMI) on sallittu Windowsin palomuurin kautta.
Tilin skannaaminen on Suorituskyvyn valvonnan käyttäjät -ryhmän jäsen Skannaustilin on oltava laitteen Suorituskyvyn valvonnan käyttäjät -ryhmän jäsen, jotta se voidaan tarkistaa.
Suorituskyvyn valvonnan käyttäjät -ryhmällä on Ota tili käyttöön- ja Etäkäyttö -oikeudet root/CIMV2 WMI-nimitilassa Voit tarkistaa tai ottaa käyttöön nämä käyttöoikeudet seuraavasti:
  • Suorita wmimgmt.msc.
  • Napsauta hiiren kakkospainikkeella WMI-ohjausobjektia (paikallinen) ja valitse Ominaisuudet.
  • Siirry Suojaus-välilehteen.
  • Valitse asianmukainen WMI-nimitila ja valitse Suojaus.
  • Lisää määritetty ryhmä ja valitse, jos haluat sallia tietyt käyttöoikeudet.
  • Valitse Lisäasetukset, valitse määritetty merkintä ja valitse Muokkaa.
  • Asetus koskee kohdetta "Tämä nimitila ja alinimitilat".
Suorituskyvyn valvonnan käyttäjät -ryhmällä pitäisi olla oikeudet DCOM-toimintoihin Voit tarkistaa tai ottaa käyttöön nämä käyttöoikeudet seuraavasti:
  • Suorita dcomcnfg.
  • Siirry kohtaan Component Services>Computers>My Computer.
  • Napsauta hiiren kakkospainikkeella Oma tietokone ja valitse Ominaisuudet.
  • Siirry COM-suojaus -välilehteen.
  • Siirry kohtaan Käynnistys- ja aktivointioikeudet ja valitse Muokkaa rajoituksia.
  • Lisää määritetty ryhmä ja salli etäaktivointi valitsemalla .

Laiteryhmän määrittäminen ryhmäkäytännön avulla

Ryhmäkäytännön avulla voit käyttää joukkona tarvittavia määrityksiä sekä skannaustilin edellyttämiä käyttöoikeuksia skannattavaan laiteryhmään.

Voit määrittää laiteryhmän samanaikaisesti toimialueen ohjauskoneessa noudattamalla seuraavia ohjeita:

Vaihe Kuvaus
uuden ryhmäkäytäntö-objektin Create
  • Avaa ryhmäkäytäntö hallintakonsoli toimialueen ohjauskoneessa.
  • Voit Create ryhmäkäytäntö-objektin seuraavasti.
  • Kun ryhmäkäytäntö Object (GPO) on luotu, napsauta hiiren kakkospainikkeella ryhmäkäytäntöobjektia ja valitse Muokkaa, niin ryhmäkäytäntö Management Kirjoitusavustaja konsoli avautuu ja suorita alla olevat vaiheet.
Ota käyttöön Windows Management Instrumentation (WMI) Windowsin etähallinnan instrumentoinnin (WMI) ottaminen käyttöön:
  • Siirry kohtaan Tietokoneasetukset>Käytännöt>Windowsin asetukset>Suojausasetukset>Järjestelmäpalvelut.
  • Napsauta hiiren kakkospainikkeella Windowsin hallinnan instrumentointia.
  • Valitse Määritä tämä käytäntöasetus -ruutu ja valitse Automaattinen.
Salli WMI palomuurin läpi Windows Management Instrumentationin (WMI) salliminen palomuurin kautta:
  • Siirry kohtaan Tietokoneasetukset>Käytännöt>Windowsin asetukset>Suojausasetukset>Windows Defender Palomuuri ja Saapuvan suojauksen>lisäsäännöt.
  • Napsauta hiiren kakkospainikkeella ja valitse Uusi sääntö.
  • Valitse Ennalta määritetty ja valitse luettelosta Windows Management Instrumentation (WMI ). Valitse sitten Seuraava.
  • Valitse Windows Management Instrumentation (WMI-In) -valintaruutu. Valitse sitten Seuraava.
  • Valitse Salli yhteys. Valitse sitten Valmis.
  • Napsauta hiiren kakkospainikkeella juuri lisättyä sääntöä ja valitse Ominaisuudet.
  • Siirry Lisäasetukset-välilehteen ja poista yksityisten ja julkisten asetusten valinta, sillä vain toimialue on pakollinen.
Myönnä käyttöoikeuksia DCOM-toimintojen suorittamiseen Käyttöoikeuksien myöntäminen DCOM-toimintojen suorittamiseen:
  • Siirry kohtaan Tietokoneasetukset>Käytännöt>Windows-asetukset>Suojausasetukset>Paikalliset käytännötSuojaustoiminnot>.
  • Napsauta hiiren kakkospainikkeella DCOM: Tietokoneen käynnistysrajoitukset suojauskuvaajan määrityskielen (SDDL) syntaksissa ja valitse Ominaisuudet.
  • Valitse Määritä tämä käytäntöasetus -ruutu ja valitse Muokkaa suojausta.
  • Lisää käyttäjä tai ryhmä, jolle olet myöntämässä käyttöoikeuksia, ja valitse Etäaktivointi.
Myönnä käyttöoikeudet Root\CIMV2 WMI -nimitilaan suorittamalla PowerShell-komentosarja ryhmäkäytännön kautta:
  • Create PowerShell-komentosarjan. Jäljempänä tässä artikkelissa olevassa PowerShell-esimerkkikomentosarjassa on suositeltu komentosarja, jota voit muokata tarpeittesi mukaan.
  • Siirry kohtaan Tietokoneasetukset>Käytännöt>Windowsin asetukset>Komentosarjat (käynnistys/sammutus)>Käynnistys
  • Siirry PowerShell Scripts -välilehteen .
  • Valitse Näytä tiedostot ja kopioi luomasi komentosarja tähän kansioon
  • Palaa komentosarjojen määritysikkunoihin ja valitse Lisää.
  • Kirjoita komentosarjan nimi.

Esimerkki PowerShell-komentosarjasta

Käytä seuraavaa PowerShell-komentosarjaa aloituspisteenä käyttöoikeuksien myöntämiseen root\CIMV2 WMI-nimitilaan ryhmäkäytännön kautta:

Param ()

Process {
    $ErrorActionPreference = "Stop"
    $accountSID = "S-1-5-32-558" # Performance Monitor Users built-in group, please change or pass parameter as you wish
    $computerName = "."

    $remoteparams = @{ComputerName=$computerName}
    $invokeparams = @{Namespace="root\cimv2";Path="__systemsecurity=@"} + $remoteParams

    $output = Invoke-WmiMethod @invokeparams -Name GetSecurityDescriptor
    if ($output.ReturnValue -ne 0) {
        throw "GetSecurityDescriptor failed: $($output.ReturnValue)"
    }

    $acl = $output.Descriptor

    $CONTAINER_INHERIT_ACE_FLAG = 0x2
    $ACCESS_MASK = 0x21 # Enable Account + Remote Enable

    $ace = (New-Object System.Management.ManagementClass("win32_Ace")).CreateInstance()
    $ace.AccessMask = $ACCESS_MASK
    $ace.AceFlags = $CONTAINER_INHERIT_ACE_FLAG

    $trustee = (New-Object System.Management.ManagementClass("win32_Trustee")).CreateInstance()
    $trustee.SidString = $accountSID
    $ace.Trustee = $trustee

    $ACCESS_ALLOWED_ACE_TYPE = 0x0

    $ace.AceType = $ACCESS_ALLOWED_ACE_TYPE

    $acl.DACL += $ace.psobject.immediateBaseObject

    $setparams = @{Name="SetSecurityDescriptor";ArgumentList=$acl.psobject.immediateBaseObject} + $invokeParams

    $output = Invoke-WmiMethod @setparams
    if ($output.ReturnValue -ne 0) {
        throw "SetSecurityDescriptor failed: $($output.ReturnValue)"
    }
}

Kun GPO-käytäntö on otettu käyttöön laitteessa, kaikki vaaditut asetukset otetaan käyttöön ja gMSA-tilisi voi käyttää laitetta ja skannata sen.

Määritä uusi todennettu tarkistus

Uuden todennetun tarkistuksen määrittäminen:

  1. Siirry kohtaan Asetukset>Laitteen etsinnän>todennetut tarkistuksetMicrosoft Defender portaalissa.

  2. Valitse Lisää uusi tarkistus , valitse Windowsin todennettu tarkistus ja valitse Seuraava.

    Näyttökuva lisää uusi todennettu tarkistus -näytöstä

  3. Anna tarkistuksen nimi.

  4. Valitse skannauslaite: Käytössä oleva laite, jonka avulla skannaat hallitsemattomat laitteet.

  5. Anna tavoite (alue): tarkistettavat IP-osoitealueet tai isäntänimet. Voit joko antaa osoitteet tai tuoda CSV-tiedoston. Tiedoston tuominen ohittaa kaikki manuaalisesti lisätyt osoitteet.

  6. Valitse tarkistuksen aikaväli: Tarkistus suoritetaan oletusarvoisesti neljän tunnin välein, voit muuttaa tarkistuksen aikaväliä tai määrittää sen suoritettavaksi vain kerran valitsemalla Älä toista.

  7. Valitse todennusmenetelmäsi – valittavana on kaksi vaihtoehtoa:

    • Kerberos (ensisijainen)
    • Neuvotella

    Huomautus

    Negotiate-vaihtoehto palautuu NTLM:ään tapauksissa, joissa Kerberos epäonnistuu. NTLM:n käyttämistä ei suositella, koska se ei ole suojattu protokolla.

  8. Anna tunnistetiedot, Microsoft Defenderin haavoittuvuuksien hallinta käyttää laitteita etäyhteydessä:

    • Käytä azure KeyVaultia: Jos hallitset tunnistetietojasi Azure KeyVaultissa, voit antaa Azure KeyVault URL- ja Azure KeyVault -salaisen nimen, joita skannauslaite voi käyttää tunnistetietojen antamiseen
    • Käytä Azure KeyVault -salasana-arvoksi gMSA-tilin tietoja muodossa Toimialue. Käyttäjätunnus

  9. Suorita tai ohita testitarkistus valitsemalla Seuraava . Lisätietoja testiskannauksista on kohdassa Verkkolaitteiden tarkistaminen ja lisääminen.

  10. Tarkista asetukset valitsemalla Seuraava ja luo sitten uusi todennettu tarkistus valitsemalla Lähetä .

Huomautus

Koska todennettu skanneri käyttää tällä hetkellä salausalgoritmia, joka ei ole yhteensopiva Liittovaltion tiedonkäsittelystandardien (FIPS) kanssa, skanneri ei voi toimia, kun organisaatio valvoo FIPS-yhteensopivien algoritmien käyttöä.

Jos haluat sallia algoritmit, jotka eivät ole yhteensopivia FIPS:n kanssa, määritä rekisterissä seuraava arvo laitteille, joissa skanneri suoritetaan: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy DWORD-arvolla käytössä ja arvolla 0x0

FIPS-yhteensopivia algoritmeja käytetään vain suhteessa Yhdysvallat liittovaltion hallinnon osastoihin ja virastoihin.

Windows-ohjelmointirajapintoja koskevat todennetut tarkistukset

Ohjelmointirajapintoja käyttämällä voit luoda uuden tarkistuksen ja tarkastella kaikkia organisaatiosi aiemmin määritettyjä skannauksia. Lisätietoja on seuraavissa artikkeleissa: