Analyse authentifiée pour Windows

  • Article

S’applique à :

Remarque

Pour utiliser cette fonctionnalité, vous devez Gestion des vulnérabilités Microsoft Defender autonome ou, si vous êtes déjà un client Microsoft Defender pour point de terminaison Plan 2, le module complémentaire Gestion des vulnérabilités Defender.

L’analyse authentifiée pour Windows permet d’exécuter des analyses sur des appareils Windows non gérés. Vous pouvez cibler à distance par plages d’adresses IP ou noms d’hôte et analyser les services Windows en fournissant à Gestion des vulnérabilités Microsoft Defender des informations d’identification pour accéder à distance aux appareils. Une fois configurés, les appareils non gérés ciblés sont régulièrement analysés pour détecter les vulnérabilités logicielles. Par défaut, l’analyse s’exécute toutes les quatre heures avec des options permettant de modifier cet intervalle ou de ne l’exécuter qu’une seule fois.

Les administrateurs de sécurité peuvent ensuite consulter les dernières recommandations de sécurité et passer en revue les vulnérabilités récemment découvertes pour l’appareil ciblé dans le portail Microsoft Defender.

Conseil

Saviez-vous que vous pouvez essayer gratuitement toutes les fonctionnalités de Gestion des vulnérabilités Microsoft Defender ? Découvrez comment vous inscrire à un essai gratuit.

Installation du scanneur

À l’instar de l’analyse authentifiée d’appareil réseau , vous aurez besoin d’un appareil d’analyse sur lequel le scanneur est installé. Si vous n’avez pas encore installé le scanneur, consultez Installer le scanneur pour connaître les étapes à suivre pour le télécharger et l’installer.

Remarque

Aucune modification n’est requise pour les scanneurs installés préexistants.

Conditions préalables

La section suivante répertorie les prérequis que vous devez configurer pour utiliser l’analyse authentifiée pour Windows.

Compte d’analyse

Un compte d’analyse est nécessaire pour accéder à distance aux appareils. Il doit s’agir d’un compte de service géré de groupe (gMsa).

Remarque

Nous recommandons que le compte gMSA soit un compte avec les privilèges minimum avec uniquement les autorisations d’analyse requises et qu’il soit configuré pour cycler régulièrement le mot de passe.

Pour créer un compte gMsa :

  1. Sur votre contrôleur de domaine dans une fenêtre PowerShell, exécutez :

    New-ADServiceAccount -Name gmsa1 -PrincipalsAllowedToRetrieveManagedPassword scanner-win11-i$ -KerberosEncryptionType RC4, AES128, AES256 -Verbose
    • gmsa1 signifie le nom du compte que vous créez, et scanner-win11-I$ représente le nom de la machine où l’agent du scanneur s’exécutera. Seul cet ordinateur pourra récupérer le mot de passe du compte. Vous pouvez fournir une liste de machines séparées par des virgules.
    • La modification d’un compte existant peut être effectuée avec Get-ADServiceAccount et Set-ADServiceAccount

  2. Pour installer le compte de service AD, sur l’ordinateur sur lequel l’agent du scanneur s’exécutera à l’aide d’une fenêtre PowerShell avec élévation de privilèges, exécutez :

    Install-ADServiceAccount -Identity gmsa1

Si votre PowerShell ne reconnaît pas ces commandes, cela signifie probablement qu’il manque un module PowerShell requis. Les instructions sur la façon d’installer le module varient en fonction de votre système d’exploitation. Pour plus d’informations, consultez Prise en main avec des comptes de service gérés de groupe.

Appareils à analyser

Utilisez le tableau ci-dessous pour obtenir des conseils sur les configurations requises, ainsi que les autorisations nécessaires pour le compte d’analyse, sur chaque appareil à analyser :

Remarque

Les étapes ci-dessous ne sont qu’un moyen recommandé de configurer les autorisations sur chaque appareil à analyser et d’utiliser le groupe Analyseur de performances Utilisateurs. Vous pouvez également configurer les autorisations des manières suivantes :

  • Ajoutez le compte à un autre groupe d’utilisateurs et accordez toutes les autorisations nécessaires à ce groupe.
  • Accordez ces autorisations explicitement au compte d’analyse.

Pour configurer et appliquer l’autorisation à un groupe d’appareils à analyser à l’aide d’une stratégie de groupe, consultez Configurer un groupe d’appareils avec une stratégie de groupe.

Exigences relatives aux appareils à analyser Description
Windows Management Instrumentation (WMI) est activé Pour activer WMI (Windows Management Instrumentation) distant :
  • Vérifiez que le service Windows Management Instrumentation est en cours d’exécution.
  • Accédez à Panneau de configuration>Tous les éléments> Panneau de configuration Windows Defender les applications autorisées par le pare-feu> et vérifiez que Windows Management Instrumentation (WMI) est autorisé via le Pare-feu Windows.
Le compte d’analyse est membre du groupe Utilisateurs Analyseur de performances Le compte d’analyse doit être membre du groupe Analyseur de performances Utilisateurs sur l’appareil à analyser.
Analyseur de performances groupe Utilisateurs dispose des autorisations « Activer le compte » et « Activation à distance » sur l’espace de noms WMI racine/CIMV2 Pour vérifier ou activer ces autorisations :
  • Exécutez wmimgmt.msc.
  • Cliquez avec le bouton droit sur Contrôle WMI (local) et sélectionnez Propriétés.
  • Accédez à l’onglet Sécurité.
  • Sélectionnez l’espace de noms WMI approprié, puis sélectionnez Sécurité.
  • Ajoutez le groupe spécifié et sélectionnez pour autoriser les autorisations spécifiques.
  • Sélectionnez Avancé, choisissez l’entrée spécifiée, puis sélectionnez Modifier.
  • Définir s’applique à sur « Cet espace de noms et sous-noms ».
Analyseur de performances groupe Utilisateurs doit disposer d’autorisations sur les opérations DCOM Pour vérifier ou activer ces autorisations :
  • Exécutez dcomcnfg.
  • Accédez à Services de composants>Ordinateurs>Mon ordinateur.
  • Cliquez avec le bouton droit sur Poste de travail et choisissez Propriétés.
  • Accédez à l’onglet Sécurité COM.
  • Accédez à Autorisations de lancement et d’activation , puis sélectionnez Modifier les limites.
  • Ajoutez le groupe spécifié et sélectionnez pour autoriser l’activation à distance.

Configurer un groupe d’appareils avec une stratégie de groupe

Une stratégie de groupe vous permet d’appliquer en bloc les configurations requises, ainsi que les autorisations requises pour le compte d’analyse, à un groupe d’appareils à analyser.

Suivez ces étapes sur un contrôleur de domaine pour configurer un groupe d’appareils en même temps :

Étape Description
Créer un objet stratégie de groupe
  • Sur le contrôleur de domaine, ouvrez la console de gestion stratégie de groupe.
  • Procédez comme suit pour Create un objet stratégie de groupe.
  • Une fois votre objet stratégie de groupe (GPO) créé, cliquez avec le bouton droit sur votre objet de stratégie de groupe, sélectionnez Modifier pour ouvrir la console Rédacteur gestion stratégie de groupe et effectuez les étapes ci-dessous.
Activer Windows Management Instrumentation (WMI) Pour activer WMI (Windows Management Instrumentation) distant :
  • Accédez à Stratégies de configuration>> ordinateurParamètres Windows Paramètres>>de sécuritéServices système.
  • Cliquez avec le bouton droit sur Windows Management Instrumentation.
  • Sélectionnez la zone Définir ce paramètre de stratégie et choisissez Automatique.
Autoriser WMI via le pare-feu Pour autoriser Windows Management Instrumentation (WMI) via le pare-feu :
  • Accédez à Stratégies de configuration>> ordinateurParamètres> WindowsParamètres> de sécurité Windows Defender Pare-feu et Règles detrafic entrant avancé>.
  • Cliquez avec le bouton droit et sélectionnez Nouvelle règle.
  • Choisissez Prédéfini et sélectionnez WMI (Windows Management Instrumentation) dans la liste. Ensuite, sélectionnez Suivant.
  • Cochez la case Windows Management Instrumentation (WMI-In). Ensuite, sélectionnez Suivant.
  • Sélectionnez Autoriser la connexion. Sélectionnez ensuite Terminer.
  • Cliquez avec le bouton droit sur la règle que vous venez d’ajouter, puis sélectionnez Propriétés.
  • Accédez à l’onglet Avancé et décochez les options Privé et Public , car seul le domaine est requis.
Accorder des autorisations pour effectuer des opérations DCOM Pour accorder des autorisations pour effectuer des opérations DCOM :
  • Accédez à Configuration> ordinateurStratégies>Paramètres Windows Paramètres>de sécurité Stratégies>locales>Opérations de sécurité.
  • Cliquez avec le bouton droit sur DCOM : Restrictions de lancement de machine dans la syntaxe SDDL (Security Descriptor Definition Language) et sélectionnez Propriétés.
  • Cochez la case Définir ce paramètre de stratégie, puis sélectionnez Modifier la sécurité.
  • Ajoutez l’utilisateur ou le groupe auquel vous accordez des autorisations, puis sélectionnez Activation à distance.
Accordez des autorisations à l’espace de noms WMI Root\CIMV2 en exécutant un script PowerShell via la stratégie de groupe :
  • Create un script PowerShell. Consultez l’exemple de script PowerShell plus loin dans cet article pour obtenir un script recommandé que vous pouvez modifier en fonction de vos besoins.
  • Accédez à Stratégies de configuration>> ordinateurScripts de paramètres> Windows(démarrage/arrêt)>Démarrage
  • Accédez à l’onglet Scripts PowerShell .
  • Sélectionnez Afficher les fichiers et copiez le script que vous avez créé dans ce dossier.
  • Revenez aux fenêtres de configuration des scripts et sélectionnez Ajouter.
  • Entrez le nom du script.

Exemple de Script PowerShell

Utilisez le script PowerShell suivant comme point de départ pour accorder des autorisations à l’espace de noms WMI Root\CIMV2 via la stratégie de groupe :

Param ()

Process {
    $ErrorActionPreference = "Stop"
    $accountSID = "S-1-5-32-558" # Performance Monitor Users built-in group, please change or pass parameter as you wish
    $computerName = "."

    $remoteparams = @{ComputerName=$computerName}
    $invokeparams = @{Namespace="root\cimv2";Path="__systemsecurity=@"} + $remoteParams

    $output = Invoke-WmiMethod @invokeparams -Name GetSecurityDescriptor
    if ($output.ReturnValue -ne 0) {
        throw "GetSecurityDescriptor failed: $($output.ReturnValue)"
    }

    $acl = $output.Descriptor

    $CONTAINER_INHERIT_ACE_FLAG = 0x2
    $ACCESS_MASK = 0x21 # Enable Account + Remote Enable

    $ace = (New-Object System.Management.ManagementClass("win32_Ace")).CreateInstance()
    $ace.AccessMask = $ACCESS_MASK
    $ace.AceFlags = $CONTAINER_INHERIT_ACE_FLAG

    $trustee = (New-Object System.Management.ManagementClass("win32_Trustee")).CreateInstance()
    $trustee.SidString = $accountSID
    $ace.Trustee = $trustee

    $ACCESS_ALLOWED_ACE_TYPE = 0x0

    $ace.AceType = $ACCESS_ALLOWED_ACE_TYPE

    $acl.DACL += $ace.psobject.immediateBaseObject

    $setparams = @{Name="SetSecurityDescriptor";ArgumentList=$acl.psobject.immediateBaseObject} + $invokeParams

    $output = Invoke-WmiMethod @setparams
    if ($output.ReturnValue -ne 0) {
        throw "SetSecurityDescriptor failed: $($output.ReturnValue)"
    }
}

Une fois que la stratégie de groupe est appliquée à un appareil, tous les paramètres requis sont appliqués et votre compte gMSA peut accéder à l’appareil et l’analyser.

Configurer une nouvelle analyse authentifiée

Pour configurer une nouvelle analyse authentifiée :

  1. Accédez à Paramètres>Découverte> d’appareilsScans authentifiés dans le portail Microsoft Defender.

  2. Sélectionnez Ajouter une nouvelle analyse , choisissez Analyse authentifiée Windows , puis sélectionnez Suivant.

    Capture d’écran de l’écran Ajouter une nouvelle analyse authentifiée

  3. Entrez un nom d’analyse.

  4. Sélectionnez l’appareil d’analyse : l’appareil intégré que vous utiliserez pour analyser les appareils non gérés.

  5. Entrez la cible (plage) : plages d’adresses IP ou noms d’hôte que vous souhaitez analyser. Vous pouvez entrer les adresses ou importer un fichier CSV. L’importation d’un fichier remplace toutes les adresses ajoutées manuellement.

  6. Sélectionnez l’intervalle d’analyse : par défaut, l’analyse s’exécute toutes les quatre heures, vous pouvez modifier l’intervalle d’analyse ou ne l’exécuter qu’une seule fois, en sélectionnant « Ne pas répéter ».

  7. Choisissez votre méthode d’authentification : deux options s’offrent à vous :

    • Kerberos (préféré)
    • Négocier

    Remarque

    L’option Negotiate est de secours vers NTLM en cas d’échec de Kerberos. L’utilisation de NTLM n’est pas recommandée, car il ne s’agit pas d’un protocole sécurisé.

  8. Entrez les informations d’identification que Gestion des vulnérabilités Microsoft Defender utiliserez pour accéder à distance aux appareils :

    • Utiliser azure KeyVault : Si vous gérez vos informations d’identification dans Azure KeyVault, vous pouvez entrer l’URL du coffre de clés Azure et le nom du secret Azure KeyVault accessibles par l’appareil d’analyse pour fournir des informations d’identification.
    • Pour la valeur du secret Azure KeyVault, utilisez les détails du compte gMSA au format Domaine ; Nom d'utilisateur

  9. Sélectionnez Suivant pour exécuter ou ignorer l’analyse de test. Pour plus d’informations sur les analyses de test, consultez Analyser et ajouter des périphériques réseau.

  10. Sélectionnez Suivant pour passer en revue les paramètres, puis sélectionnez Envoyer pour créer votre nouvelle analyse authentifiée.

Remarque

Comme le scanneur authentifié utilise actuellement un algorithme de chiffrement qui n’est pas conforme aux normes FIPS (Federal Information Processing Standards), le scanneur ne peut pas fonctionner lorsqu’un organization applique l’utilisation d’algorithmes conformes FIPS.

Pour autoriser les algorithmes qui ne sont pas conformes à FIPS, définissez la valeur suivante dans le Registre pour les appareils sur lesquels le scanneur s’exécutera : Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy avec une valeur DWORD nommée Enabled et la valeur de 0x0

Les algorithmes conformes à la norme FIPS sont utilisés uniquement par rapport aux ministères et organismes du États-Unis gouvernement fédéral.

Analyse authentifiée pour les API Windows

Vous pouvez utiliser des API pour créer une analyse et afficher toutes les analyses configurées existantes dans votre organization. Pour plus d’informations, consultez l’article suivant :