Configurer la surveillance des points de terminaison Windows

Cet article explique comment configurer la surveillance des points de terminaison Windows (WEM) pour que Microsoft Defender pour IoT examine de manière sélective et active les systèmes Windows.

WEM fournit ainsi des informations plus ciblées et précises sur vos appareils Windows, telles que les niveaux de Service Pack.

Protocoles pris en charge

Actuellement, le seul protocole pris en charge pour la surveillance des points de terminaison Windows avec Defender pour IoT est WMI, le langage de script standard de Microsoft pour la gestion des systèmes Windows.

Prérequis

Avant d’effectuer les procédures décrites dans cet article, vous devez disposer des éléments suivants :

• Un capteur réseau OT installé, configuré et activé.

• Un accès à votre capteur réseau OT en tant qu’utilisateur Administrateur. Pour plus d’informations, consultez Utilisateurs et rôles locaux pour le monitoring OT avec Defender pour IoT.

• Remplir les conditions préalables répertoriées dans l’article Configurer la surveillance active pour les réseaux OT et vérifier que la surveillance active est adaptée à votre réseau.

• Avant de pouvoir configurer une analyse WEM à partir de votre console de capteur OT, vous devez également configurer une règle de pare-feu et l’analyse de domaine WMI sur votre ordinateur Windows.

Configurer la règle de pare-feu requise

Configurez une règle de pare-feu qui ouvre le trafic sortant du capteur vers le sous-réseau analysé à l’aide du port UDP 135 et de tous les ports TCP au-dessus de 1024.

Configurer l’analyse de domaine WMI

Avant de pouvoir configurer une analyse WEM à partir de votre capteur, vous devez configurer l’analyse de domaine WMI sur l’ordinateur Windows que vous analysez.

Cette procédure décrit comment configurer l’analyse WMI à l’aide d’un objet de stratégie de groupe (GPO), la mise à jour des paramètres de votre pare-feu, la définition des autorisations pour votre espace de noms WMI et la définition d’un groupe local.

Conditions préalables pour l’analyse de domaine WMI

• Assurez-vous que le service Windows Management Instrumentation (winmgmt) est en mode de démarrage automatique.
• Créez un utilisateur nommé wmiuser. Assurez-vous que cet utilisateur est membre des utilisateurs du domaine sur votre ordinateur Windows.

Configurer un objet Stratégie de groupe (GPO)

1. Sur votre ordinateur Windows, créez un objet de stratégie de groupe nommé WMIAccess.

2. Cliquez avec le bouton droit sur votre nouvel objet de stratégie de groupe WMIAccess, puis sélectionnez Modifier.

3. Dans la fenêtre Éditeur de gestion de stratégie de groupe, sélectionnez Configuration d’ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité.

4. Accédez et double-cliquez sur la stratégie de syntaxe DCOM : restrictions d’accès à un ordinateur au format du langage SDDL (Security Descriptor Definition Language) pour ouvrir la fenêtre de propriétés dans l’onglet Paramètres de stratégie de sécurité du modèle.

   Pour configurer l’accès à cette stratégie, procédez comme suit :

   1. Sélectionnez Modifier la sécurité, puis, dans la boîte de dialogue Autorisation d’accès, sélectionnez Ajouter.

   2. Dans la zone Entrez les noms des objets à sélectionner, entrez wmiuser. Sélectionnez Vérifier les noms pour vérifier le paramètre, puis sélectionnez OK.

      Le wmiuser (wmiuser@DOMAIN.local) est maintenant répertorié dans la boîte de dialogue Autorisation d’accès.

   3. Dans la boîte de dialogue Autorisation d’accès :

      1. Dans la liste Noms de groupes ou d’utilisateurs, sélectionnez wmiuser.
      2. Dans la zone Autorisations pour OUVERTURE DE SESSION ANONYME, sélectionnez Autoriser à la fois pour Accès local et Accès à distance.

      Sélectionnez OK pour fermer la boîte de dialogue Autorisations d'accès.

5. De retour dans la fenêtre Éditeur de gestion de stratégie de groupe, assurez-vous de sélectionner Configuration d’ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité.

6. Accédez et double-cliquez sur la stratégie de syntaxe DCOM : restrictions de démarrage d’ordinateur au format du langage SDDL (Security Descriptor Definition Language) pour ouvrir la fenêtre de propriétés dans l’onglet Paramètres de stratégie de sécurité du modèle.

   Pour configurer l’accès à cette stratégie, procédez comme suit :

   1. Sélectionnez Modifier la sécurité, puis, dans la boîte de dialogue Autorisation d’accès, sélectionnez Ajouter.

   2. Dans la zone Entrez les noms des objets à sélectionner, entrez wmiuser. Sélectionnez Vérifier les noms pour vérifier le paramètre, puis sélectionnez OK.

      Le wmiuser (wmiuser@DOMAIN.local) est maintenant répertorié dans la boîte de dialogue Autorisation d’accès.

   3. Dans la boîte de dialogue Autorisation d’accès :

      1. Dans la liste Noms de groupes ou d’utilisateurs, sélectionnez wmiuser.
      2. Dans la zone Autorisations pour Administrateurs, sélectionnez Autoriser pour les options de démarrage local, de démarrage à distance, d’activation locale et d’activation à distance.

      Sélectionnez OK pour fermer la boîte de dialogue Autorisations d'accès.

Configuration de votre pare-feu

1. Revenez à votre objet de stratégie de groupe WMIAccess que vous avez créé précédemment, puis sélectionnez Modifier.

2. Dans la boîte de dialogue Éditeur de gestion de stratégie de groupe, accédez à Configuration de l’ordinateur > Paramètres Windows > Paramètres de sécurité et développez le pare-feu Windows Defender avec le nœud Sécurité avancée.

3. Sous Pare-feu Windows Defender avec fonctions avancées de sécurité, cliquez avec le bouton droit sur Règles de trafic entrant et sélectionnez Nouvelle règle...

4. Dans l’Assistant Nouvelle règle de trafic entrant, sélectionnez Prédéfini, puis sélectionnez Windows Management Instrumentation dans le menu déroulant.

5. Sélectionnez Suivant pour continuer. Dans le volet Règles prédéfinies, vérifiez que toutes les règles de la zone Règles sont sélectionnées.

6. Sélectionnez Suivant pour continuer, puis sélectionnez Autoriser la connexion>Terminer.

Configurer des autorisations pour votre espace de noms WMI

Cette procédure décrit comment définir des autorisations pour votre espace de noms WMI et ne peut pas être effectuée avec un GPO standard.

Si vous utilisez un compte non administrateur pour exécuter vos analyses WEM, cette procédure est critique et doit être effectuée exactement comme indiqué pour autoriser les tentatives de connexion à l’aide de WMI.

1. Sur votre ordinateur Windows, ouvrez une boîte de dialogue Exécuter et entrez wmimgmt.msc.

2. Dans la boîte de dialogue wmimgmt - [Racine de la console\Contrôle WMI (local)], cliquez avec le bouton droit sur Contrôle WMI (Local) et sélectionnez Propriétés.

3. Dans la boîte de dialogue Propriétés du contrôle WMI (local), sélectionnez l’onglet Sécurité>Racine>Sécurité.

4. Dans la boîte de dialogue Sécurité pour RACINE\SÉCURITÉ, vérifiez que le compte wmiuser est répertorié dans le champ Groupe ou noms d’utilisateur :

   1. Sélectionnez Ajouter et dans la zone Entrez les noms des objets à sélectionner, saisissez wmiuser.
   2. Sélectionnez Vérifier les noms>OK.

5. Dans le champ Groupe ou noms d’utilisateur, sélectionnez le compte wmiuser. Dans la zone Autorisations pour Utilisateurs authentifiés, sélectionnez Autoriser pour les autorisations suivantes :

   • Méthodes d’exécution
   • Activer le compte
   • Appel à distance autorisé
   • Consulter les données relatives à la sécurité

6. Dans la boîte de dialogue Sécurité pour RACINE\SÉCURITÉ, sélectionnez Avancé. Ensuite, dans la boîte de dialogue Paramètres de sécurité avancés pour la racine, sélectionnez le compte wmiuser>Modifier.

7. Dans la boîte de dialogue Autorisations Entrée pour la racine, dans le menu déroulant Appliquer à, sélectionnez Cet espace de noms et tous les sous-espaces de noms.

   Notes

   Vous devez appliquer des autorisations de manière récursive à l’arborescence entière.

8. Sélectionnez OK jusqu’à ce que toutes les boîtes de dialogue que vous avez ouvertes dans cette procédure soient fermées.

Ajoutez votre compte wmiuser au groupe Utilisateurs du journal des performances local

1. Connectez-vous à votre ordinateur Windows avec un utilisateur qui fait partie du groupe Utilisateurs du journal des performances.

2. Ouvrez une boîte de dialogue Exécuter et entrez compmgmt.msc.

3. Dans la boîte de dialogue Gestion de l’ordinateur, sélectionnez Gestion des ordinateurs (Local) > Outils système > Utilisateurs locaux et groupes > Groupes, puis double-cliquez sur Utilisateurs du journal des performances.

4. Sélectionnez Ajouter, puis, dans le champ Saisissez les noms d’objets à sélectionner, entrez wmiuser pour ajouter wmiuser au groupe. Sélectionnez Vérifier les noms puis OK jusqu’à ce que toutes les boîtes de dialogue que vous avez ouvertes dans cette procédure soient fermées.

Configurer une analyse WEM sur votre console du capteur

Pour configurer une analyse WEM :

1. Sur votre console de capteur OT, sélectionnez Paramètres système>Surveillance réseau >Découverte active>Surveillance des points de terminaison Windows (WMI).

2. Dans la section Modifier la configuration des plages d’analyse, entrez les plages que vous souhaitez analyser et ajoutez le nom d’utilisateur et le mot de passe requis pour accéder à ces ressources.

   • Nous vous recommandons d’entrer des valeurs avec des privilèges d’administrateur local ou de domaine pour obtenir les meilleurs résultats d’analyse.
   • Sélectionnez Importer des plages pour importer un fichier .csv avec un ensemble de plages que vous souhaitez analyser. Assurez-vous que votre fichier .csv inclut les données suivantes : FROM, TO, USER, PASSWORD, DISABLE, où DISABLE est défini comme TRUE/FALSE.
   • Pour obtenir une liste .csv de toutes les plages actuellement configurées pour les analyses WEM, sélectionnez Exporter des plages.

3. Dans la zone L’analyse s’exécutera, indiquez si vous souhaitez exécuter l’analyse selon des intervalles, toutes les heures ou à une heure spécifique. Si vous sélectionnez À heure spécifique, une option Ajouter une heure d’analyse supplémentaire s’affiche, que vous pouvez utiliser pour configurer l’exécution de plusieurs analyses à des moments spécifiques.

   Bien que vous puissiez configurer votre analyse WEM pour qu’elle s’exécute aussi souvent que vous le souhaitez, une seule analyse WEM peut s’exécuter à la fois.

4. Sélectionnez Enregistrer, puis effectuez l'une des opérations suivantes :

   • Pour exécuter votre analyse manuellement, sélectionnez Appliquer les modifications>Analyser manuellement.

   • Pour permettre à votre analyse de s’exécuter ultérieurement comme configuré, sélectionnez Appliquer les modifications, puis fermez le volet en fonction des besoins.

Pour afficher les résultats de l’analyse :

1. Une fois votre analyse terminée, revenez à la page Paramètres système>Surveillance réseau>Découverte active>Surveillance du point de terminaison Windows (WMI) sur la console de votre capteur.

2. Sélectionnez Afficher les résultats de l’analyse. Un fichier .csv contenant les résultats de l’analyse est téléchargé sur votre ordinateur.

Étapes suivantes

Pour plus d'informations, consultez les pages suivantes :

• Détecter les stations de travail et les serveurs Windows avec un script local
• Afficher l’inventaire de vos appareils à partir d’une console de capteur
• Afficher l’inventaire de votre appareil à partir du Portail Azure
• Configurer la surveillance active pour les réseaux OT
• Configurer les serveurs DNS pour la résolution de recherche inversée pour la surveillance OT »
• Importer des informations d’appareil sur un capteur »