שתף באמצעות


סריקה מאומתת עבור Windows

חל על:

הערה

כדי להשתמש בתכונה זו, תדרוש ניהול פגיעויות של Microsoft Defender עצמאי או אם אתה כבר לקוח של תוכנית Microsoft Defender עבור נקודת קצה 2, ההרחבה Defender Vulnerability Management.

סריקה מאומתת עבור Windows מספקת את היכולת להפעיל סריקות במכשירי Windows לא מנוהלים. באפשרותך לייעד מרחוק לפי טווחי IP או שם מארחים ולסרוק את שירותי Windows על-ידי ניהול פגיעויות של Microsoft Defender עם אישורים כדי לגשת מרחוק למכשירים. לאחר קביעת התצורה של ההתקנים המנוהקים הייעודיים, תתנסה באופן קבוע לאיתור פגיעויות תוכנה. כברירת מחדל, הסריקה תפעל כל ארבע שעות עם אפשרויות לשינוי מרווח זמן זה או שהוא יפעל פעם אחת בלבד.

מנהלי אבטחה יוכלו לראות את המלצות האבטחה האחרונות ולס לסקור פגיעויות שהתגלו לאחרונה עבור המכשיר הייעודי בפורטל Microsoft Defender החדש.

עצה

הידעת שתוכל לנסות את כל התכונות ב- ניהול פגיעויות של Microsoft Defender בחינם? גלה כיצד להירשם לקבלת גירסת ניסיון ללא תשלום.

התקנת סורק

בדומה לסריקה מאומתת של התקן רשת, תזדקק להתקן סריקה שבו הסורק מותקן. אם הסורק עדיין לא מותקן אצלך, ראה התקנת הסורק לקבלת שלבים לגבי אופן ההורדה וההתקנה שלו.

הערה

לא נדרשים שינויים עבור סורקים מותקנים קיימים מראש.

דרישות מוקדמות

הסעיף הבא מפרט את הדרישות המוקדמות הדרושות לך כדי להשתמש סריקה מאומתת עבור Windows.

סורק חשבון

נדרש חשבון סריקה כדי לגשת מרחוק למכשירים. חשבון זה חייב להיות חשבון שירות מנוהל של קבוצה (gMsa).

הערה

אנו ממליצים לחשבון gMSA הוא חשבון לפחות בעל הרשאות הרשאה עם הרשאות הסריקה הנדרשות בלבד, והוא מוגדר למחזור הסיסמה באופן קבוע.

כדי ליצור חשבון gMsa:

  1. בבקר התחום שלך בחלון PowerShell, הפעל את:

    New-ADServiceAccount -Name gmsa1 -PrincipalsAllowedToRetrieveManagedPassword scanner-win11-i$ -KerberosEncryptionType RC4, AES128, AES256 -Verbose
    
    • gmsa1 הוא השם של החשבון שאתה יוצר, וסורק-win11-I$ מייצג את שם המכונה שבו יפעל סוכן הסורק. רק מחשב זה יוכל לאחזר את סיסמת החשבון. באפשרותך לספק רשימה מופרדת באמצעות פסיקים של מחשבים.
    • ניתן לבצע שינוי חשבון קיים באמצעות Get-ADServiceAccount ו- Set-ADServiceAccount
  2. כדי להתקין את חשבון שירות AD, במחשב שבו סוכן הסורק יפעל באמצעות חלון PowerShell עם הרשאות מלאות, הפעל את:

    Install-ADServiceAccount -Identity gmsa1
    

אם PowerShell שלך אינו מזהה פקודות אלה, סביר להניח שחסר לך מודול נדרש של PowerShell. ההוראות לגבי אופן ההתקנה של המודול משתנות בהתאם למערכת ההפעלה שלך. לקבלת מידע נוסף, ראה תחילת העבודה עם חשבונות שירות מנוהלים של קבוצה.

מכשירים סרוקים

השתמש בטבלה הבאה לקבלת הדרכה לגבי התצורות הדרושות, יחד עם ההרשאות הדרושות עבור חשבון הסריקה, בכל מכשיר לסריקה:

הערה

השלבים הבאים הם רק דרך מומלצת אחת לקבוע את התצורה של ההרשאות בכל מכשיר שיש לסרוק ומשתמש בקבוצה Performance Monitor Users. באפשרותך גם לקבוע את תצורת ההרשאות בדרכים הבאות:

  • הוסף את החשבון לקבוצת משתמשים אחרת ותן את כל ההרשאות הדרושות לקבוצה זו.
  • הענק הרשאות אלה באופן מפורש לחשבון הסריקה.

כדי לקבוע את התצורה של ההרשאה ולהחיל אותה על קבוצת מכשירים שברצונך לסרוק באמצעות מדיניות קבוצתית, ראה קביעת תצורה של קבוצת מכשירים עם מדיניות קבוצתית.

התקנים לדרישות סרוקות תיאור
Windows Management Instrumentation (WMI) זמין כדי להפוך את Windows Management Instrumentation (WMI) מרוחק לזמין:
  • ודא ששירות Windows Management Instrumentation פועל.
  • עבור אל לוח הבקרה>כל לוח הבקרה> הפריטים Windows Defender היישומים> המותרים בחומת האש וודא ש- Windows Management Instrumentation (WMI) מותר דרך חומת האש של Windows.
'סריקת חשבון' היא חברה בקבוצה 'משתמשי צג ביצועים' חשבון הסריקה חייב להיות חבר בקבוצה Performance Monitor Users במכשיר כדי שניתן יהיה לסרוק אותו.
לקבוצת המשתמשים של צג הביצועים יש הרשאות 'הפוך חשבון לזמין' ו'זמין מרחוק' מרחב שמות של WMI של Root/CIMV2 כדי לאמת הרשאות אלה או להפוך הבאות לזמינות:
  • הפעל את wmimgmt.msc.
  • לחץ באמצעות לחצן העכבר הימני על בקרת WMI (מקומית)ובחר מאפיינים.
  • עבור אל הכרטיסיה אבטחה.
  • בחר את מרחב השמות הרלוונטי של WMI ובחר אבטחה.
  • הוסף את הקבוצה שצוינה ובחר כדי לאפשר הרשאות ספציפיות.
  • בחר מתקדם, בחר את הערך שצוין ובחר ערוך.
  • הגדר חל על על "מרחב שמות זה ומרווחי שמות משנה אלה".
לקבוצת המשתמשים של צג הביצועים צריכה להיות הרשאות בפעולות DCOM כדי לאמת הרשאות אלה או להפוך הבאות לזמינות:
  • הפעל את dcomcnfg.
  • נווט אל מחשבים של>שירותי רכיבים>המחשב שלי.
  • לחץ באמצעות לחצן העכבר הימני על המחשב שלי ובחר מאפיינים.
  • עבור אל הכרטיסיה אבטחת COM.
  • עבור אל הרשאות הפעלה והפעלה ובחר ערוך מגבלות.
  • הוסף את הקבוצה שצוינה ובחר כדי לאפשר הפעלה מרחוק.

קביעת תצורה של קבוצת מכשירים עם מדיניות קבוצתית

מדיניות קבוצתית תאפשר לך להחיל בצובר את התצורות הדרושות, וכן את ההרשאות הנדרשות עבור חשבון הסריקה, על קבוצת מכשירים לסריקה.

בצע שלבים אלה בבקר תחום כדי לקבוע תצורה של קבוצת מכשירים בו-זמנית:

שלב תיאור
Create אובייקט מדיניות קבוצתית חדש
  • בבקר התחום, פתח את מדיניות קבוצתית הניהול.
  • בצע שלבים אלה כדי Create אובייקט מדיניות קבוצתית אובייקט.
  • לאחר יצירת מדיניות קבוצתית אובייקט (GPO), לחץ באמצעות לחצן העכבר הימני על ה- GPO ובחר ערוך כדי לפתוח את מדיניות קבוצתית Management עורך Console ולבצע את השלבים הבאים.
הפוך את Windows Management Instrumentation (WMI) לזמין כדי להפוך את Windows Management Instrumentation (WMI) מרוחק לזמין:
  • עבור אל שירותי מערכת הגדרות>אבטחה> שלהגדרות Windows> פריטימדיניות>תצורת מחשב.
  • לחץ באמצעות לחצן העכבר הימני על Windows Management Instrumentation.
  • בחר את התיבה הגדר הגדרת מדיניות זו ובחר אוטומטי.
אפשר WMI דרך חומת האש כדי לאפשר ל- Windows Management Instrumentation (WMI) לעבור דרך חומת האש:
  • עבור אל הגדרות האבטחה של>הגדרות>תצורת המחשב של Windows>>Windows Defender חומת האש וכללי האבטחה>הנכנסת המתקדמים.
  • לחץ באמצעות לחצן העכבר הימני ובחר כלל חדש.
  • בחר מוגדר מראש ובחר Windows Management Instrumentation (WMI) מהרשימה. לאחר מכן בחר הבא.
  • בחר את תיבת הסימון Windows Management Instrumentation (WMI-In ). לאחר מכן בחר הבא.
  • בחר אפשר את החיבור. לאחר מכן בחר סיום.
  • לחץ באמצעות לחצן העכבר הימני על הכלל החדש שנוסף ובחר מאפיינים.
  • עבור אל הכרטיסיה מתקדם ובטל את הסימון של האפשרויות פרטייםוציבוריים כפי שנדרש תחום בלבד.
הענקת הרשאות לביצוע פעולות DCOM כדי להעניק הרשאות לביצוע פעולות DCOM:
  • עבוראל פעולות אבטחה של>מדיניות תצורת>מחשב הגדרות>> Windowsמדיניות מקומית>.
  • לחץ באמצעות לחצן העכבר הימני על DCOM: הגבלות הפעלת מחשב בתחביר שפת הגדרת מתאר אבטחה (SDDL)ובחר מאפיינים.
  • בחר הגדר הגדרת מדיניות זו ובחר ערוך אבטחה.
  • הוסף את המשתמש או הקבוצה שאתה מעניק להם הרשאות ובחר הפעלה מרחוק.
הענק הרשאות למרווח השמות של WMI Root\CIMV2 על-ידי הפעלת קובץ Script של PowerShell באמצעות מדיניות קבוצתית:
  • Create קובץ Script של PowerShell. עיין בקובץ Script לדוגמה של PowerShell בהמשך מאמר זה לקבלת קובץ Script מומלץ שבאפשרותך לשנות בהתאם לצרכים שלך.
  • עבור אל קבצי Script של>הגדרות>Windows של מדיניות תצורת>המחשב (הפעלה/כיבוי)אתחול>
  • עבור אל הכרטיסיה קבצי Script של PowerShell .
  • בחר הצג קבצים והעתק את קובץ ה- Script שיצרת לתיקיה זו
  • חזור אל חלונות תצורת קבצי ה- Script ובחר הוסף.
  • הזן את שם קובץ ה- Script.

קובץ Script לדוגמה של PowerShell

השתמש בקובץ ה- Script הבא של PowerShell כנקודת התחלה כדי להעניק הרשאות למרווח השמות של WMI Root\CIMV2 באמצעות מדיניות קבוצתית:

Param ()

Process {
    $ErrorActionPreference = "Stop"
    $accountSID = "S-1-5-32-558" # Performance Monitor Users built-in group, please change or pass parameter as you wish
    $computerName = "."

    $remoteparams = @{ComputerName=$computerName}
    $invokeparams = @{Namespace="root\cimv2";Path="__systemsecurity=@"} + $remoteParams

    $output = Invoke-WmiMethod @invokeparams -Name GetSecurityDescriptor
    if ($output.ReturnValue -ne 0) {
        throw "GetSecurityDescriptor failed: $($output.ReturnValue)"
    }

    $acl = $output.Descriptor

    $CONTAINER_INHERIT_ACE_FLAG = 0x2
    $ACCESS_MASK = 0x21 # Enable Account + Remote Enable

    $ace = (New-Object System.Management.ManagementClass("win32_Ace")).CreateInstance()
    $ace.AccessMask = $ACCESS_MASK
    $ace.AceFlags = $CONTAINER_INHERIT_ACE_FLAG

    $trustee = (New-Object System.Management.ManagementClass("win32_Trustee")).CreateInstance()
    $trustee.SidString = $accountSID
    $ace.Trustee = $trustee

    $ACCESS_ALLOWED_ACE_TYPE = 0x0

    $ace.AceType = $ACCESS_ALLOWED_ACE_TYPE

    $acl.DACL += $ace.psobject.immediateBaseObject

    $setparams = @{Name="SetSecurityDescriptor";ArgumentList=$acl.psobject.immediateBaseObject} + $invokeParams

    $output = Invoke-WmiMethod @setparams
    if ($output.ReturnValue -ne 0) {
        throw "SetSecurityDescriptor failed: $($output.ReturnValue)"
    }
}

לאחר החלת מדיניות GPO על מכשיר, כל ההגדרות הנדרשות יחולו וחשבון gMSA שלך יוכל לגשת למכשיר ולסרוק אותו.

קביעת תצורה של סריקה מאומתת חדשה

כדי לקבוע תצורה של סריקה מאומתת חדשה:

  1. עבור אל הגדרות>גילוי מכשירים>סריקות מאומתותבפורטל Microsoft Defender שלך.

  2. בחר הוסף סריקה חדשה ובחר סריקה מאומתת של Windows ובחר הבא.

    צילום מסך של מסך הוספת סריקה מאומתת חדשה

  3. הזן שם סריקה.

  4. בחר את התקן הסריקה: המכשיר הרשום שבו תשתמש כדי לסרוק את המכשירים הלא מנוהלים.

  5. הזן את היעד (טווח): טווחי כתובות ה- IP או שם המארח שברצונך לסרוק. באפשרותך להזין את הכתובות או לייבא קובץ CSV. ייבוא קובץ יעקוף כתובות שנוספו באופן ידני.

  6. בחר את מרווח הזמן לסריקה: כברירת מחדל, הסריקה תפעל כל ארבע שעות, תוכל לשנות את מרווח הסריקה או להפעיל אותה פעם אחת בלבד, על-ידי בחירה באפשרות 'אל תחזור'.

  7. בחר את שיטת האימות שלך - קיימות שתי אפשרויות לבחר:

    • Kerberos (מועדף)
    • לנהל משא ומתן

    הערה

    האפשרות 'נהל משא ומתן' חוזרת ל- NTLM במקרים שבהם Kerberos נכשל. השימוש ב- NTLM אינו מומלץ מאחר שהוא אינו פרוטוקול מאובטח.

  8. הזן את האישורים ניהול פגיעויות של Microsoft Defender כדי לגשת מרחוק למכשירים:

    • השתמש ב- Azure KeyVault: אם אתה מנהל את האישורים שלך ב- Azure KeyVault, באפשרותך להזין את כתובת ה- URL של Azure KeyVault ואת השם הסודי של Azure KeyVault כדי שניתן יהיה לגשת אליהם באמצעות התקן הסריקה כדי לספק אישורים
    • עבור הערך הסודי של Azure KeyVault, השתמש בפרטי חשבון gMSA בתבנית Domain; Username
  9. בחר הבא כדי להפעיל או לדלג על סריקת הבדיקה. לקבלת מידע נוסף אודות סריקות בדיקה, ראה סריקה והוספת התקני רשת.

  10. בחר הבא כדי לסקור את ההגדרות ולאחר מכן בחר שלח כדי ליצור את הסריקה המאומתת החדשה.

הערה

כאשר הסורק המורשה משתמש כעת באלגוריתם הצפנה שאינו תואם לתקני עיבוד המידע הפדרלי (FIPS), הסורק אינו יכול לפעול כאשר ארגון אוכף את השימוש באלגוריתמים תואמי FIPS.

כדי לאפשר אלגוריתמים שאינם תואמים ל- FIPS, הגדר את הערך הבא ברישום עבור המכשירים שבהם יפעל הסורק: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy עם ערך DWORD בשם Enabled וערך 0x0

אלגוריתמים תואמי FIPS משמשים רק ביחס למחלקות ולסוכנויות של ממשלת ארצות הברית.

סריקה מאומתת עבור ממשקי API של Windows

באפשרותך להשתמש בממשקי API כדי ליצור סריקה חדשה ולהצגת כל הסריקות הקיימות שתצורתן נקבעה בארגון שלך. לקבלת מידע נוסף, ראה: