A Windows-végpont monitorozásának konfigurálása

Ez a cikk azt ismerteti, hogyan konfigurálhatja a Windows Végpontfigyelést (WEM) úgy, hogy az Microsoft Defender az IoT-hez szelektíven és aktívan vizsgálja a Windows-rendszereket.

A WEM célzottabb és pontosabb információkat nyújthat a Windows-eszközökről, például a szervizcsomagok szintjeiről.

Támogatott protokollok

Jelenleg a Windows Végpontfigyelés az IoT-hez készült Defenderrel szolgáltatásban az egyetlen protokoll, amely a WmI, a Microsoft szabványos szkriptelési nyelve a Windows-rendszerek kezeléséhez.

Előfeltételek

A cikkben szereplő eljárások végrehajtása előtt a következőket kell tennie:

• Telepített, konfigurált és aktivált OT hálózati érzékelő.

• Hozzáférés az OT hálózati érzékelőhöz Rendszergazda felhasználóként. További információ: Helyszíni felhasználók és szerepkörök az IoT-hez készült Defender egyszeri bejelentkezéssel történő monitorozásához.

• Teljesítette az Aktív figyelés konfigurálása OT-hálózatokhoz című cikkben ismertetett előfeltételeket, és meggyőződött arról, hogy az aktív figyelés megfelelő a hálózat számára.

• Mielőtt konfigurálhat egy WEM-vizsgálatot az OT-érzékelő konzoljáról, tűzfalszabályt és WMI-tartományvizsgálatot is konfigurálnia kell a Windows-gépen.

A szükséges tűzfalszabály konfigurálása

Konfiguráljon egy tűzfalszabályt, amely megnyitja az érzékelőről a beolvasott alhálózatra érkező kimenő forgalmat a 135-ös UDP-port és az 1024 feletti összes TCP-port használatával.

WMI-tartományvizsgálat konfigurálása

Mielőtt konfigurálhat egy WEM-vizsgálatot az érzékelőről, konfigurálnia kell a WMI-tartományvizsgálatot a beolvasni kívánt Windows-gépen.

Ez az eljárás azt ismerteti, hogyan konfigurálható a WMI-vizsgálat egy Csoportházirend objektummal (GPO), hogyan frissítheti a tűzfalbeállításokat, hogyan definiálhatja a WMI-névtér engedélyeit, és hogyan definiálhat helyi csoportot.

A WMI-tartomány vizsgálatának előfeltételei

• Győződjön meg arról, hogy a Windows Management Instrumentation szolgáltatás (winmgmt) automatikus indítási módban van.
• Hozzon létre egy wmiuser nevű felhasználót. Győződjön meg arról, hogy ez a felhasználó tagja a Windows rendszerű számítógép tartományi felhasználóinak.

Csoportházirend objektum (GPO) konfigurálása

1. A Windows-gépen hozzon létre egy új, WMIAccess nevű csoportházirend-objektumot.

2. Kattintson a jobb gombbal az új WMIAccess csoportházirend-objektumra, és válassza a Szerkesztés parancsot.

3. A Csoportházirend Felügyeleti szerkesztő ablakban válassza a Számítógép konfigurációja > Windows-beállítások > Biztonsági beállítások > Helyi házirendek > Biztonsági beállítások lehetőséget.

4. Lépjen a DCOM: Géphozzáférés-korlátozások a biztonsági leíró definíciós nyelv (SDDL) szintaxisszabályzatában a tulajdonságok ablakának megnyitásához a Sablon biztonsági házirend beállítása lapra.

   A szabályzathoz való hozzáférés konfigurálásához kövesse az alábbi lépéseket:

   1. Válassza a Biztonság szerkesztése lehetőséget, majd a Hozzáférési engedély párbeszédpanelen válassza a Hozzáadás lehetőséget.

   2. Az Enter the object names to select (Adja meg a kijelölendő objektumneveket ) mezőbe írja be a wmiuser kifejezést. A beállítás ellenőrzéséhez válassza a Nevek ellenőrzése lehetőséget, majd kattintson az OK gombra.

      A wmiuser (wmiuser@DOMAIN.local) megjelenik a Hozzáférési engedély párbeszédpanelen.

   3. A Hozzáférési engedély párbeszédpanelen:

      1. A Csoport vagy felhasználónevek listában válassza a wmiuser elemet.
      2. A Névtelen bejelentkezéshez szükséges engedélyek mezőben válassza az Engedélyezéslehetőséget a Helyi hozzáféréshez és a Táveléréshez egyaránt.

      A Hozzáférési engedélyek párbeszédpanel bezárásához kattintson az OK gombra.

5. A Csoportházirend Felügyeleti szerkesztő ablakában győződjön meg arról, hogy a Számítógép konfigurációja > Windows-beállítások > Biztonsági beállítások > Helyi házirendek > biztonsági beállítások lehetőség van kiválasztva.

6. Lépjen a DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) szintaxisházirendre, és kattintson duplán a DCOM: Machine Launch Restrictions (DCOM: Machine Launch Restrictions in Security Descriptor Definition Language, SDDL) szintaxisházirendre, és nyissa meg a tulajdonságok ablakát a Sablon biztonsági házirend beállítása lapra.

   A szabályzathoz való hozzáférés konfigurálásához kövesse az alábbi lépéseket:

   1. Válassza a Biztonság szerkesztése lehetőséget, majd a Hozzáférési engedély párbeszédpanelen válassza a Hozzáadás lehetőséget.

   2. Az Enter the object names to select (Adja meg a kijelölendő objektumneveket ) mezőbe írja be a wmiuser kifejezést. A beállítás ellenőrzéséhez válassza a Nevek ellenőrzése lehetőséget, majd kattintson az OK gombra.

      A wmiuser (wmiuser@DOMAIN.local) megjelenik a Hozzáférési engedély párbeszédpanelen.

   3. A Hozzáférési engedély párbeszédpanelen:

      1. A Csoport vagy felhasználónevek listában válassza a wmiuser elemet.
      2. Az Engedélyek rendszergazdáknak mezőben válassza az Engedélyezés lehetőséget a Helyi indítás, a Távoli indítás, a Helyi aktiválás és a Távoli aktiválás beállításhoz.

      A Hozzáférési engedélyek párbeszédpanel bezárásához kattintson az OK gombra.

Konfigurálja a tűzfalát

1. Lépjen vissza a korábban létrehozott WMIAccess csoportházirend-objektumhoz, és válassza a Szerkesztés lehetőséget.

2. A Csoportházirend Management Editor párbeszédpanelen lépjen a Számítógép konfigurációja > Windows-beállítások > Biztonsági beállítások területre, és bontsa ki a Windows Defender Tűzfal speciális biztonsági csomóponttal csomópontot.

3. A Windows Defender Fokozott biztonságú tűzfal területen kattintson a jobb gombbal a Bejövő szabályok elemre, és válassza az Új szabály... lehetőséget.

4. Az Új bejövő szabály varázslóban válassza az Előre definiált elemet, majd a legördülő menüBen válassza a Windows Management Instrumentation elemet .

5. A folytatáshoz válassza a Tovább gombot. Az Előre definiált szabályok panelen győződjön meg arról, hogy a Szabályok mező összes szabálya ki van jelölve.

6. A folytatáshoz válassza a Tovább gombot, majd a Kapcsolat>befejezésének engedélyezése lehetőséget.

A WMI-névtér engedélyeinek konfigurálása

Ez az eljárás azt ismerteti, hogyan határozhatja meg a WMI-névtér engedélyeit, és nem hajtható végre normál csoportházirend-objektummal.

Ha nem rendszergazdai fiókot fog használni a WEM-vizsgálatok futtatásához, ez az eljárás kritikus fontosságú, és pontosan úgy kell végrehajtani, ahogyan a WMI használatával történő bejelentkezési kísérletek engedélyezésére vonatkozó utasítások szerint kell végrehajtani.

1. A Windows rendszerű gépen nyisson meg egy Futtatás párbeszédpanelt, és írja be a wmimgmt.msc parancsot.

2. A wmimgmt – [Konzolgyökér\WMI-vezérlő (helyi)] párbeszédpanelen kattintson a jobb gombbal a WMI-vezérlő (helyi) elemre, és válassza a Tulajdonságok lehetőséget.

3. A WMI-vezérlő (helyi) tulajdonságai párbeszédpanelen válassza a Biztonság lap Gyökérbiztonság elemét>>.

4. A ROOT\SECURITY biztonság párbeszédpanelen győződjön meg arról, hogy a wmiuser-fiók szerepel a Csoport vagy felhasználónevek mezőben:

   1. Válassza a Hozzáadás lehetőséget, majd az Enter the object names to select (Adja meg a kijelölendő objektumneveket ) mezőbe írja be a wmiuser kifejezést.
   2. Válassza a Nevek> ellenőrzéseOK gombot.

5. A Csoport vagy felhasználónév mezőben válassza ki a wmiuser-fiókot . A Hitelesített felhasználók engedélyei mezőben válassza az Engedélyezés lehetőséget a következő engedélyekhez:

   • Metódusok végrehajtása
   • Fiók engedélyezése
   • Távoli engedélyezés
   • Biztonság olvasása

6. A ROOT\SECURITY biztonság párbeszédpanelen válassza a Speciális lehetőséget. Ezután a Gyökérszintű biztonsági beállítások párbeszédpanelen válassza ki a wmiuser-fiók>Szerkesztés elemét.

7. A Gyökérengedélyek bejegyzése párbeszédpanel Hatókör legördülő menüjében válassza az Ez a névtér és az összes alnévtér lehetőséget.

   Megjegyzés

   Az engedélyeket rekurzív módon kell alkalmaznia a teljes fára.

8. Kattintson az OK gombra , amíg be nem zárja az eljárásban megnyitott összes párbeszédpanelt.

Wmiuser-fiók hozzáadása a helyi Teljesítménynapló-felhasználók csoporthoz

1. Jelentkezzen be Windows rendszerű gépére egy olyan felhasználóval, akiről tudja, hogy a Teljesítménynapló-felhasználók csoport tagja.

2. Nyisson meg egy Futtatás párbeszédpanelt, és írja be a compmgmt.msc parancsot.

3. A Számítógép-kezelés párbeszédpanelen válassza a Számítógép-kezelés (helyi) > rendszereszközök > Helyi felhasználók és csoportok > csoportokat lehetőséget, majd kattintson duplán a Teljesítménynapló-felhasználók elemre.

4. Válassza a Hozzáadás lehetőséget, majd az Enter the object names to select (Adja meg a kijelölendő objektumneveket) mezőbe írja be a wmiuser kifejezést, hogy hozzáadja a wmiusert a csoporthoz. Válassza a Névellenőrzés , majd az OK gombot, amíg be nem zárja az eljárásban megnyitott összes párbeszédpanelt.

WEM-vizsgálat konfigurálása az érzékelőkonzolon

WEM-vizsgálat konfigurálása:

1. Az OT érzékelőkonzolon válassza a Rendszerbeállítások>Hálózatfigyelés>Aktív felderítés>Windows-végpontfigyelés (WMI) lehetőséget.

2. A Vizsgálati tartományok konfigurációjának szerkesztése szakaszban adja meg a beolvasni kívánt tartományokat, és adja meg az erőforrások eléréséhez szükséges felhasználónevet és jelszót.

   • Javasoljuk, hogy a legjobb vizsgálati eredmények érdekében tartományi vagy helyi rendszergazdai jogosultságokkal adjon meg értékeket.
   • Válassza a Tartományok importálása lehetőséget egy .csv beolvasni kívánt tartománykészlettel rendelkező fájl importálásához. Győződjön meg arról, hogy a .csv fájl a következő adatokat tartalmazza: FROM, TO, USER, PASSWORD, DISABLE, where DISABLE is defined as TRUE/FALSE.
   • A WEM-vizsgálatokhoz jelenleg konfigurált tartományok .csv listájának lekéréséhez válassza a Tartományok exportálása lehetőséget.

3. A Vizsgálat területen adja meg, hogy intervallumokban, néhány óránként vagy egy adott időpontban szeretné-e futtatni a vizsgálatot. Ha a Megadott időpont szerint lehetőséget választja, megjelenik egy további Vizsgálati idő hozzáadása lehetőség, amellyel több, adott időpontban futó vizsgálatot konfigurálhat.

   Bár konfigurálhatja a WEM-vizsgálatot úgy, hogy a lehető leggyakrabban fusson, egyszerre csak egy WEM-vizsgálat futtatható.

4. Válassza a Mentés lehetőséget, majd végezze el az alábbi műveletek egyikét:

   • A vizsgálat manuális futtatásához válassza a Módosítások> manuálisvizsgálata lehetőséget.

   • Ha azt szeretné, hogy a vizsgálat később a konfigurált módon fusson, válassza a Módosítások alkalmazása lehetőséget, majd szükség szerint zárja be a panelt.

A vizsgálati eredmények megtekintése:

1. Ha a vizsgálat befejeződött, lépjen vissza a Rendszerbeállítások>Hálózatfigyelés>Aktív felderítés>Windows-végpontfigyelés (WMI) lapjára az érzékelőkonzolon.

2. Válassza a Vizsgálati eredmények megtekintése lehetőséget. A rendszer letölt egy .csv fájlt a vizsgálati eredményekről a számítógépre.

Következő lépések

További információkért lásd:

• Windows-munkaállomások és -kiszolgálók észlelése helyi szkripttel
• Eszközleltár megtekintése érzékelőkonzolról
• Eszközleltár megtekintése a Azure Portal
• Aktív monitorozás konfigurálása OT-hálózatokhoz
• DNS-kiszolgálók konfigurálása a névkeresés feloldásához az ot monitorozáshoz »
• Eszközadatok importálása érzékelőbe »