Hitelesített vizsgálat a Windowshoz

Érintett szolgáltatás:

• Microsoft Defender biztonságirés-kezelése
• Microsoft Defender XDR
• Microsoft Defender a 2. csomag kiszolgálóihoz

Megjegyzés:

A funkció használatához Microsoft Defender biztonságirés-kezelés Önálló verzióra, vagy ha már Végponthoz készült Microsoft Defender 2. csomag ügyfél, a Defender biztonságirés-kezelési bővítményre lesz szüksége.

A Windows hitelesített vizsgálata lehetővé teszi a vizsgálatok futtatását nem felügyelt Windows-eszközökön. Távolról célozhat IP-tartományok vagy gazdagépnevek szerint, és beolvashatja a Windows-szolgáltatásokat, ha hitelesítő adatokat biztosít Microsoft Defender biztonságirés-kezelés az eszközök távoli eléréséhez. A konfigurálást követően a rendszer rendszeresen ellenőrzi a célzott nem felügyelt eszközöket a szoftveres biztonsági rések felderítéséhez. Alapértelmezés szerint a vizsgálat négyóránként fog futni, és módosíthatja ezt az időközt, vagy csak egyszer futtathatja.

A biztonsági rendszergazdák ezután megtekinthetik a legújabb biztonsági javaslatokat, és áttekinthetik a megcélzott eszköz nemrégiben felfedezett biztonsági réseit a Microsoft Defender portálon.

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender biztonságirés-kezelés összes funkcióját? Megtudhatja, hogyan regisztrálhat az ingyenes próbaverzióra.

Szkenner telepítése

A hálózati eszközök által hitelesített vizsgálathoz hasonlóan egy ellenőrzőeszközre is szüksége lesz, amelyen telepítve van a képolvasó. Ha még nincs telepítve a képolvasó, a letöltési és telepítési lépéseket a Képolvasó telepítése című témakörben találja.

Megjegyzés:

A már telepített szkennerek esetében nincs szükség módosításokra.

Előfeltételek

A következő szakasz azokat az előfeltételeket sorolja fel, amelyek konfigurálásához konfigurálnia kell a Windows hitelesített vizsgálatának használatához.

Fiók vizsgálata

Az eszközök távoli eléréséhez ellenőrző fiók szükséges. Ennek csoportosan felügyelt szolgáltatásfióknak (gMsa) kell lennie.

Megjegyzés:

Azt javasoljuk, hogy a gMSA-fiók egy legkevésbé kiemelt fiók, amely csak a szükséges vizsgálati engedélyekkel rendelkezik, és úgy van beállítva, hogy rendszeresen váltson a jelszóval.

GMsa-fiók létrehozása:

1. Futtassa a következőt a tartományvezérlőn egy PowerShell-ablakban:

   New-ADServiceAccount -Name gmsa1 -PrincipalsAllowedToRetrieveManagedPassword scanner-win11-i$ -KerberosEncryptionType RC4, AES128, AES256 -Verbose
   

   • A gmsa1 a létrehozott fiók nevét jelenti, a scanner-win11-I$ pedig azt a gépnevet jelenti, amelyen a szkennerügynök futni fog. Csak ez a gép tudja lekérni a fiók jelszavát. Megadhatja a gépek vesszővel tagolt listáját.
   • Meglévő fiók módosítása a Get-ADServiceAccount és a Set-ADServiceAccount paranccsal végezhető el

2. Az AD-szolgáltatásfiók telepítéséhez azon a gépen, amelyen a szkennerügynök emelt szintű PowerShell-ablakkal fog futni, futtassa a következőt:

   Install-ADServiceAccount -Identity gmsa1
   

Ha a PowerShell nem ismeri fel ezeket a parancsokat, az valószínűleg azt jelenti, hogy hiányzik egy szükséges PowerShell-modul. A modul telepítésére vonatkozó utasítások az operációs rendszertől függően változnak. További információ: Első lépések csoportosan felügyelt szolgáltatásfiókokkal.

Vizsgálandó eszközök

Az alábbi táblázat útmutatást nyújt az egyes vizsgálandó eszközökön szükséges konfigurációkkal és a beolvasási fiókhoz szükséges engedélyekkel kapcsolatban:

Megjegyzés:

Az alábbi lépések csak egy ajánlott módszert jelentenek az egyes vizsgálandó eszközök engedélyeinek konfigurálására, és a Teljesítményfigyelő felhasználók csoportját használják. Az engedélyeket a következő módokon is konfigurálhatja:

• Adja hozzá a fiókot egy másik felhasználói csoporthoz, és adja meg a csoporthoz szükséges összes engedélyt.
• Ezeket az engedélyeket explicit módon adja meg a vizsgálati fióknak.

Az engedély csoportházirenddel vizsgálandó eszközcsoportra való konfigurálásához és alkalmazásához lásd: Eszközcsoport konfigurálása csoportházirenddel.

A vizsgálandó eszközökre vonatkozó követelmények	Leírás
A Windows Management Instrumentation (WMI) engedélyezve van	A távoli Windows Management Instrumentation (WMI) engedélyezése: Ellenőrizze, hogy fut-e a Windows Management Instrumentation szolgáltatás. Lépjen a Vezérlőpult>Minden Vezérlőpult elem>Windows Defender Tűzfal>által engedélyezett alkalmazások területre, és győződjön meg arról, hogy a Windows Management Instrumentation (WMI) engedélyezve van a Windows tűzfalon keresztül.
A beolvasási fiók a Teljesítményfigyelő felhasználók csoportjának tagja	A beolvasási fióknak a vizsgálandó eszköz Teljesítményfigyelő felhasználói csoportjának tagjának kell lennie.
A Teljesítményfigyelő felhasználói csoport "Fiók engedélyezése" és "Távoli engedélyezés" engedélyekkel rendelkezik a root/CIMV2 WMI-névtéren	Az engedélyek ellenőrzése vagy engedélyezése: Futtassa a wmimgmt.msc parancsot. Kattintson a jobb gombbal a WMI-vezérlő (helyi) elemre, és válassza a Tulajdonságok lehetőséget. Lépjen a Biztonság lapra. Válassza ki a megfelelő WMI-névteret, majd válassza a Biztonság lehetőséget. Adja hozzá a megadott csoportot, és válassza a lehetőséget az adott engedélyek engedélyezéséhez. Válassza a Speciális lehetőséget, válassza ki a megadott bejegyzést, majd válassza a Szerkesztés lehetőséget. A Hatókör értékeként adja meg a következőt: "Ez a névtér és alnévtér".
A Teljesítményfigyelő felhasználói csoportnak rendelkeznie kell engedélyekkel a DCOM-műveletekhez	Az engedélyek ellenőrzése vagy engedélyezése: Futtassa a dcomcnfg parancsot. Navigáljon a Komponensszolgáltatások>számítógépei>Sajátgép elemre. Kattintson a jobb gombbal a Sajátgép elemre, és válassza a Tulajdonságok lehetőséget. Lépjen a COM Biztonság lapra. Lépjen az Indítási és aktiválási engedélyek területre , és válassza a Korlátok szerkesztése lehetőséget. Adja hozzá a megadott csoportot, és válassza a távoli aktiválás engedélyezéséhez lehetőséget.

Eszközcsoport konfigurálása csoportházirenddel

A csoportházirendek segítségével tömegesen alkalmazhatja a beolvasandó eszközök egy csoportjára a szükséges konfigurációkat, valamint a beolvasási fiókhoz szükséges engedélyeket.

Az eszközcsoport egyidejű konfigurálásához kövesse az alábbi lépéseket egy tartományvezérlőn:

Lépés	Leírás
új Csoportházirend objektum Létrehozás	A tartományvezérlőn nyissa meg a Csoportházirend Felügyeleti konzolt. Az alábbi lépéseket követve Létrehozás egy Csoportházirend objektumot. A Csoportházirend objektum (GPO) létrehozása után kattintson a jobb gombbal a GPO-ra, és válassza a Szerkesztés lehetőséget a Csoportházirend Management Szerkesztő konzol megnyitásához, és hajtsa végre az alábbi lépéseket.
A Windows Management Instrumentation (WMI) engedélyezése	A távoli Windows Management Instrumentation (WMI) engedélyezése: Lépjen a Számítógép-konfigurációs>házirendek>Windows-beállítások>Biztonsági beállítások>Rendszerszolgáltatások területre. Kattintson a jobb gombbal a Windows Management Instrumentation elemre. Válassza a Házirend-beállítás definiálása mezőt, majd az Automatikus lehetőséget.
WMI engedélyezése a tűzfalon keresztül	A Windows Management Instrumentation (WMI) engedélyezése a tűzfalon keresztül: Lépjen a Számítógép-konfigurációs>házirendek>Windows-beállítások>Biztonsági beállítások>Windows Defender Tűzfal és Speciális biztonsági>bejövő szabályok területre. Kattintson a jobb gombbal, és válassza az Új szabály lehetőséget. Válassza az Előre definiált lehetőséget, majd a listából válassza a Windows Management Instrumentation (WMI) elemet. Ezután válassza a Tovább gombot. Jelölje be a Windows Management Instrumentation (WMI-In) jelölőnégyzetet. Ezután válassza a Tovább gombot. Válassza a Kapcsolat engedélyezése lehetőséget. Ezután válassza a Befejezés lehetőséget. Kattintson a jobb gombbal az újonnan hozzáadott szabályra, és válassza a Tulajdonságok parancsot. Lépjen a Speciális lapra, és törölje a Jelet a Privát és a Nyilvános beállításból, mivel csak a Tartomány szükséges.
DCOM-műveletek végrehajtásához szükséges engedélyek megadása	DCOM-műveletek végrehajtásához szükséges engedélyek megadása: Lépjen a Számítógép-konfigurációs>házirendek>Windows-beállítások>Biztonsági beállítások>Helyi házirendek>Biztonsági műveletek területre. Kattintson a jobb gombbal a DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) szintaxisban , és válassza a Tulajdonságok lehetőséget. Válassza a Házirend-beállítás megadása jelölőnégyzetet, és válassza a Biztonság szerkesztése lehetőséget. Adja hozzá azt a felhasználót vagy csoportot, akihez engedélyeket ad, és válassza a Távoli aktiválás lehetőséget.
Adjon engedélyeket a Root\CIMV2 WMI-névtérnek egy PowerShell-szkript csoportházirenden keresztüli futtatásával:	Létrehozás Egy PowerShell-szkriptet. A cikk későbbi , PowerShell-példaszkriptje című szakaszában talál egy olyan ajánlott szkriptet, amelyet igény szerint módosíthat. Lépjen a Számítógép-konfigurációs>házirendek>Windows-beállítási>szkriptek (indítás/leállítás)>Indítás területre Lépjen a PowerShell-szkriptek lapra. Válassza a Fájlok megjelenítése lehetőséget, és másolja a létrehozott szkriptet ebbe a mappába Térjen vissza a szkriptek konfigurációs ablakához, és válassza a Hozzáadás lehetőséget. Adja meg a szkript nevét.

PowerShell-példaszkript

Használja a következő PowerShell-szkriptet kiindulási pontként a Root\CIMV2 WMI-névtérhez való engedélyek csoportházirenden keresztüli megadásához:

Param ()

Process {
    $ErrorActionPreference = "Stop"
    $accountSID = "S-1-5-32-558" # Performance Monitor Users built-in group, please change or pass parameter as you wish
    $computerName = "."

    $remoteparams = @{ComputerName=$computerName}
    $invokeparams = @{Namespace="root\cimv2";Path="__systemsecurity=@"} + $remoteParams

    $output = Invoke-WmiMethod @invokeparams -Name GetSecurityDescriptor
    if ($output.ReturnValue -ne 0) {
        throw "GetSecurityDescriptor failed: $($output.ReturnValue)"
    }

    $acl = $output.Descriptor

    $CONTAINER_INHERIT_ACE_FLAG = 0x2
    $ACCESS_MASK = 0x21 # Enable Account + Remote Enable

    $ace = (New-Object System.Management.ManagementClass("win32_Ace")).CreateInstance()
    $ace.AccessMask = $ACCESS_MASK
    $ace.AceFlags = $CONTAINER_INHERIT_ACE_FLAG

    $trustee = (New-Object System.Management.ManagementClass("win32_Trustee")).CreateInstance()
    $trustee.SidString = $accountSID
    $ace.Trustee = $trustee

    $ACCESS_ALLOWED_ACE_TYPE = 0x0

    $ace.AceType = $ACCESS_ALLOWED_ACE_TYPE

    $acl.DACL += $ace.psobject.immediateBaseObject

    $setparams = @{Name="SetSecurityDescriptor";ArgumentList=$acl.psobject.immediateBaseObject} + $invokeParams

    $output = Invoke-WmiMethod @setparams
    if ($output.ReturnValue -ne 0) {
        throw "SetSecurityDescriptor failed: $($output.ReturnValue)"
    }
}

Miután alkalmazta a csoportházirend-objektum szabályzatát egy eszközre, a rendszer az összes szükséges beállítást alkalmazza, és a gMSA-fiókja hozzáférhet az eszközhöz, és beolvassa azokat.

Új hitelesített vizsgálat konfigurálása

Új hitelesített vizsgálat konfigurálása:

1. Lépjen a Beállítások>Eszközfelderítés>Hitelesített vizsgálatok területre a Microsoft Defender portálon.

2. Válassza az Add new scan (Új vizsgálat hozzáadása ) lehetőséget, válassza a Windows hitelesített vizsgálata lehetőséget, majd válassza a Next (Tovább) lehetőséget.

   

3. Adja meg a vizsgálat nevét.

4. Válassza ki a Beolvasási eszközt: A nem felügyelt eszközök vizsgálatához használni kívánt előkészített eszköz.

5. Adja meg a célhelyet (tartományt): A vizsgálni kívánt IP-címtartományok vagy állomásnevek. Megadhatja a címeket, vagy importálhat egy CSV-fájlt. A fájl importálása felülbírálja a manuálisan hozzáadott címeket.

6. Válassza ki a vizsgálati időközt: Alapértelmezés szerint a vizsgálat négyóránként fog futni, módosíthatja a vizsgálati időközt, vagy beállíthatja, hogy csak egyszer fusson a "Ne ismételje meg" lehetőséget választva.

7. Válassza ki a hitelesítési módszert – két lehetőség közül választhat:

   • Kerberos (előnyben részesített)
   • Tárgyalni

   Megjegyzés:

   Az egyeztetési lehetőség visszaáll az NTLM-be azokban az esetekben, amikor a Kerberos meghibásodik. Az NTLM használata nem ajánlott, mivel nem biztonságos protokoll.

8. Adja meg az eszközök távoli elérésére Microsoft Defender biztonságirés-kezelés használt hitelesítő adatokat:

   • Az azure KeyVault használata: Ha az Azure KeyVaultban kezeli a hitelesítő adatait, megadhatja az Azure KeyVault URL-címét és az Azure KeyVault titkos nevét, amelyhez a beolvasó eszköz hozzáférhet a hitelesítő adatok megadásához
   • Az Azure KeyVault titkos kód értékeként használja a gMSA-fiók adatait a Tartomány formátumban; Felhasználónév

9. Válassza a Tovább gombot a tesztvizsgálat futtatásához vagy kihagyásához. A tesztvizsgálatokkal kapcsolatos további információkért lásd: Hálózati eszközök vizsgálata és hozzáadása.

10. Válassza a Tovább lehetőséget a beállítások áttekintéséhez, majd válassza a Küldés lehetőséget az új hitelesített vizsgálat létrehozásához.

Megjegyzés:

Mivel a hitelesített szkenner jelenleg olyan titkosítási algoritmust használ, amely nem felel meg a Federal Information Processing Standards (FIPS) szabványnak, a szkenner nem működik, ha egy szervezet fips-kompatibilis algoritmusok használatát kényszeríti ki.

A FIPS-nek nem megfelelő algoritmusok engedélyezéséhez állítsa be a következő értéket a beállításjegyzékben azon eszközök esetében, amelyeken a szkenner futni fog: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy az Enabled (Engedélyezve) DWORD értékkel és a 0x0 értékével.

A FIPS-kompatibilis algoritmusokat csak az Egyesült Államok szövetségi kormány részlegei és ügynökségei használják.

Windows API-k hitelesített vizsgálata

Az API-k segítségével létrehozhat egy új vizsgálatot, és megtekintheti a szervezet összes meglévő konfigurált vizsgálatát. További információ:

• Az összes vizsgálati definíció lekérése
• Vizsgálati definíció hozzáadása, törlése vagy frissítése
• Az összes vizsgálati ügynök lekérése
• Vizsgálati ügynök lekérése azonosító szerint
• Vizsgálati előzmények lekérése definíció szerint
• Vizsgálati előzmények lekérése munkamenet szerint

Kapcsolódó cikkek

• Hálózati eszközök