次の方法で共有

Windows エンドポイント監視を構成する

  • [アーティクル]

この記事では、Microsoft Defender for IoT が Windows システムを選択的かつアクティブにプローブするように Windows エンドポイント監視 (WEM) を構成する方法について説明します。

WEM により、Service Pack レベルなど、Windows デバイスに関して焦点を絞った正確な情報が得られます。

サポートされるプロトコル

現在、Defender for IoT を使用した Windows エンドポイント監視でサポートされているプロトコルは、Windows システムを管理するための Microsoft の標準スクリプト言語である WMI のみです。

前提条件

この記事の手順を実行する前に、以下が必要となります。

必要なファイアウォール規則を構成する

センサーからスキャンされるサブネットへの送信トラフィック (UDP ポート 135 および 1024 を超えるすべての TCP ポートを使用) を開くファイアウォール規則を構成します。

WMI ドメイン スキャンを構成する

センサーからの WEM スキャンを構成する前に、スキャンする Windows マシンで WMI ドメイン スキャンを構成する必要があります。

この手順では、グループ ポリシー オブジェクト (GPO) を使用し、ファイアウォール設定を更新し、WMI 名前空間のアクセス許可を定義し、ローカル グループを定義して WMI スキャンを構成する方法について説明します。

WMI ドメイン スキャンの前提条件

  • Windows Management Instrumentation サービス (winmgmt) が自動開始モードであることを確認します。
  • wmiuser という名前のユーザーを作成します。 このユーザーが Windows マシンのドメイン ユーザーのメンバーであることを確認します。

グループ ポリシー オブジェクト (GPO) を構成する

  1. Windows マシンで、WMIAccess という名前の新しい GPO を作成します

  2. 新しい WMIAccess GPO を右クリックし、[編集] を選択します。

  3. [グループ ポリシー管理エディター] ウィンドウで、[コンピューターの構成] > [Windows の設定] > [セキュリティの設定] > [ローカル ポリシー] > [セキュリティ オプション] の順に選択します。

  4. [DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL)](DCOM: セキュリティ記述子定義言語 (SDDL) 構文でのコンピューター アクセス制限) ポリシーに移動してダブルクリックし、[プロパティ] ウィンドウを開いて [Template Security Policy Setting](テンプレート セキュリティ ポリシーの設定) タブを表示します。

    このポリシーのアクセスを構成するには、次の手順に従います。

    1. [セキュリティの編集] を選択し、[アクセス許可] ダイアログで [追加] を選択します。

    2. [選択するオブジェクト名を入力] ボックスに、「wmiuser」と入力します。 [名前の確認] を選択して設定を確認し、[OK] を選択します。

      wmiuser (wmiuser@DOMAIN.local)[アクセス許可] ダイアログに表示されるようになりました。

    3. [アクセス許可] ダイアログで、次の手順を実行します。

      1. [グループ名またはユーザー名] の一覧で、wmiuser を選択します。
      2. [ANONYMOUS LOGON のアクセス許可] ボックスで、[ローカル アクセス][リモート アクセス] の両方に [許可] を選択します。

      [OK] を選択して、[アクセス許可] ダイアログを閉じます。

  5. [グループ ポリシー管理エディター] ウィンドウに戻って、[コンピューターの構成] > [Windows の設定] > [セキュリティの設定] > [ローカル ポリシー] > [セキュリティ オプション] が選択されていることを確認します。

  6. [DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL)](DCOM: セキュリティ記述子定義言語 (SDDL) 構文でのコンピューター起動制限) ポリシーに移動してダブルクリックし、[プロパティ] ウィンドウを開いて [Template Security Policy Setting](テンプレート セキュリティ ポリシーの設定) タブを表示します。

    このポリシーのアクセスを構成するには、次の手順に従います。

    1. [セキュリティの編集] を選択し、[アクセス許可] ダイアログで [追加] を選択します。

    2. [選択するオブジェクト名を入力] ボックスに、「wmiuser」と入力します。 [名前の確認] を選択して設定を確認し、[OK] を選択します。

      wmiuser (wmiuser@DOMAIN.local)[アクセス許可] ダイアログに表示されるようになりました。

    3. [アクセス許可] ダイアログで、次の手順を実行します。

      1. [グループ名またはユーザー名] の一覧で、wmiuser を選択します。
      2. [管理者のアクセス許可] ボックスで、[ローカルからの起動][リモートからの起動][ローカルからのアクティブ化][リモートからのアクティブ化] のオプションに対して [許可] を選択します。

      [OK] を選択して、[アクセス許可] ダイアログを閉じます。

ファイアウォールを構成します

  1. 前に作成した WMIAccess GPO に戻り、[編集] を選択します。

  2. [グループ ポリシー管理エディター] ダイアログで、[コンピューターの構成] > [Windows の設定] > [セキュリティの設定] に移動し、[セキュリティが強化された Windows Defender ファイアウォール] ノードを展開します。

  3. [セキュリティが強化された Windows Defender ファイアウォール] で、[受信の規則] を右クリックし、[新しい規則...] を選択します。

  4. [新規の受信の規則ウィザード] で、[定義済み] を選択し、ドロップダウン メニューから [Windows Management Instrumentation] を選択します。

  5. [次へ] をクリックして続行します。 [定義済み規則] ウィンドウで、[規則] ボックスのすべての規則が選択されていることを確認します。

  6. [次へ] を選択して続行し、[接続を許可する]>[完了] を選択します。

WMI 名前空間用にアクセス許可を構成する

この手順は、WMI 名前空間のアクセス許可を定義する方法について説明し、通常の GPO では完了できません。

管理者以外のアカウントを使用して WEM スキャンを実行する場合、この手順は重要であり、WMI を使用したサインイン試行を許可するために指示されたとおり正確に実行する必要があります。

  1. Windows マシンで、[ファイル名を指定して実行] ダイアログを開き、「wmimgmt.msc」と入力します。

  2. wmimgmt - [Console Root\WMI Control (Local)] ダイアログで、[WMI コントロール (ローカル)] を右クリックし、[プロパティ] を選択します。

  3. [WMI コントロール (ローカル) のプロパティ] ダイアログで、[セキュリティ] タブ >[Root]>[セキュリティ] を選択します。

  4. [Security for ROOT\SECURITY](セキュリティ ROOT\SECURITY) ダイアログで、wmiuser アカウントが [グループ名またはユーザー名] ボックスに表示されていることを確認します。

    1. [追加] を選択し、[選択するオブジェクト名を入力] ボックスに、「wmiuser」と入力します。
    2. [名前の確認]>[OK] の順に選択します。

  5. [グループ名またはユーザー名] ボックスで、wmiuser アカウントを選択します。 [認証済みユーザーのアクセス許可] ボックスで、次のアクセス許可に対して [許可] を選択します。

    • メソッドの実行
    • アカウントの有効化
    • リモートの有効化
    • セキュリティの読み取り

  6. [Security for ROOT\SECURITY](セキュリティ ROOT\SECURITY) ダイアログで、[詳細設定] を選択します。 次に、[Root のセキュリティの詳細設定] ダイアログで、wmiuser アカウント >[編集] を選択します。

  7. [Permissions Entry for Root](Root のアクセス許可エントリ) ダイアログの [適用対象] ドロップダウン メニューから、[This namespace and all subnamespaces] (この名前空間とすべての副名前空間) を選択します。

    Note

    ツリー全体に再帰的にアクセス許可を適用する必要があります。

  8. この手順で開いたすべてのダイアログ ボックスが閉じるまで、[OK] を選択します。

wmiuser アカウントをローカルの Performance Log Users グループに追加する

  1. Performance Log Users グループの一部であることがわかっているユーザーを使用して、Windows マシンにサインインします。

  2. [ファイル名を指定して実行] ダイアログを開き、「compmgmt.msc」と入力します。

  3. [コンピューターの管理] ダイアログで、[コンピューターの管理 (ローカル)] > [システム ツール] >[ローカル ユーザーとグループ] > [グループ] を選択し、[Performance Log Users] をダブルクリックします。

  4. [追加] を選択し、[選択するオブジェクト名の入力] に「wmiuser」と入力して wmiuser をグループに追加します。 [名前の確認] を選択し、この手順で開いたすべてのダイアログ ボックスが閉じるまで [OK] を選択します。

センサー コンソールで WEM スキャンを構成する

WEM スキャンを構成するには:

  1. OT センサー コンソールで、[システム設定]>[ネットワーク監視]>[アクティブな検出]>[Windows エンドポイント監視 (WMI)] を選択します。

  2. [スキャン範囲の構成の編集] セクションで、スキャンしたい範囲を入力し、それらのリソースへのアクセスに必要なユーザー名とパスワードを追加します。

    • 最適なスキャン結果を得るには、ドメインまたはローカル管理者特権で値を入力することをお勧めします。
    • [範囲のインポート] を選択して、スキャンする一連の範囲を使用して .csv ファイルをインポートします。 .csv ファイルに次のデータが含まれていることを確認します。FROMTOUSERPASSWORDDISABLE。ここで、DISABLETRUE/FALSE として定義されます。
    • WEM スキャン用に現在構成されているすべての範囲の .csv リストを取得するには、[範囲のエクスポート] を選択します。

  3. [スキャンが実行されます] 領域で、スキャンを一定の間隔、数時間ごと、または特定の時刻のいずれで実行するかを定義します。 [特定の時刻] を選択すると、[スキャン時刻の追加] オプションが表示されます。このオプションを使用すると、特定の時刻に実行される複数のスキャンを構成できます。

    WEM スキャンは必要な頻度で実行するように構成できますが、一度に実行できる WEM スキャンは 1 つだけです。

  4. [保存] を選択し、次のいずれかを実行します。

    • 今すぐ手動でスキャンを実行するには、[変更の適用]>[手動でスキャン] を選択します。

    • 後で構成どおりにスキャンを実行できるようにするには、[変更の適用] を選択し、必要に応じてペインを閉じます。

スキャン結果を表示するには:

  1. スキャンが完了したら、センサー コンソールの [システム設定]>[ネットワーク監視]>[アクティブな検出]>[Windows エンドポイント監視 (WMI)] ページに戻ります。

  2. [スキャン結果の表示] を選択します。 スキャン結果を含む .csv ファイルがコンピューターにダウンロードされます。

次のステップ

詳細については、次を参照してください。