Configurar o monitoramento de ponto de extremidade do Windows

Este artigo descreve como configurar o WEM (Monitoramento de Ponto de Extremidade do Windows) para que o Microsoft Defender para IoT investigue seletivamente e ativamente os sistemas Windows.

O WEM pode fornecer informações mais focadas e precisas sobre os seus dispositivos Windows, como níveis de service pack.

Protocolos com suporte

Atualmente, o único protocolo compatível com o Monitoramento de Ponto de Extremidade do Windows com o Defender para IoT é o WMI, a linguagem de script padrão da Microsoft para gerenciar sistemas Windows.

Pré-requisitos

Antes de executar os procedimentos neste artigo, você precisa ter:

• Um sensor de rede OT instalado, configurado e ativado.

• Ter acesso ao seu sensor de rede OT como um Administrador. Para obter mais informações, confira Usuários locais e funções para monitoramento de OT com o Defender para IoT.

• Ter concluído os pré-requisitos descritos no artigo Configurar o monitoramento ativo para redes OT e confirmado que o monitoramento ativo é adequado para a sua rede.

• Antes de configurar uma verificação do WEM no console do sensor OT, você também precisará configurar uma regra de firewall e a verificação de domínio WMI em seu computador Windows.

Configurar a regra de firewall necessária

Configure uma regra de firewall que abra o tráfego de saída do sensor para a sub-rede examinada usando a porta UDP 135 e todas as portas TCP acima de 1024.

Configurar a verificação de domínio WMI

Antes de configurar uma verificação do WEM no sensor, é necessário configurar a verificação de domínio WMI no computador Windows que você irá verificar.

Este procedimento descreve como configurar a verificação de WMI usando um GPO (Objeto de Política de Grupo), atualizar as configurações de firewall, definir permissões para o namespace do WMI e definir um grupo local.

Pré-requisitos para verificação do domínio WMI

• Verifique se o serviço de Instrumentação de Gerenciamento do Windows (winmgmt) está no modo de início automático.
• Crie um usuário nomeado wmiuser. Verifique se esse usuário é um membro dos usuários do Domínio no computador Windows.

Configurar um GPO (Política de Grupo)

1. No computador Windows, crie um GPO nomeado WMIAccess.

2. Clique com o botão direito do mouse no novo GPO WMIAccess e selecione Editar.

3. Na janela Editor de Gerenciamento de Política de Grupo, selecione Configuração do Computador > Configurações do Windows > Configurações de Segurança > Políticas Locais > Opções de Segurança.

4. Navegue até e clique duas vezes na política DCOM: Restrições de Acesso ao Computador na sintaxe da Linguagem de Definição do Descritor de Segurança (SDDL) para abrir a janela de propriedades na guia Configuração de Política de Segurança de Modelo.

   Use as etapas a seguir para configurar o acesso a esta política:

   1. Selecione Editar Segurança e, no diálogo Permissão de Acesso, selecione Adicionar.

   2. Na caixa Digite os nomes de objeto a serem selecionados, digite wmiuser. Selecione Verificar Nomes para verificar a configuração e, em seguida, selecione OK.

      O wmiuser (wmiuser@DOMAIN.local) agora está listado no diálogo Permissão de Acesso.

   3. No diálogo Permissão de Acesso:

      1. Na lista Nomes de usuário ou grupo, selecione wmiuser.
      2. Na caixa Permissões para LOGON ANÔNIMO, selecione Permitir em Acesso local e Acesso remoto.

      Selecione OK para fechar diálogo Permissões de Acesso.

5. No Editor de Gerenciamento de Política de Grupo, verifique se você selecionou Configuração do Computador > Configurações do Windows > Configurações de Segurança > Políticas Locais > Opções de Segurança.

6. Navegue até e clique duas vezes na política DCOM: Restrições de Inicialização do Computador na sintaxe da Linguagem de Definição do Descritor de Segurança (SDDL) para abrir a janela de propriedades na guia Configuração de Política de Segurança de Modelo.

   Use as etapas a seguir para configurar o acesso a esta política:

   1. Selecione Editar Segurança e, no diálogo Permissão de Acesso, selecione Adicionar.

   2. Na caixa Digite os nomes de objeto a serem selecionados, digite wmiuser. Selecione Verificar Nomes para verificar a configuração e, em seguida, selecione OK.

      O wmiuser (wmiuser@DOMAIN.local) agora está listado no diálogo Permissão de Acesso.

   3. No diálogo Permissão de Acesso:

      1. Na lista Nomes de usuário ou grupo, selecione wmiuser.
      2. Na caixa Permissões para Administradores, selecione Permitir nas opções Inicialização Local, Inicialização Remota, Ativação Local e Ativação Remota.

      Selecione OK para fechar diálogo Permissões de Acesso.

Configurar seu firewall

1. Retorne para o GPO WMIAccess que você criou anteriormente e selecione Editar.

2. Na caixa de diálogo Editor de Gerenciamento de Política de Grupo, acesse Configurações do Computador > Configurações do Windows > Configurações de Segurança e expanda o nó Windows Defender Firewall com Segurança Avançada.

3. Em Firewall do Windows Defender com Segurança Avançada, clique com o botão direito do mouse em Regras de Entrada e selecione Nova Regra.

4. No Assistente de Nova Regra de Entrada, selecione Predefinido e, em seguida, selecione Instrumentação de Gerenciamento do Windows no menu suspenso.

5. Selecione Avançar para continuar. No painel Regras Predefinidas, verifique se todas as regras na caixa Regras estão selecionadas.

6. Selecione Avançar para continuar e, em seguida, selecione Permitir a conexão>Finalizar.

Configurar permissões para o namespace WMI

Este procedimento descreve como definir permissões para o namespace WMI e não pode ser concluído com um GPO regular.

Se você estiver usando uma conta que não seja do administrador para executar suas verificações de WEM, esse procedimento será crítico e deverá ser executado exatamente como instruído para permitir tentativas de entrada usando o WMI.

1. No computador Windows, abra um diálogo Executar e insira wmimgmt.msc.

2. No diálogo wmimgmt - [Raiz do Console\Controle WMI (Local)], clique com o botão direito do mouse em Controle WMI (Local) e selecione Propriedades.

3. Na caixa de diálogo Propriedades do Controle do WMI (Local), clique na guia Segurança>Raiz>Segurança.

4. No diálogo Segurança para ROOT\SECURITY, verifique se a conta wmiuser está listada na caixa Grupo ou nomes de usuário:

   1. Selecione Adicionar, e, na caixa Digite os nomes de objeto a serem selecionados, digite wmiuser.
   2. Selecione Verificar Nomes>OK.

5. Na caixa Grupo ou nomes de usuário, selecione a conta wmiuser. Na caixa Permissões para Usuários Autenticados, selecione Permitir para as seguintes permissões:

   • Executar métodos
   • Habilitar Conta
   • Habilitação Remota
   • Ler Segurança

6. No diálogo Segurança para ROOT\SECURITY, selecione Avançado. Em seguida, no diálogo Configurações de Segurança Avançada de Raiz, selecione a conta wmiuser>Editar.

7. No diálogo Entrada de Permissões para Raiz, no menu suspenso Aplicar a, selecione Este namespace e todos os subnamespaces.

   Observação

   Você deve aplicar as permissões recursivamente a toda a árvore.

8. Selecione OK até que todas as caixas de diálogo abertas neste procedimento sejam fechadas.

Adicionar sua conta wmiuser ao Grupo de usuários do log de desempenho local

1. Entre no computador Windows com um usuário que você conhece que faça parte do grupo Usuários do Log de Desempenho.

2. Abra um diálogo Executar e insira compmgmt.msc.

3. No diálogo Gerenciamento do Computador, selecione Gerenciamento do Computador (Local) > Ferramentas do Sistema > Usuários e Grupos Locais > Grupos e clique duas vezes em Usuários do Log de Desempenho.

4. Selecione Adicionar e, em seguida, Digite os nomes de objeto a serem selecionados, insira wmiuser para adicionar wmiuser ao grupo. Selecione Verificar nomes e, em seguida, OK até que todas as caixas de diálogo abertas neste procedimento sejam fechadas.

Configurar uma verificação do WEM no console do sensor

Para configurar uma verificação do WEM:

1. No console do sensor OT, selecione Configurações do sistema>Monitoramento de rede>Descoberta ativa>Monitoramento de ponto de extremidade do Windows (WMI).

2. Na seção Editar configuração de intervalos de verificação, insira os intervalos que você deseja examinar e adicione o nome de usuário e senha necessários para acessar esses recursos.

   • Recomendamos inserir valores com privilégios de administrador local ou domínio para obter os melhores resultados de verificação.
   • Selecione Intervalos de importação para importar um arquivo .csv com um conjunto de intervalos que você deseja verificar. Verifique se o arquivo .csv inclui os seguintes dados: FROM, TO, USER, PASSWORD, DISABLE, onde DISABLE é definido como TRUE/FALSE.
   • Para obter uma lista .csv de todos os intervalos atualmente configurados para verificações do WEM, selecione Exportar intervalos.

3. Na área A verificação será executada, defina se você deseja executar a verificação em intervalos, a cada poucas horas ou por um horário específico. Se você selecionar Por tempo específico, uma opção adicional Adicionar tempo de verificação será exibida, que você pode usar para configurar diversas verificações em execução em horários específicos.

   Embora você possa configurar a verificação do WEM para ser executada com a frequência que desejar, apenas uma verificação do WEM pode ser executada por vez.

4. Selecione Salvar e siga um destes procedimentos:

   • Para executar a verificação manualmente, selecione Aplicar alterações>Verificar manualmente.

   • Para permitir que a verificação seja executada posteriormente conforme configurado, selecione Aplicar alterações e feche o painel, conforme necessário.

Para ver os resultados do exame:

1. Quando a verificação for concluída, volte para a página Configurações do sistema>Monitoramento de rede>Descoberta ativa>Monitoramento de ponto de extremidade do Windows (WMI) no console do sensor.

2. Selecione Exibir os resultados do exame. Um arquivo .csv com os resultados do exame é baixado no seu computador.

Próximas etapas

Para obter mais informações, consulte:

• Detectar estações de trabalho e servidores do Windows com um script local
• Exibir o inventário do dispositivo de um console de sensor
• Exibir o inventário de dispositivos no portal do Azure
• Configurar o monitoramento ativo para redes de OT
• Configurar servidores DNS para resolução de pesquisa inversa para monitoramento de OT»
• Importar informações do dispositivo para um sensor »