Verificação autenticada para Windows

Aplica-se a:

• Gerenciamento de Vulnerabilidades do Microsoft Defender
• Microsoft Defender XDR
• Microsoft Defender para Servidores Plano 2

Observação

Para usar esse recurso, você precisará Gerenciamento de Vulnerabilidades do Microsoft Defender Autônomo ou se já for um cliente do Plano 2 Microsoft Defender para Ponto de Extremidade, o complemento gerenciamento de vulnerabilidades do Defender.

A verificação autenticada para Windows fornece a capacidade de executar verificações em dispositivos Windows não gerenciados. Você pode direcionar remotamente por intervalos de IP ou nomes de host e verificar serviços windows fornecendo Gerenciamento de Vulnerabilidades do Microsoft Defender com credenciais para acessar remotamente os dispositivos. Depois de configurados, os dispositivos não gerenciados de destino serão verificados regularmente em busca de vulnerabilidades de software. Por padrão, a verificação será executada a cada quatro horas com opções para alterar esse intervalo ou executá-lo apenas uma vez.

Em seguida, os administradores de segurança podem ver as recomendações de segurança mais recentes e examinar vulnerabilidades descobertas recentemente para o dispositivo de destino no portal Microsoft Defender.

Dica

Você sabia que pode experimentar todos os recursos em Gerenciamento de Vulnerabilidades do Microsoft Defender gratuitamente? Descubra como se inscrever para uma avaliação gratuita.

Instalação do scanner

Semelhante à verificação autenticada do dispositivo de rede , você precisará de um dispositivo de verificação com o scanner instalado. Se você ainda não tiver o scanner instalado, consulte Instalar o scanner para obter etapas sobre como baixá-lo e instalá-lo.

Observação

Não são necessárias alterações para scanners instalados pré-existentes.

Pré-requisitos

A seção a seguir lista os pré-requisitos necessários para configurar para usar a verificação autenticada para Windows.

Conta de verificação

Uma conta de verificação é necessária para acessar remotamente os dispositivos. Essa deve ser uma conta de serviço gerenciada por grupo (gMsa).

Observação

Recomendamos que a conta gMSA seja uma conta menos privilegiada com apenas as permissões de verificação necessárias e está definida para pedalar a senha regularmente.

Para criar uma conta gMsa:

1. Em seu controlador de domínio em uma janela do PowerShell, execute:

   New-ADServiceAccount -Name gmsa1 -PrincipalsAllowedToRetrieveManagedPassword scanner-win11-i$ -KerberosEncryptionType RC4, AES128, AES256 -Verbose
   

   • gmsa1 significa o nome da conta que você está criando e o scanner-win11-I$ significa o nome do computador em que o agente do scanner será executado. Somente esse computador poderá recuperar a senha da conta. Você pode fornecer uma lista separada por vírgulas de computadores.
   • A modificação de uma conta existente pode ser feita com Get-ADServiceAccount e Set-ADServiceAccount

2. Para Instalar a Conta de Serviço do AD, no computador em que o agente do scanner será executado usando uma janela do PowerShell elevada, execute:

   Install-ADServiceAccount -Identity gmsa1
   

Se o PowerShell não reconhecer esses comandos, provavelmente significa que você está perdendo um módulo do PowerShell necessário. As instruções sobre como instalar o módulo variam dependendo do sistema operacional. Para obter mais informações, consulte Introdução com contas de serviço gerenciadas por grupo.

Dispositivos a serem verificados

Use a tabela abaixo para obter diretrizes sobre as configurações necessárias, juntamente com as permissões necessárias para a conta de verificação, em cada dispositivo a ser verificado:

Observação

As etapas abaixo são apenas uma maneira recomendada de configurar as permissões em cada dispositivo a serem examinadas e usa o grupo Monitor de Desempenho Usuários. Você também pode configurar as permissões das seguintes maneiras:

• Adicione a conta a um grupo de usuários diferente e forneça todas as permissões necessárias para esse grupo.
• Forneça essas permissões explicitamente à conta de verificação.

Para configurar e aplicar a permissão a um grupo de dispositivos a serem verificados usando uma política de grupo, consulte Configurar um grupo de dispositivos com uma política de grupo.

Dispositivos a serem verificados requisitos	Descrição
A WMI (Instrumentação de Gerenciamento do Windows) está habilitada	Para habilitar a WMI (instrumentação remota de gerenciamento do Windows): Verifique se o serviço de Instrumentação de Gerenciamento do Windows está em execução. Acesse Painel de Controle>Todos Painel de Controle Itens Windows DefenderAplicativos permitidos> por firewall> e verifique se a WMI (Instrumentação de Gerenciamento do Windows) é permitida por meio do Firewall do Windows.
A conta de verificação é um membro do grupo Monitor de Desempenho Usuários	A conta de verificação deve ser um membro do grupo Monitor de Desempenho Usuários no dispositivo a ser verificado.
Monitor de Desempenho Grupo de usuários tem permissões 'Habilitar conta' e 'Habilitação Remota' no namespace WMI Raiz/CIMV2	Para verificar ou habilitar essas permissões: Execute wmimgmt.msc. Clique com o botão direito do mouse em Controle WMI (Local) e selecione Propriedades. Acesse a guia Segurança. Selecione o namespace WMI relevante e selecione Segurança. Adicione o grupo especificado e selecione para permitir as permissões específicas. Selecione Avançado, escolha a entrada especificada e selecione Editar. Defina Aplica-se a "Este namespace e subnamespaces".
Monitor de Desempenho Grupo de usuários deve ter permissões em operações DCOM	Para verificar ou habilitar essas permissões: Execute dcomcnfg. Navegue atéComputadores>do Component Services>Meu Computador. Clique com o botão direito do mouse em Meu Computador e escolha Propriedades. Acesse a guia Segurança COM. Acesse Permissões de Inicialização e Ativação e selecione Editar Limites. Adicione o grupo especificado e selecione para permitir a Ativação Remota.

Configurar um grupo de dispositivos com uma política de grupo

Uma política de grupo permitirá que você aplique em massa as configurações necessárias, bem como as permissões necessárias para a conta de verificação, a um grupo de dispositivos a serem verificados.

Siga estas etapas em um controlador de domínio para configurar um grupo de dispositivos ao mesmo tempo:

Etapa	Descrição
Criar um Objeto de Política de Grupo	No controlador de domínio, abra o Console de Gerenciamento Política de Grupo. Siga estas etapas para Create um objeto Política de Grupo. Depois que o GPO (objeto Política de Grupo) for criado, clique com o botão direito do mouse em seu GPO e selecione Editar para abrir o console Editor de Gerenciamento de Política de Grupo e concluir as etapas abaixo.
Habilitar a WMI (Instrumentação de Gerenciamento do Windows)	Para habilitar a WMI (instrumentação remota de gerenciamento do Windows): AcessePolíticasde Configuração> do Computador Configurações >do Windows Configurações> deSegurança Serviços>do Sistema. Clique com o botão direito do mouse em Instrumentação de Gerenciamento do Windows. Selecione a caixa Definir essa política e escolha Automático.
Permitir WMI por meio do firewall	Para permitir a WMI (Instrumentação de Gerenciamento do Windows) por meio do firewall: AcessePolíticasde Configuração> do ComputadorConfigurações>do Windows Configurações> de > Segurança Windows Defender Firewall e Regras avançadasdeentrada de segurança>. Clique com o botão direito do mouse e selecione Nova Regra. Escolha Predefinido e selecione WMI (Instrumentação de Gerenciamento do Windows) na lista. Em seguida, selecione Avançar. Selecione a caixa de seleção WMI-In (Instrumentação de Gerenciamento do Windows). Em seguida, selecione Avançar. Selecione Permitir a conexão. Em seguida, selecione Concluir. Clique com o botão direito do mouse na regra recém-adicionada e selecione Propriedades. Acesse a guia Avançado e desmarque as opções Privada e Pública , pois somente domínio é necessário.
Conceder permissões para executar operações DCOM	Para conceder permissões para executar operações DCOM: Acesse Políticas de configuração> do computadorConfigurações> doWindows Configurações>de segurança Configurações>de segurança Operações de segurança políticas>locais. Clique com o botão direito do mouse em DCOM: restrições de inicialização de máquina na sintaxe SDDL (Linguagem de Definição de Descritor de Segurança) e selecione Propriedades. Selecione Definir essa caixa de configuração de política e selecione Editar Segurança. Adicione o usuário ou grupo ao qual você está concedendo permissões e selecione Ativação Remota.
Conceda permissões ao namespace WMI Root\CIMV2 executando um script do PowerShell por meio da política de grupo:	Create um script do PowerShell. Consulte o script do PowerShell de exemplo mais adiante neste artigo para obter um script recomendado que você pode modificar de acordo com suas necessidades. Acesse Políticas de Configuração> do ComputadorScripts>de Configurações> do Windows(Inicialização/Desligamento)>Inicialização Acesse a guia Scripts do PowerShell . Selecione Mostrar Arquivos e copie o script que você criou para esta pasta Retorne às janelas de configuração de scripts e selecione Adicionar. Insira o nome do script.

Exemplo de script do PowerShell

Use o seguinte script do PowerShell como ponto de partida para conceder permissões ao namespace WMI Root\CIMV2 por meio da política de grupo:

Param ()

Process {
    $ErrorActionPreference = "Stop"
    $accountSID = "S-1-5-32-558" # Performance Monitor Users built-in group, please change or pass parameter as you wish
    $computerName = "."

    $remoteparams = @{ComputerName=$computerName}
    $invokeparams = @{Namespace="root\cimv2";Path="__systemsecurity=@"} + $remoteParams

    $output = Invoke-WmiMethod @invokeparams -Name GetSecurityDescriptor
    if ($output.ReturnValue -ne 0) {
        throw "GetSecurityDescriptor failed: $($output.ReturnValue)"
    }

    $acl = $output.Descriptor

    $CONTAINER_INHERIT_ACE_FLAG = 0x2
    $ACCESS_MASK = 0x21 # Enable Account + Remote Enable

    $ace = (New-Object System.Management.ManagementClass("win32_Ace")).CreateInstance()
    $ace.AccessMask = $ACCESS_MASK
    $ace.AceFlags = $CONTAINER_INHERIT_ACE_FLAG

    $trustee = (New-Object System.Management.ManagementClass("win32_Trustee")).CreateInstance()
    $trustee.SidString = $accountSID
    $ace.Trustee = $trustee

    $ACCESS_ALLOWED_ACE_TYPE = 0x0

    $ace.AceType = $ACCESS_ALLOWED_ACE_TYPE

    $acl.DACL += $ace.psobject.immediateBaseObject

    $setparams = @{Name="SetSecurityDescriptor";ArgumentList=$acl.psobject.immediateBaseObject} + $invokeParams

    $output = Invoke-WmiMethod @setparams
    if ($output.ReturnValue -ne 0) {
        throw "SetSecurityDescriptor failed: $($output.ReturnValue)"
    }
}

Depois que a política de GPO for aplicada a um dispositivo, todas as configurações necessárias serão aplicadas e sua conta gMSA poderá acessar e examinar o dispositivo.

Configurar uma nova verificação autenticada

Para configurar uma nova verificação autenticada:

1. Acesse Configurações>Descoberta de dispositivo>Verificações autenticadas no portal Microsoft Defender.

2. Selecione Adicionar nova verificação e escolha Verificação autenticada pelo Windows e selecione Avançar.

   

3. Insira um nome de verificação.

4. Selecione o dispositivo de verificação: o dispositivo integrado que você usará para examinar os dispositivos não gerenciados.

5. Insira o Destino (intervalo): os intervalos de endereços IP ou nomes de host que você deseja examinar. Você pode inserir os endereços ou importar um arquivo CSV. A importação de um arquivo substituirá todos os endereços adicionados manualmente.

6. Selecione o intervalo de verificação: por padrão, a verificação será executada a cada quatro horas, você pode alterar o intervalo de verificação ou executá-lo apenas uma vez, selecionando "Não repita".

7. Escolha seu método de Autenticação – há duas opções para escolher:

   • Kerberos (preferencial)
   • Negociar

   Observação

   A opção Negociar retornará ao NTLM nos casos em que Kerberos falhar. O uso do NTLM não é recomendado, pois não é um protocolo seguro.

8. Insira as credenciais Gerenciamento de Vulnerabilidades do Microsoft Defender usará para acessar remotamente os dispositivos:

   • Use azure KeyVault: Se você gerenciar suas credenciais no Azure KeyVault, poderá inserir a URL do Azure KeyVault e o nome secreto do Azure KeyVault a serem acessados pelo dispositivo de verificação para fornecer credenciais
   • Para o valor secreto do Azure KeyVault, use detalhes da conta gMSA no formato Domínio; Username

9. Selecione Avançar para executar ou ignorar a verificação de teste. Para obter mais informações sobre verificações de teste, consulte Verificar e adicionar dispositivos de rede.

10. Selecione Avançar para examinar as configurações e selecione Enviar para criar sua nova verificação autenticada.

Observação

Como o scanner autenticado atualmente usa um algoritmo de criptografia que não está em conformidade com o FIPS (Federal Information Processing Standards), o scanner não pode operar quando uma organização impõe o uso de algoritmos compatíveis com FIPS.

Para permitir algoritmos que não estejam em conformidade com o FIPS, defina o seguinte valor no registro para os dispositivos em que o scanner será executado: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy com um valor DWORD chamado Habilitado e valor de 0x0

Algoritmos compatíveis com FIPS são usados apenas em relação a departamentos e agências do Estados Unidos governo federal.

Verificação autenticada para APIs do Windows

Você pode usar APIs para criar uma nova verificação e exibir todas as verificações configuradas existentes em sua organização. Para saber mais, veja:

• Obter todas as definições de verificação
• Adicionar, excluir ou atualizar uma definição de verificação
• Obter todos os agentes de verificação
• Obter agente de verificação por Id
• Obter histórico de verificação por definição
• Obter histórico de verificação por sessão

Artigos relacionados

• Dispositivos de rede