Windows Uç Nokta izlemeyi yapılandırma

Bu makalede, Windows Uç Nokta İzleme'nin (WEM) IoT için seçmeli olarak Microsoft Defender ve Windows sistemlerini etkin bir şekilde yoklaması için nasıl yapılandırıldığı açıklanır.

WEM, Windows cihazlarınız hakkında hizmet paketi düzeyleri gibi daha odaklanmış ve doğru bilgiler sağlayabilir.

Desteklenen protokoller

Şu anda IoT için Defender ile Windows Uç Nokta İzleme için desteklenen tek protokol, Microsoft'un Windows sistemlerini yönetmek için standart betik dili olan WMI'dır.

Önkoşullar

Bu makaledeki yordamları gerçekleştirmeden önce şunlara sahip olmanız gerekir:

• Bir OT ağ algılayıcısı yüklendi, yapılandırıldı ve etkinleştirildi.

• Yönetici kullanıcı olarak OT ağ algılayıcınıza erişim. Daha fazla bilgi için bkz. IoT için Defender ile OT izleme için şirket içi kullanıcılar ve roller.

• OT ağları için etkin izlemeyi yapılandırma bölümünde özetlenen önkoşullar tamamlandı ve etkin izlemenin ağınız için doğru olduğunu doğruladı.

• OT algılayıcı konsolunuzdan wem taraması yapılandırabilmeniz için önce bir güvenlik duvarı kuralı ve Windows makinenizde WMI etki alanı taraması yapılandırmanız gerekir.

Gerekli güvenlik duvarı kuralını yapılandırma

135 numaralı UDP bağlantı noktasını ve 1024 üzerindeki tüm TCP bağlantı noktalarını kullanarak algılayıcıdan taranan alt ağa giden trafiği açan bir güvenlik duvarı kuralı yapılandırın.

WMI etki alanı taramayı yapılandırma

Algılayıcınızdan bir WEM taraması yapılandırmadan önce, tarayabileceğiniz Windows makinesinde WMI etki alanı taramasını yapılandırmanız gerekir.

Bu yordamda, grup ilkesi Nesnesi (GPO) kullanarak WMI taramasını yapılandırma, güvenlik duvarı ayarlarınızı güncelleştirme, WMI ad alanınız için izinleri tanımlama ve yerel grup tanımlama işlemleri açıklanır.

WMI etki alanı tarama önkoşulları

• Windows Yönetim Araçları hizmetinin (winmgmt) otomatik başlangıç modunda olduğundan emin olun.
• wmiuser adlı bir kullanıcı oluşturun. Bu kullanıcının Windows makinenizdeki Etki alanı kullanıcılarının bir üyesi olduğundan emin olun.

grup ilkesi Nesnesi Yapılandırma (GPO)

1. Windows makinenizde WMIAccess adlı yeni bir GPO oluşturun.

2. Yeni WMIAccess GPO'nuza sağ tıklayın ve Düzenle'yi seçin.

3. grup ilkesi Yönetim Düzenleyicisi penceresinde Bilgisayar Yapılandırması > Windows Ayarları Güvenlik Ayarları >> Yerel İlkeler > Güvenlik Seçenekleri'ni seçin.

4. Özellikler penceresini Şablon Güvenlik İlkesi Ayarı sekmesine açmak için DCOM: Güvenlik Tanımlayıcısı Tanım Dili (SDDL) söz diziminde Makine Erişimi Kısıtlamaları ilkesine gidin ve bu ilkeye çift tıklayın.

   Bu ilkeye erişimi yapılandırmak için aşağıdaki adımları kullanın:

   1. Güvenliği Düzenle'yi seçin ve erişim izni iletişim kutusunda Ekle'yi seçin.

   2. Seçecek nesne adlarını girin kutusunawmiuser yazın. Ayarı doğrulamak için Adları Denetle'yi ve ardından Tamam'ı seçin.

      Wmiuser (wmiuser@DOMAIN.local) artık Erişim İzni iletişim kutusunda listelenmiştir.

   3. Erişim İzni iletişim kutusunda:

      1. Grup veya kullanıcı adları listesinde wmiuser'ı seçin.
      2. ANONIM OTURUM AÇMA İzinleri kutusunda Hem Yerel Erişim hem de Uzaktan Erişim için İzin Ver'i seçin.

      Erişim İzinleri iletişim kutusunu kapatmak için Tamam'ı seçin.

5. grup ilkesi Yönetim Düzenleyicisi penceresine dönün, Bilgisayar Yapılandırması > Windows Ayarları Güvenlik Ayarları >> Yerel İlkeler > Güvenlik Seçenekleri'nin seçili olduğundan emin olun.

6. Özellikler penceresini Şablon Güvenlik İlkesi Ayarı sekmesine açmak için DCOM: Güvenlik Tanımlayıcısı Tanım Dili (SDDL) söz diziminde Makine Başlatma Kısıtlamaları ilkesine gidin ve bu ilkeye çift tıklayın.

   Bu ilkeye erişimi yapılandırmak için aşağıdaki adımları kullanın:

   1. Güvenliği Düzenle'yi seçin ve erişim izni iletişim kutusunda Ekle'yi seçin.

   2. Seçecek nesne adlarını girin kutusunawmiuser yazın. Ayarı doğrulamak için Adları Denetle'yi ve ardından Tamam'ı seçin.

      Wmiuser (wmiuser@DOMAIN.local) artık Erişim İzni iletişim kutusunda listelenmiştir.

   3. Erişim İzni iletişim kutusunda:

      1. Grup veya kullanıcı adları listesinde wmiuser'ı seçin.
      2. Yöneticiler için İzinler kutusunda Yerel Başlatma, Uzaktan Başlatma, Yerel Etkinleştirme ve Uzaktan Etkinleştirme seçenekleri için İzin Ver'i seçin.

      Erişim İzinleri iletişim kutusunu kapatmak için Tamam'ı seçin.

Güvenlik duvarınızı yapılandırma

1. Daha önce oluşturduğunuz WMIAccess GPO'nuza geri dönün ve Düzenle'yi seçin.

2. grup ilkesi Yönetim Düzenleyicisi iletişim kutusunda Bilgisayar Yapılandırması > Windows Ayarları > Güvenlik Ayarları'na gidin ve Gelişmiş Güvenlik ile Windows Defender Güvenlik Duvarı düğümünü genişletin.

3. Gelişmiş Güvenlik özellikli Windows Defender Güvenlik Duvarı'nın altında Gelen Kuralları'nı sağ tıklatın ve Yeni Kural... seçeneğini belirleyin.

4. Yeni Gelen Kuralı Sihirbazı'ndaÖnceden Tanımlanmış'ı ve ardından açılan menüden Windows Yönetim Araçları'nı seçin.

5. Devam etmek için İleri seçeneğini belirleyin. Önceden Tanımlanmış Kurallar bölmesinde, Kurallar kutusundaki tüm kuralların seçili olduğundan emin olun.

6. Devam etmek için İleri'yi ve ardındanBağlantıNın>Sonlarına İzin Ver'iseçin.

WMI ad alanınız için izinleri yapılandırma

Bu yordam, WMI ad alanınız için izinleri tanımlamayı açıklar ve normal bir GPO ile tamamlanamaz.

WEM taramalarınızı çalıştırmak için yönetici olmayan bir hesap kullanıyorsanız, bu yordam kritiktir ve WMI kullanarak oturum açma girişimlerine izin vermek için tam olarak açıklandığı gibi gerçekleştirilmelidir.

1. Windows makinenizde çalıştır iletişim kutusunu açın ve wmimgmt.msc girin.

2. wmimgmt - [Konsol Kökü\WMI Denetimi (Yerel)] iletişim kutusunda WMI Denetimi (Yerel) öğesine sağ tıklayın ve Özellikler'i seçin.

3. WMI Denetimi (Yerel) Özellikleri iletişim kutusunda Güvenlik sekmesini Kök>Güvenlik'i> seçin.

4. ROOT\SECURITY için Güvenlik iletişim kutusunda, wmiuser hesabının Grup veya kullanıcı adları kutusunda listelendiğinden emin olun:

   1. Ekle'yi seçin ve Seçecek nesne adlarını girin kutusunawmiuser yazın.
   2. Adları> DenetleTamam'ı seçin.

5. Grup veya kullanıcı adları kutusunda wmiuser hesabını seçin. Kimliği Doğrulanmış Kullanıcıların İzinleri kutusunda, aşağıdaki izinler için İzin Ver'i seçin:

   • Yürütme Yöntemleri
   • Hesabı Etkinleştir
   • Uzaktan Etkinleştir
   • Güvenlik Okuma

6. ROOT\SECURITY için Güvenlik iletişim kutusunda Gelişmiş'i seçin. Ardından , Kök için Gelişmiş Güvenlik Ayarları iletişim kutusunda wmiuser hesabını >Düzenle'yi seçin.

7. Kök için İzin Girdisi iletişim kutusundaki Uygula açılan menüsünden Bu ad alanı ve tüm alt ad alanları'nı seçin.

   Not

   İzinleri ağacın tamamına yinelemeli olarak uygulamanız gerekir.

8. Bu yordamda açtığınız tüm iletişim kutuları kapatılana kadar Tamam'ı seçin.

Wmiuser hesabınızı yerel Performans Günlüğü Kullanıcıları grubuna ekleme

1. Performans Günlüğü Kullanıcıları grubunun bir parçası olduğunu bildiğiniz bir kullanıcıyla Windows makinenizde oturum açın.

2. Çalıştır iletişim kutusunu açın ve compmgmt.msc girin.

3. Bilgisayar Yönetimi iletişim kutusunda Bilgisayar Yönetimi (Yerel) > Sistem Araçları > Yerel Kullanıcılar ve Gruplar Grupları'nı > seçin vePerformans Günlüğü Kullanıcıları'na çift tıklayın.

4. Ekle'yi seçin ve seçecek nesne adlarını girin alanına wmiuser girerek wmiuser öğesini gruba ekleyin. Adları Denetle'yi seçin ve ardından bu yordamda açtığınız tüm iletişim kutuları kapatılana kadar Tamam'ı seçin.

Algılayıcı konsolunuzda WEM taraması yapılandırma

WEM taraması yapılandırmak için:

1. OT algılayıcı konsolunuzda Sistem ayarları>Ağ izleme>Etkin bulma>Windows Uç Nokta İzleme (WMI) öğesini seçin.

2. Tarama aralıklarını düzenle yapılandırması bölümünde, taramak istediğiniz aralıkları girin ve bu kaynaklara erişmek için gereken kullanıcı adını ve parolayı ekleyin.

   • En iyi tarama sonuçları için değerleri etki alanı veya yerel yönetici ayrıcalıklarıyla girmenizi öneririz.
   • Taramak istediğiniz aralık kümesine sahip bir .csv dosyasını içeri aktarmak için Aralıkları içeri aktar'ı seçin. .csv dosyanızda şu verilerin bulunduğundan emin olun: FROM, TO, USER, PASSWORD, DISABLE; burada DISABLETRUE/FALSE olarak tanımlanır.
   • WEM taramaları için yapılandırılmış olan tüm aralıkların .csv listesini almak için Aralıkları dışarı aktar'ı seçin.

3. Tarama çalıştırılacak alanında, taramayı aralıklarla mı, birkaç saatte bir mi yoksa belirli bir saatte mi çalıştırmak istediğinizi tanımlayın. Belirli bir zamana göre'yi seçerseniz, belirli zamanlarda çalışan çeşitli taramaları yapılandırmak için kullanabileceğiniz ek bir Tarama süresi ekle seçeneği görüntülenir.

   WEM taramanızı istediğiniz sıklıkta çalışacak şekilde yapılandırabilirsiniz ancak aynı anda yalnızca bir WEM taraması çalıştırılabilir.

4. Kaydet'i seçin ve aşağıdakilerden birini yapın:

   • Taramanızı şimdi el ile çalıştırmak için Değişiklikleri> uygulaEl ile tarama'yı seçin.

   • Taramanızın daha sonra yapılandırıldığı gibi çalışmasına izin vermek için Değişiklikleri uygula'yı seçin ve gerektiğinde bölmeyi kapatın.

Tarama sonuçlarını görüntülemek için:

1. Taramanız tamamlandığında, algılayıcı konsolunuzda Sistem ayarları>Ağ izleme>Etkin bulma>Windows Uç Nokta İzleme (WMI) sayfasına geri dönün.

2. Tarama Sonuçlarını Görüntüle'yi seçin. Tarama sonuçlarını içeren bir .csv dosyası bilgisayarınıza indirilir.

Sonraki adımlar

Daha fazla bilgi için bkz.

• Yerel betikle Windows iş istasyonlarını ve sunucularını algılama
• Cihaz envanterinizi algılayıcı konsolundan görüntüleme
• Cihaz envanterinizi Azure portal
• OT ağları için etkin izlemeyi yapılandırma
• OT izleme için geriye doğru arama çözümlemesi için DNS sunucularını yapılandırma »
• Cihaz bilgilerini algılayıcıya aktarma »