Aracılığıyla paylaş

Windows için kimliği doğrulanmış tarama

  • Makale

Şunlar için geçerlidir:

Not

Bu özelliği kullanmak için Tek Başına Microsoft Defender Güvenlik Açığı Yönetimi veya zaten bir Uç Nokta için Microsoft Defender Plan 2 müşterisiyseniz Defender Güvenlik Açığı Yönetimi eklentisi gerekir.

Windows için kimliği doğrulanmış tarama, yönetilmeyen Windows cihazlarında tarama çalıştırma olanağı sağlar. IP aralıklarına veya ana bilgisayar adlarına göre uzaktan hedefleme yapabilir ve cihazlara uzaktan erişmek için Microsoft Defender Güvenlik Açığı Yönetimi kimlik bilgileri sağlayarak Windows hizmetlerini tarayabilirsiniz. Yapılandırıldıktan sonra hedeflenen yönetilmeyen cihazlar, yazılım güvenlik açıkları için düzenli olarak taranır. Varsayılan olarak tarama, bu aralığı değiştirme veya yalnızca bir kez çalıştırma seçenekleriyle dört saatte bir çalıştırılır.

Güvenlik yöneticileri daha sonra en son güvenlik önerilerini görebilir ve Microsoft Defender portalında hedeflenen cihaz için yakın zamanda bulunan güvenlik açıklarını gözden geçirebilir.

İpucu

Microsoft Defender Güvenlik Açığı Yönetimi'deki tüm özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Ücretsiz deneme sürümüne kaydolmayı öğrenin.

Tarayıcı Yüklemesi

Ağ cihazı kimliği doğrulanmış taramaya benzer şekilde, tarayıcının yüklü olduğu bir tarama cihazına ihtiyacınız olacaktır. Tarayıcı henüz yüklü değilse, tarayıcıyı indirme ve yükleme adımları için bkz. Tarayıcıyı yükleme.

Not

Önceden var olan yüklü tarayıcılar için değişiklik yapılması gerekmez.

Önkoşullar

Aşağıdaki bölümde, Windows için Kimliği Doğrulanmış taramayı kullanmak üzere yapılandırmanız gereken önkoşullar listelanmaktadır.

Hesap taranıyor

Cihazlara uzaktan erişmek için bir tarama hesabı gereklidir. Bu bir Grup Yönetilen Hizmet Hesabı (gMsa) olmalıdır.

Not

gMSA hesabının yalnızca gerekli tarama izinlerine sahip en düşük ayrıcalıklı hesap olması ve parolayı düzenli olarak döngüye almak için ayarlanmasını öneririz.

gMsa hesabı oluşturmak için:

  1. PowerShell penceresindeki etki alanı denetleyicinizde şunu çalıştırın:

    New-ADServiceAccount -Name gmsa1 -PrincipalsAllowedToRetrieveManagedPassword scanner-win11-i$ -KerberosEncryptionType RC4, AES128, AES256 -Verbose
    • gmsa1, oluşturduğunuz hesabın adını, scanner-win11-I$ ise tarayıcı aracısının çalıştırılacağı makine adını ifade eder. Hesap parolasını yalnızca bu makine alabilir. Makinelerin virgülle ayrılmış bir listesini sağlayabilirsiniz.
    • Mevcut bir hesabın değiştirilmesi Get-ADServiceAccount ve Set-ADServiceAccount ile yapılabilir

  2. AD Hizmet Hesabını Yüklemek için tarayıcı aracısının yükseltilmiş bir PowerShell penceresi kullanarak çalıştırılacağı makinede şunu çalıştırın:

    Install-ADServiceAccount -Identity gmsa1

PowerShell'iniz bu komutları tanımıyorsa, büyük olasılıkla gerekli bir PowerShell modülünü kaçırdığınız anlamına gelir. Modülü yükleme yönergeleri işletim sisteminize bağlı olarak değişir. Daha fazla bilgi için bkz. Grup Yönetilen Hizmet Hesaplarını Kullanmaya Başlama.

Taranacak cihazlar

Taranacak her cihazda tarama hesabı için gereken izinlerle birlikte gerekli yapılandırmalarla ilgili yönergeler için aşağıdaki tabloyu kullanın:

Not

Aşağıdaki adımlar, taranacak her cihazda izinleri yapılandırmanın ve kullanıcılar grubunu Performans İzleyicisi kullanmanın yalnızca bir önerilen yoludur. İzinleri aşağıdaki yollarla da yapılandırabilirsiniz:

  • Hesabı farklı bir kullanıcı grubuna ekleyin ve bu grup için gereken tüm izinleri verin.
  • Tarama hesabına bu izinleri açıkça verin.

Grup ilkesi kullanılarak taranacak bir cihaz grubuna izin yapılandırmak ve uygulamak için bkz. Grup ilkesiyle cihaz grubu yapılandırma.

Taranacak cihazlar gereksinimleri Açıklama
Windows Yönetim Araçları (WMI) etkin Uzak Windows Yönetim Araçları'nı (WMI) etkinleştirmek için:
  • Windows Yönetim Araçları hizmetinin çalıştığını doğrulayın.
  • Denetim Masası>Tüm Denetim Masası Öğeleri>Windows Defender Güvenlik Duvarıİzin verilen uygulamalar'a gidin ve Windows Güvenlik Duvarı > aracılığıyla Windows Yönetim Araçları'na (WMI) izin verildiğinden emin olun.
Tarama hesabı Performans İzleyicisi Kullanıcıları grubunun bir üyesidir Tarama hesabının taranacak cihazdaki Performans İzleyicisi Kullanıcıları grubunun bir üyesi olması gerekir.
Performans İzleyicisi Kullanıcılar grubunun Kök/CIMV2 WMI ad alanında 'Hesabı Etkinleştir' ve 'Uzaktan Etkinleştirme' izinleri vardır Bu izinleri doğrulamak veya etkinleştirmek için:
  • wmimgmt.msc dosyasını çalıştırın.
  • WMI Denetimi 'ne (Yerel) sağ tıklayın ve Özellikler'i seçin.
  • Güvenlik sekmesine gidin.
  • İlgili WMI ad alanını seçin ve Güvenlik'i seçin.
  • Belirtilen grubu ekleyin ve belirli izinlere izin vermek için öğesini seçin.
  • Gelişmiş'i seçin, belirtilen girdiyi seçin ve Düzenle'yi seçin.
  • Şunun için geçerlidir: "Bu ad alanı ve alt ad alanları" olarak ayarlayın.
Performans İzleyicisi Kullanıcılar grubu DCOM işlemleri üzerinde izinlere sahip olmalıdır Bu izinleri doğrulamak veya etkinleştirmek için:
  • dcomcnfg komutunu çalıştırın.
  • Bileşen Hizmetleri>Bilgisayarları>Bilgisayarım'a gidin.
  • Bilgisayarım'a sağ tıklayın ve Özellikler'i seçin.
  • COM Güvenliği sekmesine gidin.
  • Başlatma ve Etkinleştirme İzinleri'ne gidin ve Sınırları Düzenle'yi seçin.
  • Belirtilen grubu ekleyin ve Uzaktan Etkinleştirme'ye izin vermek için öğesini seçin.

Grup ilkesiyle cihaz grubunu yapılandırma

Grup ilkesi, gerekli yapılandırmaları ve tarama hesabı için gerekli izinleri taranacak bir cihaz grubuna toplu olarak uygulamanıza olanak tanır.

Bir cihaz grubunu aynı anda yapılandırmak için bir etki alanı denetleyicisinde şu adımları izleyin:

Adım Açıklama
Yeni bir grup ilkesi Nesnesi İçerik Oluşturucu
  • Etki alanı denetleyicisinde grup ilkesi Yönetim Konsolu'nu açın.
  • bir grup ilkesi Nesnesi İçerik Oluşturucu için bu adımları izleyin.
  • grup ilkesi Nesneniz (GPO) oluşturulduktan sonra GPO'nuza sağ tıklayın ve Düzenle'yi seçerek grup ilkesi Yönetimi Düzenleyici konsolunu açın ve aşağıdaki adımları tamamlayın.
Windows Yönetim Araçları'nı (WMI) etkinleştirme Uzak Windows Yönetim Araçları'nı (WMI) etkinleştirmek için:
  • Bilgisayar Yapılandırma>İlkeleri>Windows Ayarları>Güvenlik Ayarları>Sistem Hizmetleri'ne gidin.
  • Windows Yönetim Araçları'ne sağ tıklayın.
  • Bu ilkeyi tanımla ayarını seçin ve Otomatik'i seçin.
Güvenlik duvarı üzerinden WMI'ye izin ver Windows Yönetim Araçları'na (WMI) güvenlik duvarı üzerinden izin vermek için:
  • Bilgisayar Yapılandırma>İlkeleri>Windows Ayarları>Güvenlik Ayarları>Windows Defender Güvenlik Duvarı ve Gelişmiş Güvenlik>Gelen Kuralları'na gidin.
  • Sağ tıklayın ve Yeni Kural'ı seçin.
  • Önceden Tanımlanmış'ı seçin ve listeden Windows Yönetim Araçları'nı (WMI) seçin. Ardından İleri'yi seçin.
  • Windows Yönetim Araçları (WMI-In) onay kutusunu seçin. Ardından İleri'yi seçin.
  • Bağlantıya izin ver'i seçin. Ardından Son'u seçin.
  • Yeni eklenen kurala sağ tıklayın ve Özellikler'i seçin.
  • Gelişmiş sekmesine gidin ve Yalnızca Etki Alanı gerektiğinden Özel ve Genel seçeneklerinin işaretini kaldırın.
DCOM işlemlerini gerçekleştirmek için izin verme DCOM işlemlerini gerçekleştirme izinleri vermek için:
  • Bilgisayar Yapılandırma>İlkeleri>Windows Ayarları>Güvenlik Ayarları>Yerel İlkeler Güvenlik İşlemleri'ne> gidin.
  • Güvenlik Tanımlayıcısı Tanım Dili (SDDL) söz diziminde DCOM: Makine Başlatma Kısıtlamaları'ne sağ tıklayın ve Özellikler'i seçin.
  • Bu ilke ayarını tanımla kutusunu seçin ve Güvenliği Düzenle'yi seçin.
  • İzin vermekte olduğunuz kullanıcıyı veya grubu ekleyin ve Uzaktan Etkinleştirme'yi seçin.
Grup ilkesi aracılığıyla bir PowerShell betiği çalıştırarak Root\CIMV2 WMI ad alanına izin verin:
  • Bir PowerShell betiği İçerik Oluşturucu. Gereksinimlerinize göre değiştirebileceğiniz önerilen bir betik için bu makalenin devamında yer alan Örnek PowerShell betiğine bakın.
  • Bilgisayar Yapılandırma>İlkeleri>Windows Ayarları>Betikleri (Başlatma/Kapatma)Başlatma'ya> gidin
  • PowerShell Betikleri sekmesine gidin.
  • Dosyaları Göster'i seçin ve oluşturduğunuz betiği bu klasöre kopyalayın
  • Betik yapılandırma pencerelerine dönün ve Ekle'yi seçin.
  • Betik adını girin.

Örnek PowerShell betiği

Grup ilkesi aracılığıyla Root\CIMV2 WMI ad alanına izin vermek için başlangıç noktası olarak aşağıdaki PowerShell betiğini kullanın:

Param ()

Process {
    $ErrorActionPreference = "Stop"
    $accountSID = "S-1-5-32-558" # Performance Monitor Users built-in group, please change or pass parameter as you wish
    $computerName = "."

    $remoteparams = @{ComputerName=$computerName}
    $invokeparams = @{Namespace="root\cimv2";Path="__systemsecurity=@"} + $remoteParams

    $output = Invoke-WmiMethod @invokeparams -Name GetSecurityDescriptor
    if ($output.ReturnValue -ne 0) {
        throw "GetSecurityDescriptor failed: $($output.ReturnValue)"
    }

    $acl = $output.Descriptor

    $CONTAINER_INHERIT_ACE_FLAG = 0x2
    $ACCESS_MASK = 0x21 # Enable Account + Remote Enable

    $ace = (New-Object System.Management.ManagementClass("win32_Ace")).CreateInstance()
    $ace.AccessMask = $ACCESS_MASK
    $ace.AceFlags = $CONTAINER_INHERIT_ACE_FLAG

    $trustee = (New-Object System.Management.ManagementClass("win32_Trustee")).CreateInstance()
    $trustee.SidString = $accountSID
    $ace.Trustee = $trustee

    $ACCESS_ALLOWED_ACE_TYPE = 0x0

    $ace.AceType = $ACCESS_ALLOWED_ACE_TYPE

    $acl.DACL += $ace.psobject.immediateBaseObject

    $setparams = @{Name="SetSecurityDescriptor";ArgumentList=$acl.psobject.immediateBaseObject} + $invokeParams

    $output = Invoke-WmiMethod @setparams
    if ($output.ReturnValue -ne 0) {
        throw "SetSecurityDescriptor failed: $($output.ReturnValue)"
    }
}

GPO ilkesi bir cihaza uygulandıktan sonra tüm gerekli ayarlar uygulanır ve gMSA hesabınız cihaza erişebilir ve cihazı tarar.

Yeni bir kimliği doğrulanmış tarama yapılandırma

Yeni bir kimliği doğrulanmış tarama yapılandırmak için:

  1. Microsoft Defender portalındaAyarlar>Cihaz bulma>Kimliği doğrulanmış taramalar'a gidin.

  2. Yeni tarama ekle'yi seçin ve Windows kimliği doğrulanmış tarama'yı ve ardından İleri'yi seçin.

    Yeni kimliği doğrulanmış tarama ekleme ekranının ekran görüntüsü

  3. Tarama adı girin.

  4. Tarama cihazı: Yönetilmeyen cihazları taramak için kullanacağınız eklenen cihazı seçin.

  5. Hedef (aralık): Taramak istediğiniz IP adresi aralıkları veya ana bilgisayar adları girin. Adresleri girebilir veya csv dosyasını içeri aktarabilirsiniz. Bir dosyayı içeri aktarmak, el ile eklenen adresleri geçersiz kılar.

  6. Tarama aralığını seçin: Varsayılan olarak tarama dört saatte bir çalıştırılır, 'Yineleme' seçeneğini belirleyerek tarama aralığını değiştirebilir veya yalnızca bir kez çalıştırmasını sağlayabilirsiniz.

  7. Kimlik doğrulama yönteminizi seçin; aralarından seçim yapabileceğiniz iki seçenek vardır:

    • Kerberos (tercih edilen)
    • Anlaşma

    Not

    Kerberos'un başarısız olduğu durumlarda Anlaşma seçeneği NTLM'ye geri dönüş yapacaktır. Güvenli bir protokol olmadığından NTLM kullanılması önerilmez.

  8. Microsoft Defender Güvenlik Açığı Yönetimi cihazlara uzaktan erişmek için kullanacağı kimlik bilgilerini girin:

    • azure KeyVault kullanma: Kimlik bilgilerinizi Azure KeyVault'ta yönetiyorsanız, kimlik bilgilerini sağlamak için tarama cihazı tarafından erişilecek Azure KeyVault URL'sini ve Azure KeyVault gizli dizi adını girebilirsiniz
    • Azure KeyVault gizli anahtarı değeri için Etki Alanı biçiminde gMSA hesabı ayrıntılarını kullanın ; Username

  9. Test taramasını çalıştırmak veya atlamak için İleri'yi seçin. Test taramaları hakkında daha fazla bilgi için bkz. Ağ cihazlarını tarama ve ekleme.

  10. Ayarları gözden geçirmek için İleri'yi seçin ve ardından yeni kimliği doğrulanmış taramanızı oluşturmak için Gönder'i seçin.

Not

Kimliği doğrulanmış tarayıcı şu anda Federal Bilgi İşleme Standartları (FIPS) ile uyumlu olmayan bir şifreleme algoritması kullandığından, bir kuruluş FIPS uyumlu algoritmaların kullanımını zorunlu kıldığında tarayıcı çalışamaz.

FIPS ile uyumlu olmayan algoritmalara izin vermek için, tarayıcının çalıştırılacağı cihazlar için kayıt defterinde aşağıdaki değeri ayarlayın: etkin adlı bir DWORD değeri ve 0x0 değeriyle Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy

FIPS uyumlu algoritmalar yalnızca Birleşik Devletler federal hükümetin departmanları ve kurumlarıyla ilgili olarak kullanılır.

Windows API'leri için kimliği doğrulanmış tarama

API'leri kullanarak yeni bir tarama oluşturabilir ve kuruluşunuzdaki tüm yapılandırılmış taramaları görüntüleyebilirsiniz. Daha fazla bilgi için bkz.: