Windows için kimliği doğrulanmış tarama
Şunlar için geçerlidir:
- Microsoft Defender Güvenlik Açığı Yönetimi
- Microsoft Defender XDR
- Sunucular için Microsoft Defender Plan 2
Not
Bu özelliği kullanmak için Tek Başına Microsoft Defender Güvenlik Açığı Yönetimi veya zaten bir Uç Nokta için Microsoft Defender Plan 2 müşterisiyseniz Defender Güvenlik Açığı Yönetimi eklentisi gerekir.
Windows için kimliği doğrulanmış tarama, yönetilmeyen Windows cihazlarında tarama çalıştırma olanağı sağlar. IP aralıklarına veya ana bilgisayar adlarına göre uzaktan hedefleme yapabilir ve cihazlara uzaktan erişmek için Microsoft Defender Güvenlik Açığı Yönetimi kimlik bilgileri sağlayarak Windows hizmetlerini tarayabilirsiniz. Yapılandırıldıktan sonra hedeflenen yönetilmeyen cihazlar, yazılım güvenlik açıkları için düzenli olarak taranır. Varsayılan olarak tarama, bu aralığı değiştirme veya yalnızca bir kez çalıştırma seçenekleriyle dört saatte bir çalıştırılır.
Güvenlik yöneticileri daha sonra en son güvenlik önerilerini görebilir ve Microsoft Defender portalında hedeflenen cihaz için yakın zamanda bulunan güvenlik açıklarını gözden geçirebilir.
İpucu
Microsoft Defender Güvenlik Açığı Yönetimi'deki tüm özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Ücretsiz deneme sürümüne kaydolmayı öğrenin.
Tarayıcı Yüklemesi
Ağ cihazı kimliği doğrulanmış taramaya benzer şekilde, tarayıcının yüklü olduğu bir tarama cihazına ihtiyacınız olacaktır. Tarayıcı henüz yüklü değilse, tarayıcıyı indirme ve yükleme adımları için bkz. Tarayıcıyı yükleme.
Not
Önceden var olan yüklü tarayıcılar için değişiklik yapılması gerekmez.
Önkoşullar
Aşağıdaki bölümde, Windows için Kimliği Doğrulanmış taramayı kullanmak üzere yapılandırmanız gereken önkoşullar listelanmaktadır.
Hesap taranıyor
Cihazlara uzaktan erişmek için bir tarama hesabı gereklidir. Bu bir Grup Yönetilen Hizmet Hesabı (gMsa) olmalıdır.
Not
gMSA hesabının yalnızca gerekli tarama izinlerine sahip en düşük ayrıcalıklı hesap olması ve parolayı düzenli olarak döngüye almak için ayarlanmasını öneririz.
gMsa hesabı oluşturmak için:
PowerShell penceresindeki etki alanı denetleyicinizde şunu çalıştırın:
New-ADServiceAccount -Name gmsa1 -PrincipalsAllowedToRetrieveManagedPassword scanner-win11-i$ -KerberosEncryptionType RC4, AES128, AES256 -Verbose
- gmsa1, oluşturduğunuz hesabın adını, scanner-win11-I$ ise tarayıcı aracısının çalıştırılacağı makine adını ifade eder. Hesap parolasını yalnızca bu makine alabilir. Makinelerin virgülle ayrılmış bir listesini sağlayabilirsiniz.
- Mevcut bir hesabın değiştirilmesi Get-ADServiceAccount ve Set-ADServiceAccount ile yapılabilir
AD Hizmet Hesabını Yüklemek için tarayıcı aracısının yükseltilmiş bir PowerShell penceresi kullanarak çalıştırılacağı makinede şunu çalıştırın:
Install-ADServiceAccount -Identity gmsa1
PowerShell'iniz bu komutları tanımıyorsa, büyük olasılıkla gerekli bir PowerShell modülünü kaçırdığınız anlamına gelir. Modülü yükleme yönergeleri işletim sisteminize bağlı olarak değişir. Daha fazla bilgi için bkz. Grup Yönetilen Hizmet Hesaplarını Kullanmaya Başlama.
Taranacak cihazlar
Taranacak her cihazda tarama hesabı için gereken izinlerle birlikte gerekli yapılandırmalarla ilgili yönergeler için aşağıdaki tabloyu kullanın:
Not
Aşağıdaki adımlar, taranacak her cihazda izinleri yapılandırmanın ve kullanıcılar grubunu Performans İzleyicisi kullanmanın yalnızca bir önerilen yoludur. İzinleri aşağıdaki yollarla da yapılandırabilirsiniz:
- Hesabı farklı bir kullanıcı grubuna ekleyin ve bu grup için gereken tüm izinleri verin.
- Tarama hesabına bu izinleri açıkça verin.
Grup ilkesi kullanılarak taranacak bir cihaz grubuna izin yapılandırmak ve uygulamak için bkz. Grup ilkesiyle cihaz grubu yapılandırma.
Taranacak cihazlar gereksinimleri | Açıklama |
---|---|
Windows Yönetim Araçları (WMI) etkin | Uzak Windows Yönetim Araçları'nı (WMI) etkinleştirmek için:
|
Tarama hesabı Performans İzleyicisi Kullanıcıları grubunun bir üyesidir | Tarama hesabının taranacak cihazdaki Performans İzleyicisi Kullanıcıları grubunun bir üyesi olması gerekir. |
Performans İzleyicisi Kullanıcılar grubunun Kök/CIMV2 WMI ad alanında 'Hesabı Etkinleştir' ve 'Uzaktan Etkinleştirme' izinleri vardır | Bu izinleri doğrulamak veya etkinleştirmek için:
|
Performans İzleyicisi Kullanıcılar grubu DCOM işlemleri üzerinde izinlere sahip olmalıdır | Bu izinleri doğrulamak veya etkinleştirmek için:
|
Grup ilkesiyle cihaz grubunu yapılandırma
Grup ilkesi, gerekli yapılandırmaları ve tarama hesabı için gerekli izinleri taranacak bir cihaz grubuna toplu olarak uygulamanıza olanak tanır.
Bir cihaz grubunu aynı anda yapılandırmak için bir etki alanı denetleyicisinde şu adımları izleyin:
Adım | Açıklama |
---|---|
Yeni bir grup ilkesi Nesnesi İçerik Oluşturucu |
|
Windows Yönetim Araçları'nı (WMI) etkinleştirme | Uzak Windows Yönetim Araçları'nı (WMI) etkinleştirmek için:
|
Güvenlik duvarı üzerinden WMI'ye izin ver | Windows Yönetim Araçları'na (WMI) güvenlik duvarı üzerinden izin vermek için:
|
DCOM işlemlerini gerçekleştirmek için izin verme | DCOM işlemlerini gerçekleştirme izinleri vermek için:
|
Grup ilkesi aracılığıyla bir PowerShell betiği çalıştırarak Root\CIMV2 WMI ad alanına izin verin: |
|
Örnek PowerShell betiği
Grup ilkesi aracılığıyla Root\CIMV2 WMI ad alanına izin vermek için başlangıç noktası olarak aşağıdaki PowerShell betiğini kullanın:
Param ()
Process {
$ErrorActionPreference = "Stop"
$accountSID = "S-1-5-32-558" # Performance Monitor Users built-in group, please change or pass parameter as you wish
$computerName = "."
$remoteparams = @{ComputerName=$computerName}
$invokeparams = @{Namespace="root\cimv2";Path="__systemsecurity=@"} + $remoteParams
$output = Invoke-WmiMethod @invokeparams -Name GetSecurityDescriptor
if ($output.ReturnValue -ne 0) {
throw "GetSecurityDescriptor failed: $($output.ReturnValue)"
}
$acl = $output.Descriptor
$CONTAINER_INHERIT_ACE_FLAG = 0x2
$ACCESS_MASK = 0x21 # Enable Account + Remote Enable
$ace = (New-Object System.Management.ManagementClass("win32_Ace")).CreateInstance()
$ace.AccessMask = $ACCESS_MASK
$ace.AceFlags = $CONTAINER_INHERIT_ACE_FLAG
$trustee = (New-Object System.Management.ManagementClass("win32_Trustee")).CreateInstance()
$trustee.SidString = $accountSID
$ace.Trustee = $trustee
$ACCESS_ALLOWED_ACE_TYPE = 0x0
$ace.AceType = $ACCESS_ALLOWED_ACE_TYPE
$acl.DACL += $ace.psobject.immediateBaseObject
$setparams = @{Name="SetSecurityDescriptor";ArgumentList=$acl.psobject.immediateBaseObject} + $invokeParams
$output = Invoke-WmiMethod @setparams
if ($output.ReturnValue -ne 0) {
throw "SetSecurityDescriptor failed: $($output.ReturnValue)"
}
}
GPO ilkesi bir cihaza uygulandıktan sonra tüm gerekli ayarlar uygulanır ve gMSA hesabınız cihaza erişebilir ve cihazı tarar.
Yeni bir kimliği doğrulanmış tarama yapılandırma
Yeni bir kimliği doğrulanmış tarama yapılandırmak için:
Microsoft Defender portalındaAyarlar>Cihaz bulma>Kimliği doğrulanmış taramalar'a gidin.
Yeni tarama ekle'yi seçin ve Windows kimliği doğrulanmış tarama'yı ve ardından İleri'yi seçin.
Tarama adı girin.
Tarama cihazı: Yönetilmeyen cihazları taramak için kullanacağınız eklenen cihazı seçin.
Hedef (aralık): Taramak istediğiniz IP adresi aralıkları veya ana bilgisayar adları girin. Adresleri girebilir veya csv dosyasını içeri aktarabilirsiniz. Bir dosyayı içeri aktarmak, el ile eklenen adresleri geçersiz kılar.
Tarama aralığını seçin: Varsayılan olarak tarama dört saatte bir çalıştırılır, 'Yineleme' seçeneğini belirleyerek tarama aralığını değiştirebilir veya yalnızca bir kez çalıştırmasını sağlayabilirsiniz.
Kimlik doğrulama yönteminizi seçin; aralarından seçim yapabileceğiniz iki seçenek vardır:
- Kerberos (tercih edilen)
- Anlaşma
Not
Kerberos'un başarısız olduğu durumlarda Anlaşma seçeneği NTLM'ye geri dönüş yapacaktır. Güvenli bir protokol olmadığından NTLM kullanılması önerilmez.
Microsoft Defender Güvenlik Açığı Yönetimi cihazlara uzaktan erişmek için kullanacağı kimlik bilgilerini girin:
- azure KeyVault kullanma: Kimlik bilgilerinizi Azure KeyVault'ta yönetiyorsanız, kimlik bilgilerini sağlamak için tarama cihazı tarafından erişilecek Azure KeyVault URL'sini ve Azure KeyVault gizli dizi adını girebilirsiniz
- Azure KeyVault gizli anahtarı değeri için Etki Alanı biçiminde gMSA hesabı ayrıntılarını kullanın ; Username
Test taramasını çalıştırmak veya atlamak için İleri'yi seçin. Test taramaları hakkında daha fazla bilgi için bkz. Ağ cihazlarını tarama ve ekleme.
Ayarları gözden geçirmek için İleri'yi seçin ve ardından yeni kimliği doğrulanmış taramanızı oluşturmak için Gönder'i seçin.
Not
Kimliği doğrulanmış tarayıcı şu anda Federal Bilgi İşleme Standartları (FIPS) ile uyumlu olmayan bir şifreleme algoritması kullandığından, bir kuruluş FIPS uyumlu algoritmaların kullanımını zorunlu kıldığında tarayıcı çalışamaz.
FIPS ile uyumlu olmayan algoritmalara izin vermek için, tarayıcının çalıştırılacağı cihazlar için kayıt defterinde aşağıdaki değeri ayarlayın: etkin adlı bir DWORD değeri ve 0x0 değeriyle Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
FIPS uyumlu algoritmalar yalnızca Birleşik Devletler federal hükümetin departmanları ve kurumlarıyla ilgili olarak kullanılır.
Windows API'leri için kimliği doğrulanmış tarama
API'leri kullanarak yeni bir tarama oluşturabilir ve kuruluşunuzdaki tüm yapılandırılmış taramaları görüntüleyebilirsiniz. Daha fazla bilgi için bkz.:
- Tüm tarama tanımlarını alma
- Tarama tanımı ekleme, silme veya güncelleştirme
- Tüm tarama aracılarını alma
- Kimliğine göre tarama aracısı alma
- Tanıma göre tarama geçmişini alma
- Oturuma göre tarama geçmişini alma
İlgili makaleler
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin