你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

使用本地脚本扩充 Windows 工作站和服务器数据（公共预览版）

项目
08/03/2023

注意

此功能目前为预览版。 Azure 预览版补充条款包含适用于 beta 版本、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

除了检测网络上的 OT 设备外，还可使用 Defender for IoT 发现 Microsoft Windows 工作站和服务器，并为已检测到的设备扩充工作站和服务器数据。与其他检测到的设备一样，检测到的 Windows 工作站和服务器将显示在“设备清单”中。传感器和本地管理控制台上的“设备清单”页显示有关 Windows 设备的扩充数据，包括有关 Windows 操作系统和已安装应用程序的数据、补丁级别数据、开放端口等。

本文介绍如何使用基于 Windows 的 Defender for IoT WMI 工具从 Windows 设备（例如工作站、服务器等）获取扩展信息。在 Windows 设备上运行 WMI 脚本以获取扩展信息，从而增加设备清单和安全覆盖范围。虽然还可以使用计划的 WMI 扫描来获取此数据，但如果无法进行 WMI 连接，则可以使用瀑布图和单向元素为受管制网络本地运行脚本。

本文中所述的脚本会返回有关每个检测到的设备的以下详细信息：

IP 地址
MAC 地址
操作系统
服务包
已安装的程序
上次知识库更新

如果 OT 网络传感器已检测到设备，则运行本文中所述的脚本时将检索设备的信息和扩充数据。

先决条件

在执行本文中的过程之前，必须：

已安装、激活和配置的 OT 网络传感器。
有权以管理员用户身份访问 OT 网络传感器。有关详细信息，请参阅使用 Defender for IoT 进行 OT 监视的本地用户和角色。
你打算在其中运行脚本的任何设备上的管理员权限。

支持的操作系统

以下 Windows 操作系统支持本文中所述的脚本：

Windows XP
Windows 2000
Windows NT
Windows 7
Windows 10
Windows Server 2003/2008/2012/2016/2019

下载并运行脚本

此过程介绍如何在要在 Defender for IoT 中监视的 Windows 工作站和服务器上部署和运行脚本。

脚本检测扩充的 Windows 数据并作为实用工具而不是已安装的程序运行。运行脚本不会影响终结点。建议使用标准的自动部署方法和工具部署该脚本一次，或使用持续自动化。

登录 OT 传感器控制台，然后选择“系统设置”>“导入设置”>“Windows 信息”。
选择“下载脚本”。例如：
将脚本复制到本地驱动器并进行解压缩。将显示以下文件：
- start.bat
- settings.json
- data.bin
- run.bat
运行 run.bat 文件。

在脚本运行以探测注册表后，会出现一个包含注册表信息的 CX 快照文件。文件名指示快照的计算机名称以及当前日期和时间，语法如下：cx_snapshot_[machinename]_[current date time]。

脚本生成的文件包括：

保留在本地驱动器上，直到你删除它们为止。
必须保留在同一位置。不要分离生成的文件。
如果再次运行脚本，这些文件将被覆盖。

导入设备详细信息

按照之前所述运行脚本后，将生成的数据导入传感器，以查看“设备清单”中的设备详细信息。

若要将设备详细信息导入传感器，请执行以下操作：

使用标准的自动化方法和工具将生成的文件从每个 Windows 终结点移到 OT 传感器可访问的位置。

不要更新文件名或将文件彼此分开。
登录 OT 传感器控制台，然后选择“系统设置”>“导入设置”>“Windows 信息”。
选择“导入文件”，然后选择所有文件 (Ctrl+A)。

查看设备应用程序报表

下载并运行脚本，然后将生成的数据导入传感器后，可以通过自定义数据挖掘报表查看设备应用程序。

若要查看设备应用程序，请执行以下操作：

登录到 OT 传感器控制台，然后选择“数据挖掘”。
选择“+ 创建报表”以创建自定义报表。在“选择类别”字段中，选择“设备应用程序”。例如：
设备应用程序报表将显示在“我的报表”区域中。