Konfigurace monitorování koncových bodů Windows

Tento článek popisuje, jak nakonfigurovat monitorování koncových bodů Windows (WEM) tak, aby Microsoft Defender pro IoT selektivně a aktivně testovaly systémy Windows.

WEM může poskytovat přesnější a přesnější informace o vašich zařízeních s Windows, například úrovně aktualizací Service Pack.

Podporované protokoly

V současné době je jediným protokolem podporovaným pro monitorování koncových bodů Windows pomocí Defenderu pro IoT rozhraní WMI, standardní skriptovací jazyk Microsoftu pro správu systémů Windows.

Požadavky

Před provedením postupů v tomto článku musíte mít:

• Nainstalovaný, nakonfigurovaný a aktivovaný senzor sítě OT.

• Přístup k síťovému senzoru OT jako uživatel Správa. Další informace najdete v tématu Místní uživatelé a role pro monitorování OT pomocí Defenderu for IoT.

• Dokončili jste požadavky uvedené v tématu Konfigurace aktivního monitorování pro sítě OT a potvrdili jste, že aktivní monitorování je pro vaši síť to pravé.

• Než budete moct nakonfigurovat kontrolu WEM z konzoly senzoru OT, budete také muset nakonfigurovat pravidlo brány firewall a kontrolu domény rozhraní WMI na počítači s Windows.

Konfigurace požadovaného pravidla brány firewall

Nakonfigurujte pravidlo brány firewall, které otevře odchozí provoz ze senzoru do zkontrolované podsítě pomocí portu UDP 135 a všech portů TCP nad 1024.

Konfigurace kontroly domény WMI

Než budete moct nakonfigurovat kontrolu WEM ze senzoru, musíte nakonfigurovat kontrolu domény WMI na počítači s Windows, který budete kontrolovat.

Tento postup popisuje, jak nakonfigurovat kontrolu rozhraní WMI pomocí objektu Zásady skupiny, aktualizovat nastavení brány firewall, definovat oprávnění pro obor názvů rozhraní WMI a definovat místní skupinu.

Požadavky pro kontrolu domény rozhraní WMI

• Ujistěte se, že je služba Windows Management Instrumentation (winmgmt) v režimu automatického spuštění.
• Vytvořte uživatele s názvem wmiuser. Ujistěte se, že je tento uživatel členem skupiny Uživatelé domény na vašem počítači s Windows.

Konfigurace objektu Zásady skupiny (GPO)

1. Na počítači s Windows vytvořte nový objekt zásad skupiny s názvem WMIAccess.

2. Klikněte pravým tlačítkem na nový objekt zásad skupiny WMIAccess a vyberte Upravit.

3. V okně editoru správy Zásady skupiny vyberte Konfigurace > počítače Nastavení systému Windows Nastavení >> zabezpečení Místní zásady > Možnosti zabezpečení.

4. Přejděte na objekt DCOM: Omezení přístupu k počítači v zásadách syntaxe jazyka SDDL (Security Descriptor Definition Language) a poklikejte na ni. Otevře se okno vlastností na kartě Nastavení zásad zabezpečení šablony .

   Ke konfiguraci přístupu pro tuto zásadu použijte následující postup:

   1. Vyberte Upravit zabezpečení a pak v dialogovém okně Přístupová oprávnění vyberte Přidat.

   2. Do pole Zadejte názvy objektů k výběru zadejte wmiuser. Výběrem možnosti Zkontrolovat jména ověřte nastavení a pak vyberte OK.

      Wmiuser (wmiuser@DOMAIN.local) je teď uvedený v dialogovém okně Přístupová oprávnění.

   3. V dialogovém okně Přístupová oprávnění :

      1. V seznamu Název skupiny nebo jméno uživatele vyberte wmiuser.
      2. V poli Oprávnění pro ANONYMNÍ PŘIHLÁŠENÍ vyberte Povolit pro místní přístup i vzdálený přístup.

      Kliknutím na OK zavřete dialogové okno Přístupová oprávnění .

5. V okně editoru správy Zásady skupiny se ujistěte, že máte vybranou možnost Konfigurace > počítače Nastavení > systému Windows Nastavení > zabezpečení Místní zásady > Možnosti zabezpečení.

6. Přejděte na DCOM: Omezení spuštění počítače v zásadách syntaxe jazyka SDDL (Security Descriptor Definition Language) a poklikejte na ně. Otevře se okno vlastností na kartě Nastavení zásad zabezpečení šablony .

   Ke konfiguraci přístupu pro tuto zásadu použijte následující postup:

   1. Vyberte Upravit zabezpečení a pak v dialogovém okně Přístupová oprávnění vyberte Přidat.

   2. Do pole Zadejte názvy objektů k výběru zadejte wmiuser. Výběrem možnosti Zkontrolovat jména ověřte nastavení a pak vyberte OK.

      Wmiuser (wmiuser@DOMAIN.local) je teď uvedený v dialogovém okně Přístupová oprávnění.

   3. V dialogovém okně Přístupová oprávnění :

      1. V seznamu Název skupiny nebo jméno uživatele vyberte wmiuser.
      2. V poli Oprávnění pro správce vyberte Povolit u možností Místní spuštění, Vzdálené spuštění, Místní aktivace a Vzdálená aktivace .

      Kliknutím na OK zavřete dialogové okno Přístupová oprávnění .

Konfigurace brány firewall

1. Vraťte se k objektu zásad skupiny WMIAccess , který jste vytvořili dříve, a vyberte Upravit.

2. V dialogovém okně Editor pro správu Zásady skupiny přejděte na Konfigurace > počítače Nastavení > zabezpečení Systému Windows a rozbalte uzel Windows Defender Firewall s pokročilým zabezpečením.

3. V části Windows Defender Firewall s pokročilým zabezpečením klikněte pravým tlačítkem na Příchozí pravidla a vyberte Nové pravidlo...

4. V Průvodci novým příchozím pravidlem vyberte Předdefinované a pak v rozevírací nabídce vyberte Windows Management Instrumentation .

5. Pokračujte výběrem tlačítka Další. V podokně Předdefinovaná pravidla se ujistěte, že jsou vybraná všechna pravidla v poli Pravidla .

6. Pokračujte výběrem možnosti Další a pak vyberte Povolitdokončenípřipojení>.

Konfigurace oprávnění pro obor názvů rozhraní WMI

Tento postup popisuje, jak definovat oprávnění pro obor názvů služby WMI a nejde ho dokončit pomocí běžného objektu zásad skupiny.

Pokud ke spouštění kontrol WEM budete používat účet bez oprávnění správce, je tento postup kritický a musí se provést přesně podle pokynů, aby se povolily pokusy o přihlášení pomocí rozhraní WMI.

1. Na počítači s Windows otevřete dialogové okno Spustit a zadejte wmimgmt.msc.

2. V dialogovém okně wmimgmt – [Console Root\WMI Control (Local)] klikněte pravým tlačítkem na Ovládací prvek WMI (místní) a vyberte Vlastnosti.

3. V dialogovém okně Vlastnosti ovládacího prvku rozhraní WMI (místní) vyberte kartu >Zabezpečeníkořenového adresáře>.

4. V dialogovém okně Security for ROOT\SECURITY se ujistěte, že je účet wmiuser uvedený v poli Název skupiny nebo uživatele :

   1. Vyberte Přidat a do pole Zadejte názvy objektů k výběru zadejte wmiuser.
   2. Vyberte Zkontrolovat jména>OK.

5. V poli Název skupiny nebo jméno uživatele vyberte účet wmiuser . V poli Oprávnění pro ověřené uživatele vyberte Povolit pro následující oprávnění:

   • Metody spuštění
   • Povolit účet
   • Vzdálené povolení
   • Zabezpečení čtení

6. V dialogovém okně Zabezpečení root\SECURITY vyberte Upřesnit. Potom v dialogovém okně Upřesnit nastavení zabezpečení pro kořen vyberte účet >wmiuserUpravit.

7. V dialogovém okně Položka oprávnění pro kořen v rozevírací nabídce Použít na vyberte Tento obor názvů a všechny podnázvové prostory.

   Poznámka

   Oprávnění musíte použít rekurzivně na celý strom.

8. Vyberte OK , dokud se nezavřou všechna dialogová okna, která jste v tomto postupu otevřeli.

Přidání účtu wmiuser do místní skupiny Performance Log Users

1. Přihlaste se k počítači s Windows pomocí uživatele, o které víte, že je součástí skupiny Performance Log Users .

2. Otevřete dialogové okno Spustit a zadejte compmgmt.msc.

3. V dialogovém okně Správa počítače vyberte Správa počítače (místní) > Systémové nástroje > Místní uživatelé a skupiny > a poklikejte na Položku Uživatelé protokolu výkonu.

4. Vyberte Přidat a potom do pole Zadejte názvy objektů, které chcete vybrat zadáním wmiuser přidejte uživatele wmiuser do skupiny. Vyberte Zkontrolovat jména a pak OK , dokud se nezavřou všechna dialogová okna, která jste otevřeli v tomto postupu.

Konfigurace kontroly WEM na konzole senzoru

Konfigurace kontroly WEM:

1. V konzole senzoru OT vyberte Nastavení> systémuMonitorování> sítěAktivní zjišťování>Monitorování koncových bodů Windows (WMI).

2. V části Konfigurace Upravit rozsahy kontrol zadejte rozsahy, které chcete zkontrolovat, a přidejte uživatelské jméno a heslo vyžadované pro přístup k těmto prostředkům.

   • Pro nejlepší výsledky kontroly doporučujeme zadat hodnoty s doménovými oprávněními nebo oprávněními místního správce.
   • Vyberte Importovat oblasti a naimportujte .csv soubor se sadou oblastí, které chcete zkontrolovat. Ujistěte se, že .csv soubor obsahuje následující data: FROM, TO, USER, PASSWORD, DISABLE, where DISABLE is defined as TRUE/FALSE.
   • Pokud chcete získat .csv seznam všech oblastí aktuálně nakonfigurovaných pro kontroly WEM, vyberte Exportovat oblasti.

3. V oblasti Kontrola se spustí definujte, jestli chcete kontrolu spouštět v intervalech, každých několik hodin nebo v určitém čase. Pokud vyberete Do určitého času, zobrazí se další možnost Přidat čas kontroly , kterou můžete použít ke konfiguraci několika kontrol spuštěných v určitých časech.

   I když můžete nakonfigurovat kontrolu WEM tak, aby se spouštěla tak často, jak chcete, může se najednou spouštět jenom jedna kontrola WEM.

4. Vyberte Uložit a pak udělejte jednu z těchto věcí:

   • Pokud chcete kontrolu spustit ručně, vyberte Použít kontrolu>ručně.

   • Pokud chcete, aby kontrola běžela později podle konfigurace, vyberte Použít změny a pak podokno podle potřeby zavřete.

Zobrazení výsledků kontroly:

1. Po dokončení kontroly se vraťte na stránku Nastavení> systémuMonitorování> sítěAktivní zjišťování> SlužbyMonitorování koncových bodů Windows (WMI) v konzole senzoru.

2. Vyberte Zobrazit výsledky kontroly. Do počítače se stáhne soubor .csv s výsledky kontroly.

Další kroky

Další informace naleznete v tématu:

• Zjišťování pracovních stanic a serverů s Windows pomocí místního skriptu
• Zobrazení inventáře zařízení z konzoly senzoru
• Zobrazení inventáře zařízení z Azure Portal
• Konfigurace aktivního monitorování pro sítě OT
• Konfigurace dns serverů pro řešení zpětného vyhledávání pro monitorování OT »
• Import informací o zařízení do senzoru »